Our priority
Your Security

Ta bort WanaCrypt0r

Liknande den föregående .wcry variant , denna ransomware iteration kan även använda samma metoder för att sprida sig. De är förbundna med användning av olika typer av verktyg som används särskilt för att sprida skadliga filer och Webbadresser utan att bli upptäckt:

  • Spam programvara (spam-robotar, crawlers, etc)
  • Förkonfigurerade lista av e-postadresser av potentiella offer som spam-mail kan skickas.
  • Mellanhand malware för att bedriva hiv-infektion.
  • En uppsättning av servrar och distribution domäner för ledning och styrning och ladda ner .WNCRY fil virus nyttolast.

Även om WanaCrypt0r 2.0 ransomware kan spridas via torrent webbplatser, falska uppdateringar eller andra falska uppställningar och körbara filer uppladdade på skuggiga hots, det virus som främsta metod för spridning kan ske via ett övertygande sätt skapade e-post. Sådan e-post som syftar till att få offren att klicka på en skadlig e-postmeddelande och därmed bli infekterad med det .WNCRY fil med virus. En e-post av dessa som kan innehålla infektion fil av denna ransomware kan ses nedan:

Bifogade filer kan oftast vara .js, .exe-eller andra typer av körbara filer, men i vissa situationer de är också relaterade med skadliga makron. Dessa skadliga makron kan aktiveras när användaren gör att innehållet i ett dokument. Här är hur denna infektion processen genomförs:

Hämta Removal Toolta bort WanaCrypt0r

Den första infektioner av WanaCrypt0r 2.0 har varit i Ryssland, Tyskland, Taiwan, Turkiet, Kazakstan, Indonesien, Vietnam, Japan, Spanien, Ukraina och Filippinerna. Men de länder som antalet kan stiga mycket snabbt snart, eftersom detta mönster visar global distribution kampanj.

Så snart som en infektion med denna ransomware är redan oundvikligt, kan viruset omedelbart placera det nyttolast på datorn för offret. Nyttolasten kan finnas i flera olika mappar, inklusive:

  • %AppData%
  • %Lokala%
  • %LocalLow%
  • %Roaming%
  • %Windows%

Nyttolasten kan bestå av flera olika typer av filer. Vissa av dessa filer kan ändra Windows Registereditorn och mål som Kör och RunOnce-nycklar:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

I dessa nycklar, anpassade värdet strängar med uppgifterna i dem kan vara ingången så att det är möjligt för ransomware att köra på start och börja kryptera filer på boot.

Utöver den verksamhet WanaCrypt0r .WNCRY infektion kan vara att ta bort skuggan volym kopior på den infekterade datorn. Detta görs genom att köra följande administrativa Windows kommandon:

→ process kallar skapa ”cmd.exe /c
vssadmin.exe ta bort skuggor /alla /quiet
bcdedit.exe – /set {default} recoveryenabled nr
bcdedit.exe – /set {default} bootstatuspolicy ignoreallfailures

Utöver denna aktivitet, WanaCrypt0r .WNCRY virus sjunker också ett program, som heter @WanaDecryptor@.exe som har en verklig timer med avancerade instruktioner om hur att betala lösen. Detta program kallas ”WanaCrypt0r 2.0″ och det är meddelandet ser ut som följande:

Efter att timern på detta program går ut kostnaden för lösen payoff kan dubbla, enligt scareware meddelanden och den tidigare versionen, också med hjälp av denna programvara.

En annan åtgärd programmet gör är att den ändrar bakgrundsbild på offrets dator med följande meddelande:

Två krypterings algoritmer som kan användas för detta specifika ransomware infektion. En av dessa är känd som AES (Advanced Encryption Standard) och kan användas i 128-bitars styrka. Det är en av de starkaste chiffer och kan inte dekrypteras om inte de kriminella gör ett misstag i-kryptering kod. Det kan generera en symmetrisk nyckel, som kallas FEK-tangenten efter kryptering. Nyckeln kan vara den enda metoden för att dekryptera filer eftersom det i en process kan vändas.

I tillägg till detta, en annan chiffer kallas Floder-Shamir-Adleman eller RSA används också i kombination med AES kryptering för att generera unika publika och privata nycklar för var och en av filerna. Detta gör dekryptering av varje fil separat och mycket svår och unik process.

För mer information om dessa algoritmer, kan du kontrollera den relaterade artikeln nedan:

För krypteringen .WNCRY virus mål filer som används ofta. Dessa filer är vanligtvis följande:

→ ”PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF-filen .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .Preliminära BUDGETFÖRSLAGET .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .BURKEN .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Filer .Som DWG-format .DXF-GIS-Filer .GPX .KML .KMZ-filen .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOGGA in .MSG .ODT .SIDOR .RTF .TEX .TXT .WPD .WPS .En CSV-fil .DAT .GED .- TANGENTEN .NYCKELRING .PPS .PPT .PPTX ..INI .PRF-Kodade Filer .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TJÄRA .TAX2014 .TAX2015 .VCF .XML-ljudfiler .AIF-fonden .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video-Filer .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 DM .3DS .MAX .PR R. BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF-plattform .TTF .HYTTEN .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com

När krypteringen är klar .WNCRY virus kan skicka dekrypteringsnyckeln till cyber-brottslingar så att de kan skapa en egen decrypter för offret som kommer att skickas tillbaka till honom när lösen är betald. Betala lösen, dock är högst olämpligt.

Filerna har lagts till .WNCRY file extension till dem som är unik för infektion. Filerna kan se ut som följande och kan inte öppnas med någon programvara:

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

  1. Öppna Start-menyn och klicka på Kontrollpanelen
  2. Välj Lägg till eller ta bort program
  3. Välj det oönskade programmet
  4. Klicka på ta bort

Windows 7 och Vista

  1. Klicka på Start och välj Kontrollpanelen
  2. Gå till avinstallera ett program
  3. Högerklicka på den misstänkta programvaran
  4. Välj avinstallera

Windows 8

  1. Flytta markören till det nedre vänstra hörnet
  2. Högerklicka och öppna Kontrollpanelen
  3. Välj avinstallera ett program
  4. Ta bort oönskade program

control-panel-uninstall Ta bort WanaCrypt0r

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

  1. Öppna IE och klicka på växel ikonen
    ie-settings Ta bort WanaCrypt0r
  2. Välj Hantera tillägg
    ie-manage-addons Ta bort WanaCrypt0r
  3. Ta bort oönskade tillägg
  4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
    ie-internet-options Ta bort WanaCrypt0r
  5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
  6. Klicka på Återställ, markera rutan och klicka på Återställ igen
    ie-reset Ta bort WanaCrypt0r

Ta bort [postnamn] från Mozilla Firefox

Hämta Removal Toolta bort WanaCrypt0r
  1. Öppna Mozilla och klicka på menyn
    ff-settings-menu Ta bort WanaCrypt0r
  2. Välj tillägg och gå till anknytningar
  3. Välj oönskade tillägg och klicka på ta bort
    ff-extensions Ta bort WanaCrypt0r
  4. Återställ Mozilla: Alt + H → felsökningsinformation
    ff-troubleshooting Ta bort WanaCrypt0r
  5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
    ff-troubleshooting Ta bort WanaCrypt0r

Avinstallera [postnamn] från Google Chrome

  1. Öppna Google Chrome och klicka på menyn
    chrome-menu-tools Ta bort WanaCrypt0r
  2. Välj verktyg → tillägg
  3. Välj tillägget och klicka på papperskorgsikonen
    chrome-extensions Ta bort WanaCrypt0r
  4. Ändra din sökmotor: menyn → Inställningar
  5. Klicka på Hantera sökmotorer under Sök
    chrome-manage-search Ta bort WanaCrypt0r
  6. Ta bort oönskade sökleverantör
    chrome-search-engines Ta bort WanaCrypt0r
  7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
    chrome-reset Ta bort WanaCrypt0r
  8. Klicka på Återställ för att bekräfta din åtgärd

Leave a comment

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>