ที่ HERMES ransomware ไวรัสคือรายงานว่าโดย malware นักวิเคราะห์เป็นต้อกระจายอคิดร้ายผ่านทางอีเมลล์จดหมายสแปมนะ ข้อความพวกนี้อาจจะเก็บ:
คคิดร้ายเชื่อมโยงบนเว็บหรือการเชื่อมโยงบนเว็บที่นำไปสู่ดาวน์โหลดของแฟ้มการติดเชื้อน
การติดเชื้อแฟ้มที่ฝังแนบเป็นสิ่งที่แนบมาด้วย(เอกสารกับอคิดร้ายเพิ่มมาสก์,สามารถสั่งประมวลผลได้,จาวาสคริปต์แฟ้มหรืออีกอคิดร้าย executables น)
อีกวิธีการของโดยซึ่ง HERMES 2.0 บการติดเชื้อสามารถเกิดขึ้นเป็นทางการใช้พื้นทีี่ขอคิดร้ายใช้ประโยชน์จา kits,ปรับปรุงเช่นเดียวติดเชื้อ installers,repackaged แฟ้มและปลอมกุญแจดมาเครื่องหรือซอฟต์แวร์ activators น ช่างสามารถเป็นอัปโหลดบทอร์เรนต์หน้าเว็บต่างๆเช่นเว็บไซต์ว่าเป็นการปลอมตัวที่ยอดเยี่ยม ช่างสามารถเปิดโดยอัตโนมัติโดยมีอาจไม่เป็นที่ต้องการโปรแกรมเนื่องจาก redirections(http://cyber-securitylab.com/remove-wowstart-online-redirect/)ของคุณเว็บเบราว์เซอร์
เมื่อผู้ใช้เปิดแฟ้มการติดเชื้อของ ransomware เชื้อไวรัสมันอาจเชื่อมโยงเป็นเครื่องปลายทางและวางแฟ้มต่อไปนี้ที่ติดเชื้อเครื่อง:
- Reload.exe
- system_ นค้างคาว
- เชดค้างคาว
- DECRYPT_INFO.txt
- DECRYPT_INFORMATION.html
- UNIQUE_ID_DO_NOT_REMOVE
- HERMES.exe
- เชดvbs
ที่เพิ่มมานอกเหนือจากพวกนั้นแฟ้มในไวรัสอาจจะหยุดตามวัตถุ:
- Cversions น2.db
- คอมพิวเตอร์การจัดการได้lnk
- หลายอนdb วัตถุกับสุ่มรายชื่อมายังตำแหน่ง%Caches%ไดเรกทอรีได้
เมื่อการติดเชื้อมีอะไรเกิดขึ้น HERMES 2.0 บน ransomware อาจจะในทันทีเริ่มกันจะใช้วิธีการ Evelen ต้องผ่าน UAC บริการ. งั้นไวรัสอาจเรียกประมวลผลที่ตามคำสั่งของโดยไม่มีผู้ใช้ที่แตกต่างออกกับวัตถุประสงค์ที่จะลบเงาของถ่ายเอกสาร:
→ระบวนการเรียกสร้าง”cmd.exe /c
vssadmin นpgm ลบเงามืด/ทั้งหมด/เงียบ
bcdedit นpgm/ตั้งค่าการปริยาย}recoveryenabled ไม่
bcdedit นpgm/ตั้งค่าการปริยาย}bootstatuspolicy ignoreallfailures
คนของเครื่องมือลบเงาขอสำเนา,รวมถึงการเถอะลบแฟ้มบนคอตามแฟ้มประเภท:
→นVHD นbac นbak นwbcat นbkf,กำลังเสริมแล้วตั้งค่ายชนะdsk
หลังจากเชื้อไวรัสถูกลบออกไปในเงาขอสำเนา,มันอาจจะเริ่มการแก้ไขใน Windows ลงชื่อเครื่องมือแก้ไขได้ พวกนี้การแก้ไขอาจจะรวมถึงการทำร้ายคนวิ่งไปวิ่งครั้ง windows กุญแจกับคนติดตามข้อมูล:
ดาวน์โหลดเครื่องมือการเอาออกเอา HERMES→HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่ง”/วี”allkeeper”/ที REG_SZ/d”%USERPROFILE%DesktopDECRYPT_INFORMATION.html”/f
HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่ง”/วี”sysrep”/ที REG_SZ/d”%PUBLIC%Reload.exe”/f
HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่ง”/วี”allkeeper”/ที REG_SZ/d
HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่ง”/วี”sysrep”/ที REG_SZ/d
HKCUซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่งallkeeper C:usersUserDesktopDECRYPT_INFORMATION.html
หลังจากที่ Reload.exe แฟ้มถูกวิ่ง ransomware ไวรัสเริ่มต้นที่การเข้ารหัสการประมวลผล
รหัสเข้าระบวนการของ HERMES 2.0 บน ransomware นเป้าหมายของรอยที่แตกต่างกันมากมาแฟ้มประเภทที่จะ encoded น คนส่วนขยายแฟ้มซึ่งเข้ารหัสถ้าตรวจสอบพบโดย ransomware ไวรัสเป็นรายงานว่าโดย malware researchers ต้องเป็นคนต่อไปนี้:
→นaccdb แล้วagif แล้วawdb แล้วถั่วนอนcdmm แล้วcdmz แล้วcdr3 แล้วcdr4 แล้วcdr6 แล้วcdrw แล้วclkw แล้วcrwl แล้วddoc แล้วเอกสาร djvucomment แล้วdocm แล้วdocx แล้วdocz แล้วdotm แล้วdotx แล้วdtsx แล้วemlx แล้วepsf แล้วfdxt แล้วfh10 แล้วfh11 แล้วfodt แล้วfpos แล้วft10 แล้วft11 แล้วfwdn แล้วgdoc แล้วgfie แล้วglox แล้วgthr แล้วhpgl แล้วhtml,งภาพไอคอนแล้วความคิด.itc2 แล้วitdb แล้วjbig แล้วjpeg,งjpg2 แล้วjrtf แล้วkdbx แล้วcomment แล้วmell แล้วmgcb แล้วmgmf แล้วmgmt แล้วmgmx แล้วmgtx แล้วmmat แล้วmobi แล้วmrxs แล้วpano แล้วpict แล้วpjpg แล้วpntg แล้วpobj แล้วpptm แล้วpptx แล้วpsdx แล้วpsid แล้วrctd แล้วreloc แล้วริฟ,นs2mv แล้วช่วยscad แล้วsdoc แล้วsmil แล้วssfn แล้วsumo แล้วsvgz แล้วข้อความ.แฟ้มภาพประเภท tiff,งutf8 แล้วภาษา vrmllanguage แล้วvsdm แล้วvsdx แล้วvstm แล้วvstx แล้วwbmp แล้วwebp แล้วwmdb แล้วxhtm แล้วxlgc แล้วxlsb แล้วxlsm แล้วxlsx แล้วzabw(700 มากกว่าเดิม)
สำหรับการเข้ารหัสกระบวนการนี้ทำซ้ำของ HERMES ransomware ใช้ส่วนขยายแฟ้มของมันเป็นชื่อของเพิ่มมันโดยที่ไม่หลงกันเป๊ะเลยนะ แฟ้มที่ปรากฎอย่างต่อไปนี้:
ในการเข้ารหัสโดย HERMES 2.0 บคือแสดงกับความช่วยเหลือของสองคนของส่วนใหญ่อะไรที่ซับซ้อรูปแบบรหัสดังนั้นถึงตอนนี้ AES และ RSA ดร.ปาร์น การเข้ารหัสนี้การวมถึงการเข้ารหัสของแฟ้มผ่านทางค AES อรหัสลับแล้ว RSA อรหัสลับ appends เป็นกุญแจพิเศษเพื่อแฟ้มพิเศษสำหรับทุกการติดเชื้อ
หลังจากเรื่องนี้ได้ถูกเสร็จสมบูรณ์แล้วที่ส่วนตัวสามารถถอดรหัสข้อมูลส่งให้ทานอาชญากรรมไซเบอร์-พวกอาชญากรและคนที่สองเวอร์ชั่นออกจากตามโปรดทวดขอให้ติดต่อกับไซเบอร์ขโมยผ่านทาง Bitmessage ที่อยู่:
คู่มือเอาเอง HERMES
ขั้นตอนที่ 1 ถอนการติดตั้ง HERMES และโปรแกรมที่เกี่ยวข้อง
Windows XP
- เปิดเมนู’เริ่ม’ แล้วคลิก’แผงควบคุม’
- เลือกเพิ่ม หรือเอาโปรแกรมออก
- เลือกแอพลิเคชันที่ไม่พึงประสงค์
- คลิกลบ
Windows 7 และ Vista
- คลิกเริ่ม แล้วเลือกแผงควบคุม
- ไปถอนการติดตั้งโปรแกรม
- คลิกขวาบนซอฟต์แวร์ที่น่าสงสัย
- เลือกถอนการติดตั้ง
Windows 8
- ย้ายเคอร์เซอร์ไปมุมซ้ายล่าง
- คลิกขวา และเปิด’แผงควบคุม’
- เลือกถอนการติดตั้งโปรแกรม
- ลบโปรแกรมที่ไม่พึงประสงค์
ขั้นตอนที่ 2 เอา HERMES จากเบราว์เซอร์ของคุณ
HERMES ออก Internet Explorer
- เปิด IE แล้วคลิกที่ไอคอนเกียร์
- เลือก’จัดการ add-on ‘
- ส่วนขยายที่ไม่ต้องการเอาออก
- เปลี่ยนโฮมเพจของคุณ: เกียร์คอน→ตัวเลือกอินเทอร์เน็ต (แท็บทั่วไป)
- การตั้งค่าเบราว์เซอร์ของคุณ: ไอคอนเกียร์→ตัวเลือกอินเทอร์เน็ต (แท็บขั้นสูง)
- คลิกรีเซ็ต กล่อง และคลิกตั้งค่าใหม่อีกครั้ง
ลบ HERMES จาก Mozilla Firefox
- Mozilla เปิด และคลิกที่เมนู
- เลือกโปรแกรม Add-on และไปขยาย
- เลือก add-on ที่ไม่ต้องการ และคลิกเอาออก
- Mozilla ใหม่: ข้อมูลการแก้ไขปัญหา Alt + H →
- คลิ Firefox ใหม่ ยืนยัน และคลิกเสร็จสิ้น
ถอนการติดตั้ง HERMES จาก Google Chrome
- เปิด Google Chrome และคลิกที่เมนู
- เลือกส่วนขยายเครื่องมือ→
- เลือก add-on และคลิกที่ไอคอนถังขยะสามารถ
- เปลี่ยนเครื่องมือค้นหา: การตั้งค่า→เมนู
- คลิกเครื่องมือจัดการค้นหาภายใต้ค้นหา
- ลบผลการค้นหา
- การตั้งค่าเบราว์เซอร์: การตั้งค่าเบราว์เซอร์ใหม่→การตั้งค่า
- คลิกตั้งค่าใหม่เพื่อยืนยันการกระทำของคุณ