Ta bort NK_ File | Cyber Security LAB

april 7, 2017 - I kategori: Adware - No responses

Infektion processen av NK_ ransomware börjar med det distributionsprocessen. Det sker via flera olika metoder. En av dem är via spam e-post som skickas ut till användarna, att låtsas vara legitima. De e-postmeddelanden som innehåller vanligen ett av två:

En länk för att omdirigera till en webbplats där skadlig fil laddas upp.
En skadlig arkiv laddas upp som en e-postbilaga.

Dessa två skadliga objekt kan också åtföljas av bedrägliga meddelanden som syftar till att övertyga de som fallit offer för denna ransomware virus för att öppna bifogade filer eller klicka på länkar. De kan likna faktura meddelanden, underrättelser om misstänkt aktivitet på ditt konto och även falska LinkedIn, PayPal, eBay eller Facebook-meddelanden med samma bilder och innehåll som den ursprungliga e-post som skickas. Detta är anledningen till att användare bör känna till, hur man skyddar sig mot skadliga e-postmeddelanden samt arkiv.

Hämta Removal Toolta bort NK_ File

Utöver dessa metoder andra metoder för skadlig kod replikering kan också användas. Dessa metoder inkluderar vanligtvis användningen av falska updater-program, falska software licensing program och spel sprickor som innehåller skadliga koder. Dessa kan laddas upp på misstänkta webbplatser och också laddas upp på webbplatser som erbjuder torrent-nedladdningar.

Efter att användaren öppnar den skadliga filen infekteras med NK_ ransomware, flera typer av filer, inklusive lösen not NK_ I DIN FILES.txt kan släppas på datorn för användaren. Filerna kan anta olika namn och i olika Windows mappar, till exempel:

Så snart som den skadliga filer som hör till NK_ File virus föll på datorn för användaren, ransomware kan börja med att ta bort skuggan volym kopior på det. Dessa kopior skugga är i huvudsak de säkerhetskopierade filerna på utvalda viktiga mappar för Windows. De kommandon som NK_ ransomware kan ta bort dessa säkerhetskopior utan att offret märker är följande:

→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures

Dessa kommandon permanent ta bort skuggan kopior utan att användaren märker det. Utöver detta ransomware också kraftigt stör Windows registerposter skapa flera registervärde strängar som kan finnas i följande Windows sub-nycklar:

→ HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Andra skadliga aktiviteter i samband med denna ransomware virus, omfattar driften av felaktiga processer som imiterar legitima Windows värdar, som svchost.exe.

Hämta Removal Toolta bort NK_ File

För det är kryptering för att vara framgångsrik, NK_ File virus är programmerad att inrikta sig på specifika filer bara och hoppa över viktiga filer som kan skada Windows OS. De filer som berörs av NK_ ransomware är mest sannolikt viktiga ljudfiler, dokument, filer i databasen, videor, bilder och andra besläktade, filformat. Om vi skulle sammanfatta alla filer krypterade med denna ransomware infektion, de flesta av dem skulle vara bland de som finns i listan nedan:

När krypteringen är klar, byte av den algoritm som används av NK_ ransomware virus ersätter original data i filer, vilket gör dem inte längre är öppningsbara. Filerna kan se ut som på följande bild:

Då ransomware gör att användaren ser det är lösen not textfil, som har följande innehåll:

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately “lost” all your pictures,
files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc.
Encryption was produced using a unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contains NK_
Your number: To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1Aq3Hfsuy3XiH7HtWMJcNjwCP2Bu39UsGU (today 1 bitcoin was 270). Only we and you know about this bitcoin address.
You can check bitcoin balanse here – https://www.blockchain.info/address/1Aq3Hfsuy3XiH7HtWMJcNjwCP2Bu39UsGU After payment send us your number on our mail mwt@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1…3 hours) Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it – it’s your garantee that we have decryption tool. And send us your number with attached file. We dont know who are you. All what we need – it’s some money. Don’t panic if we don’t answer you during 24 hours. It means that we didn’t received your letter (for example if you use hotmail.com or outlook.com it can block letter, SO DON’T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
Hämta Removal Toolta bort  NK_ File 
You can use one of that bitcoin exchangers for transfering bitcoin.
Bitcoin.co.kr
https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
https://localbitcoins.com/country/kr
www.youtube.com/watch?v=erVehAHDuel
howtobuybitcoin.info/kr.html
http://bitcoin-printing.com/trade
You dont need install bitcoin software – you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don’t speak english then use https://translate.google.com to translate your letter on english language.

Lösen not innehåller även versioner på andra språk.