Den HERMES ransomware virus rapporteras av skadlig kod analytiker att spridas via skadlig e-post spam-meddelanden. Dessa meddelanden kan innehålla:
En skadlig länk eller en länk som leder till nedladdning av infektionen fil.
Infektionen filen som en bifogad fil(dokument med skadliga makron, körbar, JavaScript-fil eller andra skadliga körbara filer).
Andra metoder genom vilka HERMES 2.0-infektion kan uppstå via användning av skadliga exploit kit, uppdateringar liksom infekterade installatörer, packat filer och falska nyckeln generatorer eller programvara aktivatorer. Dessa kan laddas upp på torrent webbplatser och webbplatser som är riskfyllda. Sådana kan öppnas automatiskt genom att ha en potentiellt oönskade program, som orsakar omdirigeringar(http://cyber-securitylab.com/remove-wowstart-online-redirect/) på din webbläsare.
När användaren öppnar infektion fil av ransomware virus, det kan ansluta till en fjärrdator och släpp följande filer på den infekterade datorn:
- Reload.exe
- system_.bat
- skugga.bat
- DECRYPT_INFO.txt
- DECRYPT_INFORMATION.html
- UNIQUE_ID_DO_NOT_REMOVE
- HERMES.exe
- skugga.vbs
I tillägg till dessa filer, virus kan också släppa följande objekt:
- Cversions.2.db
- Datorhantering.lnk
- Flera .db objekt med slumpmässiga namn, som ligger i %Cachar% katalog.
När en infektion som har hänt, HERMES 2.0 ransomware kan omedelbart börja använda metoden Evelen att kringgå UAC-service. Då viruset kan köra följande kommandon utan att användaren märker med syftet att ta bort skuggan kopior:
→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures
Radering av skuggkopior, innehåller radera filer med följande filtyper:
→ .VHD .bac .bak .wbcat .bkf ,backup, .ange, .vinna .dsk
Efter att viruset har tagits bort skuggan kopior, kan det börja ändringar i Windows Registereditorn. Dessa modifieringar kan omfatta attackerar köra och köra en gång windows knappar med följande uppgifter:
→ HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v ”allkeeper” /t REG_SZ /d ”%USERPROFILE%DesktopDECRYPT_INFORMATION.html”. /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v ”sysrep” /t REG_SZ /d ”%PUBLIC%Reload.exe”. /f
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v ”allkeeper” /t REG_SZ /d
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun” /v ”sysrep” /t REG_SZ /d
HKCUSoftwareMicrosoftWindowsCurrentVersionRunallkeeper C:usersUserDesktopDECRYPT_INFORMATION.html
Efter Reload.exe filen har varit sprang, ransomware virus börjar den här processen.
Krypteringen av HERMES 2.0 ransomware mål en mängd olika filtyper som ska kodas. Filen tillägg som är krypterade om detekteras med denna ransomware virus rapporteras av malware forskare att vara följande:
→ .accdb, .agif, .awdb, .bean .cdmm, .cdmz, .cdr3, .cdr4, .cdr6, .cdrw, .clkw, .crwl, .ddoc, .djvu, .docm, .docx, .docz, .dotm, .dotx, .dtsx, .emlx, .epsf, .fdxt, .fh10, .fh11, .fodt, .fpos, .ft10, .ft11, .fwdn, .gdoc, .gfie .glox, .gthr, .hpgl, .html .ikonen .idé .itc2, .itdb, .jbig, .jpeg, .jpg2, .jrtf, .kdbx, .mbox, .mell, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mmat, .mobi, .mrxs, .pano, .pict, .pjpg, .pntg, .pobj, .pptm, .pptx, .psdx, .psid, .rctd, .reloc, .riff .s2mv, .spara, .scad, .sdoc, .smil, .ssfn, .sumo, .svgz, .sms: a, .tiff .utf8, .vrml, .vsdm, .vsdx, .vstm, .vstx, .wbmp, .webp, .wmdb, .xhtm, .xlgc, .xlsb, .xlsm, .xlsx .zabw (700 mer)
Hämta Removal Toolta bort HERMESFör krypteringen, denna iteration av HERMES ransomware använder den file extension of it ‘ s namn och lägger till det utan en åtskilda, dot. Filer visas som följande:
Kryptering av HERMES 2.0 är som utförs med hjälp av två av de mest sofistikerade chiffer så långt, AES och RSA-algoritmer. Kryptering process som innehåller kryptering av filer via AES kryptering och sedan RSA-chiffret lägger till en extra nyckel till filer, unika för varje infektion.
Efter detta har slutförts, den privata dekryptering information skickas till cyber-brottslingar och den andra versionen lämnar följande lösen not be att kontakta it-skurkar via Bitmessage adress:
Manual [postnamn] avlägsnande Guide
Steg 1. Avinstallera [postnamn] och relaterade program
Windows XP
- Öppna Start-menyn och klicka på Kontrollpanelen
- Välj Lägg till eller ta bort program
- Välj det oönskade programmet
- Klicka på ta bort
Windows 7 och Vista
- Klicka på Start och välj Kontrollpanelen
- Gå till avinstallera ett program
- Högerklicka på den misstänkta programvaran
- Välj avinstallera
Windows 8
- Flytta markören till det nedre vänstra hörnet
- Högerklicka och öppna Kontrollpanelen
- Välj avinstallera ett program
- Ta bort oönskade program
Steg 2. Ta bort [postnamn] från din webbläsare
Ta bort [postnamn] från Internet Explorer
- Öppna IE och klicka på växel ikonen
- Välj Hantera tillägg
- Ta bort oönskade tillägg
- Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
- Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
- Klicka på Återställ, markera rutan och klicka på Återställ igen
Ta bort [postnamn] från Mozilla Firefox
- Öppna Mozilla och klicka på menyn
- Välj tillägg och gå till anknytningar
- Välj oönskade tillägg och klicka på ta bort
- Återställ Mozilla: Alt + H → felsökningsinformation
- Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
Avinstallera [postnamn] från Google Chrome
- Öppna Google Chrome och klicka på menyn
- Välj verktyg → tillägg
- Välj tillägget och klicka på papperskorgsikonen
- Ändra din sökmotor: menyn → Inställningar
- Klicka på Hantera sökmotorer under Sök
- Ta bort oönskade sökleverantör
- Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
- Klicka på Återställ för att bekräfta din åtgärd