Cyber Security LAB

Infektion processen av denna ransomware virus består av en blandning av olika verktyg för att genomföra infektion:

• Utnyttjar för alla SMB-versioner, som används av WannaCry ransomware.
• Malcious makron.
• Infektion programvara (Droppers, Lastare).
• Skadliga spam mjukvara.
• Maskar eller Botnät infektioner.
• En förkonfigurerad lista över e-postadresser som är spam.

Detta kan resultera i att skicka flera olika typer av spam e-postmeddelanden. Dessa spam e-postmeddelanden kan innehålla olika skadliga filer som laddas upp som e-postbilagor. De filer som presenteras som legitima handlingar i övertygande budskap, som i exemplet nedan:

Vissa e-postmeddelanden kan även innehålla inbäddade skadliga makron som kan låtsas att låta användaren visa innehållet efter de makron som har aktiverats, vilket orsakar infektionen:

Andra metoder för att sprida den .UIWIX fil virus kan ske via mer sofistikerade skadliga program såsom botnet infektioner, Trojaner, som tidigare infekterade system samt mask infektioner som sprids automatiskt från en dator till dator.

Så snart det oundvikliga hänt, lastare av UIWIX Ransomware droppar skadliga filer av viruset i olika Windows mappar, under olika namn, till exempel:

Hämta Removal Toolta bort UIWIX Ransomware

När filerna har sjunkit, UIWIX Ransomware erhåller administrativa behörigheter över offrets dator.Så snart dessa erhållits viruset kan fokusera på att ta bort:

• Systemåterställningspunkter.
• Windows skuggkopior.

Detta är möjligt genom att köra bcedit och vssadmin kommandon med förhöjda privilegier i Windows kommandotolken:

Efter att detta har genomförts, den ransomware kan också kraftigt ändra Windows Registereditorn och mål som Kör och RunOnce registernycklar, som har följande platser:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

I dessa nycklar, UIWIX Ransomware virus kan skapa flera olika värden med anpassade uppgifter inom dem som har slumpmässigt namn.

Förutom att ha sjunkit skadliga filer på den infekterade datorn, UIWIX Ransomware sjunker också lösen not I en text fil, som heter _DECODE_FILES.txt. Den har följande innehåll:

>>> ALL YOUR PERSONAL FILES ARE DECODED

Viruset också omdirigeringar till en egen TOR-baserad webbsida, där efter in mänsklig kontroll CAPTCHA, offret ledde till följande skärm:

När det kommer till att kryptera filer, UIWIX Ransomware inte bråka om. Viruset ser ut för viktiga filer och är mycket noga med att hoppa över systemet mappar, som:

• %Windows%
• %AppData%
• %System32%
• %Lokala%
• %LocalLow%
• %Roaming%

Annat än att, följande filtyper kan vara krypterad om din dator har smittats av UIWIX Ransomware:

• Ljudfiler.
• Filtyperna.
• Arkiven.
• Virtual drive-filer.
• Handlingar.
• Systemet bildfiler.
• Flera video-fil typer.

Efter UIWIX attackerar din dator, virus ersätter block av data från de ursprungliga filerna krypterade data och sedan genererar en unik krypteringsnyckel som motsvarar data. Denna knapp kan du bara få om lösen av ca 0.12 BTC är betald som är INTE TILLRÅDLIGT. Efter kryptering, filerna kan se ut som följande:

Manual [postnamn] avlägsnande Guide

Hämta Removal Toolta bort UIWIX Ransomware

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

1. Öppna Start-menyn och klicka på Kontrollpanelen
2. Välj Lägg till eller ta bort program
3. Välj det oönskade programmet
4. Klicka på ta bort

Windows 7 och Vista

1. Klicka på Start och välj Kontrollpanelen
2. Gå till avinstallera ett program
3. Högerklicka på den misstänkta programvaran
4. Välj avinstallera

Windows 8

1. Flytta markören till det nedre vänstra hörnet
2. Högerklicka och öppna Kontrollpanelen
3. Välj avinstallera ett program
4. Ta bort oönskade program

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

1. Öppna IE och klicka på växel ikonen
   
2. Välj Hantera tillägg
   
3. Ta bort oönskade tillägg
4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
   
5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
6. Klicka på Återställ, markera rutan och klicka på Återställ igen
   

Ta bort [postnamn] från Mozilla Firefox

1. Öppna Mozilla och klicka på menyn
   
2. Välj tillägg och gå till anknytningar
3. Välj oönskade tillägg och klicka på ta bort
   
4. Återställ Mozilla: Alt + H → felsökningsinformation
   
5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
   

Avinstallera [postnamn] från Google Chrome

1. Öppna Google Chrome och klicka på menyn
   
2. Välj verktyg → tillägg
3. Välj tillägget och klicka på papperskorgsikonen
   
4. Ändra din sökmotor: menyn → Inställningar
5. Klicka på Hantera sökmotorer under Sök
   
6. Ta bort oönskade sökleverantör
   
7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
   
8. Klicka på Återställ för att bekräfta din åtgärd