Cyber Security LAB

Distribution av Fluffy ransomware kan utföras genom att använda sig av spam e-postmeddelanden för att infektera användares datorer. Vanligtvis sådana meddelanden skickas via spam programvara och skräppost kit som innehåller förkonfigurerade listan av offer ” e-postadresser. Spam-meddelanden innehåller vanligtvis bedrägliga e-postmeddelande inom dem som syftar till att lura användare till att antingen klicka på en länk eller öppna den bifogade filen, liknande till exempel bilden nedan:

En sådan övertygande uttalanden kan ibland även innehålla information om ditt konto, till exempel ditt namn, adress och så vidare. Denna information är vanligtvis uppsamlat alltifrån webbplatser, till vilka många av offren har registrerat dig och satt sin personliga information. Dessa webbplatser om äventyras kan avslöja flera olika uppgifter om användare, vilket gör dem till potentiella offer att Fluffy ransomware s distributörer.

Hämta Removal Toolta bort Fluffy

Andra former för spridning av denna infektion är om falska installatörer av program, spel aktivering av programvara, licens removers och andra falska körbara filer kan användas på torrent webbplatser via äventyras konton och ner av offret. Också dessa kan komma att publiceras i misstänkta webbplatser eller kopplade till användarens DATOR som ett resultat av att ha en PUP (Potentiellt Oönskade Program) installerat på din dator.

När Fluffy ransomware har redan smittat en viss dator, viruset kan använda bedrifter för att släppa det skadliga filer samtidigt förblir oupptäckt på offrets dator. När detta har gjorts, Fluffy ransomware infektion kan börja med att ansluta till följande värdar:

• 185.100.85.150:80 – rumänska
• 192.36.27.5:80 – svenska

Från dessa värdar, skadliga filer av Fluffy virus kan laddas ner till datorn för offret. Dessa filer kan bestå av en skadlig körbar och en bild med namnet enligt följande:

• Fluffy.exe
• Fluffy.png

Tillsammans med dessa skadliga filer, Fluffy ransomware kan också släppa andra stöd-filer som kan utföra skadliga aktiviteter på den infekterade datorn. En av dessa aktiviteter kan vara att ta bort skuggan volym kopior på den infekterade datorn – aktivitet kan uppnås med hjälp av följande kommandon:

→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures

I tillägg till detta, Fluffy ransomware kan också utföra flera andra aktiviteter, bland vilka är den störande av Windows Registret sub-nycklar för program som körs vid systemets uppstart och ändra bakgrundsbild:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Hämta Removal Toolta bort Fluffy

Processen för att kryptera filer som kodas av Fluffy ransomware uppnås genom att utnyttja den AES-256 kryptering algoritmen som krypterar filer genom att ersätta block av data med algoritmen i sig. Detta gör att filer som inte längre är öppningsbara och viruset genererar sedan en symmetrisk krypteringsnyckel som sedan skickas till servrar i cyber-brottslingar, vilket gör dem till den enda som kan dekryptera filerna.

De krypterade filerna har lock75 expansion lagt till dem och kan se ut som bilden nedan visar:

Efter den här processen har slutförts, lock75 ransomware infektion kan släppa det lösen not, som innehåller följande meddelande som leder till TOR-baserade web-sidan 3qsp4lc4ajyk4ccb.lök:

What’s happening? Oh no! Fluffy-TAR has encrypted some of your files! It means they are not lost, but cannot be used until decrypted. They are “locked”, you could say. If you see a file which name ends with “lock75”, it means this file is encrypted. The process is easily reversible but requires a key. What do I do? To get your files back, you must buy the decryption key. This payment must be done in Bitcoins, a cryptographic currency. Bitcoin is becoming more and more accessible and nowadays, it is really easy to use bitcoins. See the online interface (button below) for a more detailed introduction to bitcoins. To get your files back, please send exactly (or more if you want) 0.039 Bitcoins to this address, BEFORE the countdown below ends: 1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx Uppercase/lowercase matter! Make sure you send to the right address! (you can scan the QR code to copy it) After sending the payment, wait an hour then click the “Retrieve key automatically” button below. The software will then receive the key and decrypt ALL encrypted files. Without the key, it is impossible to decrypt your files. Without the proper payment, it is impossible to get the key. When the countdown reaches zero, you will lose all encrypted documents. Please note: If you have an antivirus, disable it now if you don’t want to lose your data.

Bland de krypterade filer är följande filtyper:

→ .3fr, .7z, .abu .accdb, .ai, .arp, .arw .asp, .aspx, .röv, .tillgång .ava .avi,.bas, .bay .bdcr, .bdcu, .bdd, .bdp, .bd-skivor .bikey, .blend .bmp .bpdr, .bpdu, .bsdr, .bsdu, .c, .cc,.cd, .cdr .cer .klass .kom, .config .kpp, .cr2, .crt .crw, .cs, .skv .cxx, .db .dbf .dbx.dcr, .dd .dds, .der, .dng, .doc, .docm, .docx, .DTD .dwg .dxf, .dxg, .eps .erf .fdb, .forge .gdb.gif .grupper, .gsd, .gsf, .h .hpp, .htm, .html .ims .indd, .iss .burk .java .jpe .jpeg, .jpg,.js, .jsp, .kdc, .nyckel .kwm, .lua, .m, .md, .mdb .mdf .mef, .mp3, .mpg, .mrw, .msg .nef,.nrw, .oab .pr, .odb, .odm .odp .ozonnedbrytande ämnen .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .PAS, .pas, .pbf.pdd, .pdf, .pef, .pem, .pfx, .php .pl, .png .ppk, .ppt .pptm, .pptx, .ps, .psd, .pst, .psw, .ptx, .pwm, .py, .r3d, .raf, .rar, .RAW .raw .rgx, .rik, .rm .rtf .rw2, .rwl, .säker, .sav, .sln,.sql .srf, .srw, .swf .swift .tex .txt, .vcf, .vsd, .wb2, .wpd, .wps .xcf, .xlk, .xls, .xlsb,.xlsm, .xlsx .xml .zip

Hämta Removal Toolta bort Fluffy

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

1. Öppna Start-menyn och klicka på Kontrollpanelen
2. Välj Lägg till eller ta bort program
3. Välj det oönskade programmet
4. Klicka på ta bort

Windows 7 och Vista

1. Klicka på Start och välj Kontrollpanelen
2. Gå till avinstallera ett program
3. Högerklicka på den misstänkta programvaran
4. Välj avinstallera

Windows 8

1. Flytta markören till det nedre vänstra hörnet
2. Högerklicka och öppna Kontrollpanelen
3. Välj avinstallera ett program
4. Ta bort oönskade program

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

1. Öppna IE och klicka på växel ikonen
   
2. Välj Hantera tillägg
   
3. Ta bort oönskade tillägg
4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
   
5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
6. Klicka på Återställ, markera rutan och klicka på Återställ igen
   

Ta bort [postnamn] från Mozilla Firefox

1. Öppna Mozilla och klicka på menyn
   
2. Välj tillägg och gå till anknytningar
3. Välj oönskade tillägg och klicka på ta bort
   
4. Återställ Mozilla: Alt + H → felsökningsinformation
   
5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
   

Avinstallera [postnamn] från Google Chrome

1. Öppna Google Chrome och klicka på menyn
   
2. Välj verktyg → tillägg
3. Välj tillägget och klicka på papperskorgsikonen
   
4. Ändra din sökmotor: menyn → Inställningar
5. Klicka på Hantera sökmotorer under Sök
   
6. Ta bort oönskade sökleverantör
   
7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
   
8. Klicka på Återställ för att bekräfta din åtgärd