Cyber Security LAB

Falošný Windows Updater ransomware infekcia sa môže šíriť prostredníctvom rôznych techník. Vírus môže použiť tretej-party inštalatérov cez podvodné web stránky, ktoré sa zobrazujú užívateľovi správu, ktorá požiada o aktualizáciu počítača. Teda, užívatelia si môžu stiahnuť súbor s názvom 1xxx106Updater1xxx.exe čo nie je skutočné Updater, ale skôr loader alebo kvapkadlom škodlivý súbory tento ransomware vírus. Zvyčajne sa takéto rozdelenie webové stránky sú na celom webe, ale môžu byť zobrazené ako pop-ups do počítača, v prípade, že je ad-podporované aplikácie, ktorá je potenciálne nežiaduci, inými slovami, adware alebo prehliadač útočník sa nebude aplikácia nainštalovaná.

Činnosť Falošné Windows Updater vírus sa skladá z viacerých rôznych činností, z ktorých prvý je pokles škodlivé súbory na infikovanom počítači. Hlavným súbory súvisiace s Falošnými Windows Updater ransomware sú nasledovné:

Stiahnuť nástroj pre odstránenieodstrániť Updater

• WindowsUpdater.exe
• Translation-Report.docx.exe

Zmazať súbory, vírus môže tiež nadviazať spojenie s týmito konakli:

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Po už založení pripojenie k hostiteľovi, ransomware vírus môže začať ak chcete odstrániť tieň, objem kópií z infikovaného počítača. To je dosiahnuteľné v pozadí podľa zadaní týchto príkazov cez skript:

→ proces hovoru vytvorenie “cmd.exe /c
vssadmin.exe odstrániť tiene /všetky /quiet
bcdedit.exe /set {predvolené} recoveryenabled č.
bcdedit.exe /set {predvolené} bootstatuspolicy ignoreallfailures

Okrem manipulácie s Windows tieňové kópie, Falošný Windows Updater ransomware môže ťažko narúšať Windows Editor databázy Registry, konkrétne s sub-kľúče, ktoré chcete upraviť niektoré nastavenia, ako napríklad spustenie súborov na zavádzanie systému alebo zmeniť tapetu:

→ Kľúč HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Okrem toho, ostatné činnosti, môže byť na zobrazenie pop-up, ktorý Je pomenovaný SÚBOR ZABEZPEČENIA CHRÁNENÝCH po šifrovania súborov.

Proces šifrovania súborov kódované Falošné Windows Updater Ransomware sa uskutočňuje pomocou najsilnejších AES (Advanced Encryption Algorithm) s 256-bit silu. Cipher sa nanáša šifrované súbory v bloky s vygenerovaný kľúč. Na šifrovací proces tohto vírusu, nasledujúce typy súborov sú zamerané tým, že:

→ .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10 ton, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes .aet, .afm .ai, .aif .amj, .ako, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .späť .bak, .bat .bay .sc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .licencie cal .mačka, .cb, .cd .kongregáciu pre náuku viery, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .spoločnej politiky rybného hospodárstva .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .príkaz cmd .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css .csv .cur, .cus, .d07, .dac, .dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .do dng .doc, .docb, .docm, .docx, .bodka, .dotm, .dotx, .drw, .ds4, .dsb .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .vstupn modul emd, .eml, .emp, .en, .ent, .epa, .epb, .eps .eqb, .ert, .esk, .ess, .esv, .etq, .ets .exp .fa1, .fa2, .fca, .fcpa .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .skladba, .dup, .html .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .mff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int .intu, .inv, .inx, .ipe, .ipg, .itf, .jar .java, .jng, .jp2, .jpeg .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .tlačidlo .kmo, .kmy, .ležal, .lay6, .lcd, .ldc, .ldf, .ldr, .pozrime sa, .lgb, .lhr, .veko, .lin, .lld, .lmr, .denník .lua, .lz, .m .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac .max, .mbsb, .md, .mda .mdb .mdf, .mef, .mem, .splnené .meta, .mhtm, .mid, .mkv, .vm 2, .vm 9, .mlb, .licencii manažéra, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .menovej, .mov, .mp2, .mp3 .mp4 .mpa .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .možnosť, .obi, .odb, .odc, .odg, .odm, .doc, .ods, .odt, .oet, .ofc, .ofx, .staré .omf, .op .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pnr, .pdd, .pdf .pem, .na, .pfb, .pfd, .pfx, .pg, .php .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png .pns, .por, .banku .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pre tlač pr2, .pr3, .pr4, .pr5, .prel, .zrf, .prn .prpr, .ps, .psd, .psp .pst, .ptb, .ptdb, .ptk, .ptx, .pvc .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .kba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .program na, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf .rar, .rao .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm .rpf, .rsspptm, .rtf .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .povedať, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .švu .ses, .nastavené .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .decht .daň, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka

Stiahnuť nástroj pre odstránenieodstrániť Updater

Po šifrovanie súborov je pripojený šifrovaný súbor rozšírenie a vyzerať ako na obrázku nižšie sa zobrazí:

Tento režim šifrovania je pomenovaný ECB (Elektronické Codebook) režime. Jeho cieľom je nahradiť blokov dát od legitímne súbory s údajmi z šifra a jedinečný dešifrovanie kľúča sa generujú pre každú infikovanom počítači:

Zdroj: Wikipédia

Kľúč sa potom môžu byť zaslané na kybernetické zločinca a potom výkupné poznámka spadol na zem, aby obeť vedomí, vydieranie prebieha. Poznámka má nasledujúci obsah:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Manuál Updater odstránenie sprievodca

Krok 1. Odinštalovať Updater a súvisiace programy

Systém Windows XP

1. Otvorte ponuku Štart a kliknite na položku Ovládací Panel
2. Vyberte položku Pridať alebo odstrániť programy
3. Vyberte nechcené aplikácie
4. Kliknite na tlačidlo Odstrániť

Windows 7 a Vista

1. Kliknite na tlačidlo Štart a vyberte Ovládací Panel
2. Prejsť na odinštalovanie programu
3. Kliknite pravým tlačidlom na podozrivú softvér
4. Vyberte odinštalovať

Windows 8

1. Presuňte ukazovateľ do ľavého dolného rohu
2. Kliknite pravým tlačidlom myši a otvorte Ovládací Panel
3. Vyberte odinštalovať program
4. Odstrániť nechcené aplikácie

Krok 2. Odstrániť Updater z vášho prehliadača

Odstrániť Updater od Internet Explorer

1. Otvorte IE a kliknite na ikonu ozubeného kolesa
   
2. Vyberte spravovať doplnky
   
3. Odstrániť nechcené rozšírenia
4. Zmena domovskej stránky: ikonu ozubeného kolieska → možnosti internetu (karta Všeobecné)
   
5. Obnovte prehľadávač: ikonu ozubeného kolieska → možnosti internetu (spresnenie)
6. Kliknite na tlačidlo obnoviť, začiarknite políčko a kliknite na tlačidlo obnoviť
   

Odstrániť Updater od Mozilla Firefox

1. Otvorte Mozilla a kliknite v ponuke
   
2. Doplnky a ísť na rozšírenie
3. Vyberte nežiaduce doplnku a kliknite na tlačidlo Odstrániť
   
4. Obnoviť Mozilla: Alt + H → informácie o riešení problémov
   
5. Kliknite na tlačidlo Reset Firefox, potvrďte ho a kliknite na tlačidlo Dokončiť
   

Odinštalovať Updater od Google Chrome

1. Otvorte Google Chrome a kliknite na ponuku
   
2. Zvoľte nástroje → rozšírenia
3. Vyberte doplnok a kliknite na ikonu koša
   
4. Zmeniť vaše vyhľadávače: Menu → nastavenia
5. Kliknite na položku Spravovať vyhľadávače pod Hľadať
   
6. Odstrániť nežiaduce vyhľadávač
   
7. Obnovte prehľadávač: nastavenia → obnoviť nastavenie prehľadávača
   
8. Kliknutím na tlačidlo obnoviť potvrďte akciu