Cyber Security LAB

Infekcie súbor Aes-ni ransomware môže byť silne obfuscated JavaScript, ktorý je škodlivý alebo kvapkadlom súbor. To môže tiež byť Trójske kone alebo iný škodlivý softvér, ako napríklad botnet, ktorý predtým ohrozená obeťou PC.

Šírenie infekcie súbor môže byť vedené cez mohutné spamové e-mailových kampaní, ktoré sa zameriavajú na jedinú vec – aby oklamať používateľov počítačov do kliknutím na škodlivý súbor, alebo škodlivý webový odkaz, ktorý je vložený do tela e-mail odoslaný. Jednou z takýchto správ možno vidieť nižšie:

Okrem e-mail, počítačoví zločinci, ktorí sú za Aes-ni infekcie môžu povoliť sami nahrať škodlivý súbory na zdieľanie súborov stránky, ako torrent stránky, napríklad. Tieto súbory môžu byť prezentované používateľovi za kľúčové generátory pre aktiváciu licencie pre daný program alebo crack alebo patch pre iný softvér.

Stiahnuť nástroj pre odstránenieodstrániť Aes-ni

Iné infekcie metódy môžu zahŕňať útoky prostredníctvom falošných aktualizácií alebo v dôsledku úmyselného prehliadač presmerovanie. Takáto situácia môže nastať, ak má užívateľ ad-podporované potenciálne nechcené aplikácie, tiež známy ako PUA.

Po infekcii sa stalo, nikto z tých scenárov, Aes-ni ransomware je škodlivé súbory môžu byť klesol na infikovanom počítači. Medzi ne patria:

• !!! PREČÍTAJTE SI TENTO – DÔLEŽITÉ !!!.txt
• .kľúčové.aes_ni súbory
• Exectuable súbory nachádzajú v priečinku %Systémovej Jednotke,%, %AppData% alebo %Windows% zložiek.

Okrem základných škodlivé súbory z Aes-ni, vírus môže tiež vytvárať duplicitné súbory alebo podporu modulov rôznych typov súborov (.dll, .tmp .vbs, .bat .exe), ktoré môžu byť umiestnené v nasledujúcich Windows adresáre:

• Reťazec %AppData%
• %Roaming%
• %Miestnych%
• %LocalLow%
• %SystemDrive%
• %Windows%
• %System32%

Činnosť vírus môže tiež zahŕňať zmeny Windows Registry sub-kľúče tak, že škodlivý spustiteľný súbor, ktorý šifruje súbory beží na systém start-up. Tlačidlá určené na to sú nasledujúce:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

V týchto tlačidiel, Aes-ni vírus môže vytvoriť vlastné hodnoty, reťazce s cestou na škodlivé súbory, takže ak chcete odstrániť vírus manuálne, môžete otvoriť kľúčom a vidieť, kde je nebezpečný súbor sa nachádza.

Na Aes-ni vírus tiež vykonáva kontrolu umiestnenie ohrozená počítača, a ak počítač je z jednej z krajín bývalého Sovietskeho zväzu, Aes-ni ransomware self-vymaže a nie šifrovať všetky súbory.

Ďalšie aktivity Aes-ni ransomware infekcie môžu zahŕňať zmeny a doplnenia Okna Tieňové kópie pomocou nasledujúcich administratívne Winodws Príkazového riadka príkaz:

→ proces hovoru vytvorenie “cmd.exe /c
vssadmin.exe odstrániť tiene /všetky /quiet
bcdedit.exe /set {predvolené} recoveryenabled č.
bcdedit.exe /set {predvolené} bootstatuspolicy ignoreallfailures

Stiahnuť nástroj pre odstránenieodstrániť Aes-ni

Na šifrovanie súborov, tento ransomware vírus využíva tzv. ECB šifrovanie režim. Toto šifrovanie režim obsahuje niekoľko rôznych šifrovanie sekvencie. Tento režim je známy aj ako Elektronický Kód Knihy režime. Tento režim sa používa, keď viac ako jeden blok údajov s rovnakým kľúčom je šifrované raz. Šifrovací algoritmus pre ECB režim sa nazýva Advanced Encryption Standard (AES) a je najsilnejší AES-256-bit. Potom , Aes-ni ransomware môžu kombinovať šifrovanie súborov s RSA algoritmus, ktorý generuje jedinečný dešifrovanie kľúča pre každý súbor, alebo súbor súbory. Dešifrovanie kľúče, potom môžu byť posielané cez šifrované spojenie na server v počítačoví zločinci, ktorí sú za Aes-ni ransomware.

Medzi súbory šifrované Aes-ni ransomware môžu byť nasledujúce:

• Dokumenty.
• Hudba.
• Videá.
• Nahrávky.
• Obrázky.
• Databázové súbory.

Po šifrovací proces dokončil, Aes-ni ransomware nastaví vlastnú súbor rozšírenie šifrované súbory sa zobrazia ako nasledujúce:

Posledný krok šifrovanie je proces oznámiť obeťou šifrované súbory. Toto sa stane tým, že upustia výkupné poznámka vírusu, menom !!! PREČÍTAJTE SI TENTO – DÔLEŽITÉ !!!.txt. To má nasledujúci obsah:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== Stiahnuť nástroj pre odstránenieodstrániť Aes-ni

Zdroj: id-ransomware-blogspot.bg

Manuál Aes-ni odstránenie sprievodca

Krok 1. Odinštalovať Aes-ni a súvisiace programy

Systém Windows XP

1. Otvorte ponuku Štart a kliknite na položku Ovládací Panel
2. Vyberte položku Pridať alebo odstrániť programy
3. Vyberte nechcené aplikácie
4. Kliknite na tlačidlo Odstrániť

Windows 7 a Vista

1. Kliknite na tlačidlo Štart a vyberte Ovládací Panel
2. Prejsť na odinštalovanie programu
3. Kliknite pravým tlačidlom na podozrivú softvér
4. Vyberte odinštalovať

Windows 8

1. Presuňte ukazovateľ do ľavého dolného rohu
2. Kliknite pravým tlačidlom myši a otvorte Ovládací Panel
3. Vyberte odinštalovať program
4. Odstrániť nechcené aplikácie

Krok 2. Odstrániť Aes-ni z vášho prehliadača

Odstrániť Aes-ni od Internet Explorer

1. Otvorte IE a kliknite na ikonu ozubeného kolesa
   
2. Vyberte spravovať doplnky
   
3. Odstrániť nechcené rozšírenia
4. Zmena domovskej stránky: ikonu ozubeného kolieska → možnosti internetu (karta Všeobecné)
   
5. Obnovte prehľadávač: ikonu ozubeného kolieska → možnosti internetu (spresnenie)
6. Kliknite na tlačidlo obnoviť, začiarknite políčko a kliknite na tlačidlo obnoviť
   

Odstrániť Aes-ni od Mozilla Firefox

1. Otvorte Mozilla a kliknite v ponuke
   
2. Doplnky a ísť na rozšírenie
3. Vyberte nežiaduce doplnku a kliknite na tlačidlo Odstrániť
   
4. Obnoviť Mozilla: Alt + H → informácie o riešení problémov
   
5. Kliknite na tlačidlo Reset Firefox, potvrďte ho a kliknite na tlačidlo Dokončiť
   

Odinštalovať Aes-ni od Google Chrome

1. Otvorte Google Chrome a kliknite na ponuku
   
2. Zvoľte nástroje → rozšírenia
3. Vyberte doplnok a kliknite na ikonu koša
   
4. Zmeniť vaše vyhľadávače: Menu → nastavenia
5. Kliknite na položku Spravovať vyhľadávače pod Hľadať
   
6. Odstrániť nežiaduce vyhľadávač
   
7. Obnovte prehľadávač: nastavenia → obnoviť nastavenie prehľadávača
   
8. Kliknutím na tlačidlo obnoviť potvrďte akciu