Cyber Security LAB

การติดเชื้อแฟ้มของ Aes-ni ransomware อาจจะเป็นงานหนัก obfuscated จาวาสคริปต์นั่นมันคิดร้ายหรือ dropper แฟ้ม มันอาจจะเป็นม้าโทรจันหรืออื่นๆ malware อย่างเช่น botnet นั่นมีความเดิมตอนที่แล้วในอันตรายของเหยื่อฉลองชนแก้วหน่อย

ที่ดิสทริบิวชันของการติดเชื้อแฟ้มอาจจะ conducted ผ่านทางใหญ่มากเธอเลือดไหลเยอะมากป้องกันสแปมอีเมลหาเสีนั้นเล็งไปที่สิ่งหนึ่งเดียวที่จะหลอกใช้ในการคลิกเหมือนกับคนคิดร้ายแฟ้มหรือคิดร้ายเชื่อมโยงบนเว็บนั่นมันฝังอยู่ในร่างของอีเมลล์ส่งมาแล้ว หนึ่งตัวอย่างเช่นข้อความสามารถถูกเห็นด้านล่างนี้:

ดาวน์โหลดเครื่องมือการเอาออกเอา Aes-ni

นอกจากอีเมลล์อาชญากรรมไซเบอร์-พวกอาชญากรที่อยู่เบื้องหลังเรื่องที่ Aes-ni การติดเชื้ออาจจะอนุญาตตัวเองเพื่อคิดร้ายอัปโหลดแฟ้มบนแฟ้ม-แบ่งเว็บไซต์เหมือนทอร์เรนต์ไซต์ของตัวอย่างเช่น เช่นแฟ้มอาจจะเสนอเพื่อผู้ใช้เป็นกุญแจดมาเครื่องจะเปิดใช้งานใบอนุญาตสำหรับให้โปรแกรมหรือรอยแตกหรือปะสำหรับแตกต่างซอฟต์แวร์

อีกวิธีการของการติดเชื้ออาจรวมถึงการโจมตีผ่านทางปลอมปรับปรุงหรือเป็นผลลัพธ์ของเบราว์เซอร์คิดร้ายเปลี่ยนปลายทางจดหมายน ช่างสามารถเกิดขึ้นถ้าผู้ใช้มีโฆษณา-สนับสนุนอาจจะไม่เป็นที่ต้องการโปรแกรมที่รู้จักกันอีกชื่อ PUA น

เมื่อการติดเชื้อมีอะไรเกิดขึ้นโดยเรื่องอะไรพวกนั้นเลยเหตุการณ์จำลอง,Aes-ni ransomware นคิดร้ายงแฟ้มจะทำหล่นบนรติดเชื้อบนเครื่องคอมพิวเตอร์ พวกเขารวม:

• !!! อ่านมัน–สำคัญ!!!.txtname
• ได้กุญแจสำคัญ.aes_ni แฟ้ม
• Exectuable แฟ้มยังตำแหน่ง%ของระบบไดรฟ์%,%AppData%หรือ%Windows%โฟลเดอร์ได้

นอกจากเป็นผู้ต้องคิดร้ายแฟ้มของ Aes-ni นไวรัสอาจจะสร้างที่ซ้ำกันออกแฟ้มหรือสนับสนุนมอดูลที่แตกต่างกันระเภทของแฟ้ม(องdll แล้วtmp แล้วvbs แล้วไม้เบสบอนpgm)นั่นอาจจะยังตำแหน่งต่อไปนี้ Windows ไดเรกทอรี:

ดาวน์โหลดเครื่องมือการเอาออกเอา Aes-ni

• %AppData%
• %เดินป้วนเปี้ยนอยู่%
• %ท้องถิ่น%
• %LocalLow%
• %SystemDrive%
• %Windows%
• %System32%

ที่กิจกรรมของไวรัสอาจจะรวมคนไขของ Windows ลงชื่อรายการย่อยขอกุญแจในแบบที่คนคิดร้ายสามารถสั่งประมวลผลได้นั่น encrypts แฟ้มวิ่งบนระบบตั้งขึ้น กุญแจเป้าหมายสำหรับตอนนี้ต่อไปนี้:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

ในพวกนั้นกุญแจที่ Aes-ni ไวรัสอาจจะสร้างกำหนดค่าใช้เส้นสายกับตำแหน่งของแฟ้มคิดร้าย,ดังนั้นถ้าคุณลองไวรัสด้วยตนเองคุณสามารถเปิดกุญแจและเห็นที่แฟ้มคิดร้ายยังตำแหน่งนี้

ที่ Aes-ni ไวรัสยัง performs เช็คของตำแหน่งของประนีประนอมพิวเตอร์และถ้าคอมพิวเตอร์มาจากหนึ่งในอดีตล่มสลายของโซเวียตประเทศที่ Aes-ni ransomware ตัวเองลบและไม่ได้เข้ารหัสมีแฟ้ม

อีกกิจกรรมของ Aes-ni ransomware การติดเชื้ออาจจะรวมทำการแก้ไขของหน้าต่างของเงามพ์ผ่านทางคนตามหลัก Winodws คำสั่งให้แจ้งเตือนบรรทัดคำสั่ง:

→ระบวนการเรียกสร้าง”cmd.exe /c
vssadmin นpgm ลบเงามืด/ทั้งหมด/เงียบ
bcdedit นpgm/ตั้งค่าการปริยาย}recoveryenabled ไม่
bcdedit นpgm/ตั้งค่าการปริยาย}bootstatuspolicy ignoreallfailures

จะทำการเข้ารหัสแฟ้มนี้ ransomware องไวรัสใช้เรียกว่า ECB การเข้ารหัสไม่มีเวลาคุยกับเธอ นี่โหมดการเข้ารหัสวมถึงหลายต่างกันการเข้ารหัสลำดับ คนโหมดเป็นที่รู้จักกันอีกชื่อรหัสอิเล็กทรอนิกส์หนังสือไม่มีเวลาคุยกับเธอ โหมดนี้จะถูกใช้เมื่อมากกว่าหนึ่งบล็อกของข้อมูลกับเดียวกับกุญแจเข้ารหัสครั้งเดียว ในการเข้ารหัสอัลกอริธึมสำหรับ ECB โหมดเรียกว่าการเข้ารหัสเพิ่มเติมมาตรฐาน(AES)และต้องเป็นผู้แข็งแกร่งต้อง AES-256 ดหน่อย งั้น,Aes-ni ransomware อาจจะรวมแฟ้มการเข้ารหัสกับ RSA อัลกอริธึมซึ่งสร้างเป็นยูนิคสามารถถอดรหัสกุญแจสำหรับแฟ้มแต่ละแฟ้มหรือตั้งค่าของแฟ้ม การถอดรหัสกุญแจอาจจะถูกส่งผ่านทางเข้ารหัสการเชื่อมต่อไปที่เซิร์ฟเวอร์ของไซเบอร์-พวกอาชญากรที่อยู่เบื้องหลังเรื่อง Aes-ni ransomware น

ดาวน์โหลดเครื่องมือการเอาออกเอา Aes-ni

อยู่ท่ามกลางคนที่แฟ้มถูกเข้ารหัสโดย Aes-ni ransomware อาจจะเป็นคนต่อไปนี้:

• เอกสารต่างๆ
• เพลง
• วีดีโอ.
• นทึกเสียงไว้รึปล่าว
• ภาพถ่ายต่างๆทั้งนี้
• ฐานข้อมูลแฟ้ม

หลังจากรหัสเข้าระบวนการมีเสร็จสมบูรณ์ที่ Aes-ni ransomware ตั้งค่าการกำหนดส่วนขยายแฟ้มที่ถูกเข้ารหัสแฟ้มและพวกเขาดูเหมือนต่อไปนี้:

สุดท้ายขั้นตอนของรหัสเข้าระบวนการคือการแจ้งให้ทราบของเหยื่อของที่ถูกเข้ารหัสแฟ้ม นี่มันเกิดขึ้นโดยลงโปรดทวดของไวรัสที่ชื่อ!!! อ่านมัน–สำคัญ!!!.txtname น มันมีคนตามเนื้อหาภายใน:

==========================# aes-ni ransomware #========================== █████╗ ██████╗██████╗ ███╗ ██╗ ██╗ ██╔â•â–ˆâ–ˆâ•—██╔â•â•â•â•â–ˆâ–ˆâ•”â•â•â•â• ████╗ ██║ ██║ ██████║█████╗ ██████╗███╗██╔██╗██║ ██║ ██╔â•â–ˆâ–ˆâ•‘██╔â•â•â• â•šâ•â•â•â–ˆâ–ˆâ•‘â•šâ•â•â•â–ˆâ–ˆâ•‘╚████║ ██║ ██║ ██║██████╗██████║ ██║ ╚███║ ██║ â•šâ•â• â•šâ•â•â•šâ•â•â•â•â•â•â•šâ•â•â•â•â•â• â•šâ•â• â•šâ•â•â• â•šâ•â• SORRY! Your files are encrypted. File contents are encrypted with random key (AES-256 bit; ECB mode). Random key is encrypted with RSA public key (2048 bit). We STRONGLY RECOMMEND you NOT to use any “decryption tools”. These tools can damage your data, making recover IMPOSSIBLE. Also we recommend you not to contact data recovery companies. They will just contact us, buy the key and sell it to you at a higher price. If you want to decrypt your files, you have to get RSA private key. In order to get private key, write here: 0xc030@protonmail.ch Also there is one fast way to contact us. If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!) You can get Jabber account for example at https://www.xmpp.jp/signup IMPORTANT: In some cases malware researchers can block our e-mails. If you did not receive any answer on e-mail in 48 hours, please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN or create topic on https://www.bleepingcomputer.com/ and we will find you there. Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites. There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly. If someone else offers you files restoring, ask him for test decryption. Only we can successfully decrypt your files; knowing this can protect you from fraud. You will receive instructions of what to do next. You MUST refer this ID in your message: {Unique ID}Also you MUST send all “.key.aes_ni” files from C:ProgramData if there are any. ==========================# aes-ni ransomware #========================== ดาวน์โหลดเครื่องมือการเอาออกเอา Aes-ni

แหล่ง:หมายเลข-ransomware-blogspot นbg

คู่มือเอาเอง Aes-ni

ขั้นตอนที่ 1 ถอนการติดตั้ง Aes-ni และโปรแกรมที่เกี่ยวข้อง

Windows XP

1. เปิดเมนู’เริ่ม’ แล้วคลิก’แผงควบคุม’
2. เลือกเพิ่ม หรือเอาโปรแกรมออก
3. เลือกแอพลิเคชันที่ไม่พึงประสงค์
4. คลิกลบ

Windows 7 และ Vista

1. คลิกเริ่ม แล้วเลือกแผงควบคุม
2. ไปถอนการติดตั้งโปรแกรม
3. คลิกขวาบนซอฟต์แวร์ที่น่าสงสัย
4. เลือกถอนการติดตั้ง

Windows 8

1. ย้ายเคอร์เซอร์ไปมุมซ้ายล่าง
2. คลิกขวา และเปิด’แผงควบคุม’
3. เลือกถอนการติดตั้งโปรแกรม
4. ลบโปรแกรมที่ไม่พึงประสงค์

ขั้นตอนที่ 2 เอา Aes-ni จากเบราว์เซอร์ของคุณ

Aes-ni ออก Internet Explorer

1. เปิด IE แล้วคลิกที่ไอคอนเกียร์
   
2. เลือก’จัดการ add-on ‘
   
3. ส่วนขยายที่ไม่ต้องการเอาออก
4. เปลี่ยนโฮมเพจของคุณ: เกียร์คอน→ตัวเลือกอินเทอร์เน็ต (แท็บทั่วไป)
   
5. การตั้งค่าเบราว์เซอร์ของคุณ: ไอคอนเกียร์→ตัวเลือกอินเทอร์เน็ต (แท็บขั้นสูง)
6. คลิกรีเซ็ต กล่อง และคลิกตั้งค่าใหม่อีกครั้ง
   

ลบ Aes-ni จาก Mozilla Firefox

1. Mozilla เปิด และคลิกที่เมนู
   
2. เลือกโปรแกรม Add-on และไปขยาย
3. เลือก add-on ที่ไม่ต้องการ และคลิกเอาออก
   
4. Mozilla ใหม่: ข้อมูลการแก้ไขปัญหา Alt + H →
   
5. คลิ Firefox ใหม่ ยืนยัน และคลิกเสร็จสิ้น
   

ถอนการติดตั้ง Aes-ni จาก Google Chrome

1. เปิด Google Chrome และคลิกที่เมนู
   
2. เลือกส่วนขยายเครื่องมือ→
3. เลือก add-on และคลิกที่ไอคอนถังขยะสามารถ
   
4. เปลี่ยนเครื่องมือค้นหา: การตั้งค่า→เมนู
5. คลิกเครื่องมือจัดการค้นหาภายใต้ค้นหา
   
6. ลบผลการค้นหา
   
7. การตั้งค่าเบราว์เซอร์: การตั้งค่าเบราว์เซอร์ใหม่→การตั้งค่า
   
8. คลิกตั้งค่าใหม่เพื่อยืนยันการกระทำของคุณ