Cyber Security LAB

การติดเชื้อระบวนการของ NK_ ransomware เริ่มต้นด้วยมันเป็นระบวนการแจกจ่าย มันเป็น conducted ผ่านทางหลายต่างออกวิธีการของ หนึ่งในนั้นคือผ่านทางป้องกันสแปมออีเมลล์ส่งออกมาเพื่อใช้แสร้งทำเป็นถูกต้องตามกฎหมายถ้ามอง อีเมลล์ปกติจะมีหนึ่งในทั้งสอง:

การเชื่อมโยงบนเว็บ redirecting ต้องเป็นเว็บไซต์ที่คนคิดร้ายแฟ้มอัปโหลดไปได้
คคิดร้ายแฟ้มจัดเก็บอัปโหลดไปที่อีเมลรวมเป็นสิ่งที่แนบมาด้วย

ดาวน์โหลดเครื่องมือการเอาออกเอา NK_ File

สองคนนี้คิดร้ายวัตถุอาจจะมาพร้อมกันโดย deceitful ข้อความที่เล็งไปที่จะโน้มน้าวเหยื่อของ ransomware ไวรัสที่จะเปิดสิ่งที่แนบมาด้วยหรือคลิกที่ปุ่มบนเว็บที่อยู่เชื่อมโยงนี้ พวกเขาอาจ resemble invoice งเกตุเห็นการแจ้งให้ทราบต่างๆของกิจกรรมน่าสงสัยของคุณบัญชีธนาคารและต่อปลอม LinkedIn,PayPal,อีเบย์หรือ Facebook จดหมายเดียวกันรูปภาพและเนื้อหาที่ดั้งเดิมอีเมลล์ส่งมาแล้ว นี่คือเหตุผลผู้ใช้ควรจะรู้ได้ยังไงเพื่อปกป้องตัวเองจากคิดร้ายอีเมลล์เช่นเดียวสำรองข้อมูลส่วนบุคคอน

ที่เพิ่มมานอกเหนือจากวิธีการของพวกนี้อีกวิธีการของ malware replication อาจจะเคยนะ พวกนั้นวิธีการของมักจะรวมถึงการใช้พื้นทีี่ของปลอม updater โปรแกรมต่างๆของปลอมซอฟต์แวร์สัญญานของโปรแกรมและเกมรอยแตกที่มีอคิดร้ายหัสโปรแกรมกันซะหน่อย นั้นอาจจะอัพโหลดบนสงสัยงเว็บไซต์แล้วก็ถูกอัพโหลดในเว็บไซต์ที่ทอร์เรนต์ข้อเสนอไฟล์ที่ถูกดาวน์โหลดออกมา

ดาวน์โหลดเครื่องมือการเอาออกเอา NK_ File

หลังจากที่ผู้ใช้เปิดแฟ้มคิดร้ายวแพร่เชื้อให้กับ NK_ ransomware หลายประเภทของแฟ้มที่รวมถึงเงินค่าไถ่หรอข้อ NK_ อยู่ของคุณ FILES.txt อาจจะเป็นทำหล่นบนคอมพิวเตอร์ของผู้ใช้ได้ แฟ้มอาจจะคิดต่างออกชื่อและเป็นยังตำแหน่งต่างกัน Windows โฟลเดอร์สำหรับตัวอย่าง:

ทันทีที่คนคิดร้ายแฟ้ม belonging จะ NK_ File ไวรัสนี่ตกลงบนคอมพิวเตอร์ของผู้ใช้ที่ ransomware อาจจะเริ่มลบเงาของระดับเสียงสำเนาอยู่ พวกเงาของสำเนาเป็นสิ่งจำเป็นอันเที่ยงตรงที่ได้รับการสนับสนุนแฟ้มอยู่ก่อนที่เลือกโฟลเดอร์สำคัญของ Windows น ที่ออกคำสั่งโดยที่ NK_ ransomware อาจจะลบพวกนี้ backups โดยไม่มีของเหยื่อแตกต่างออกเป็นคนต่อไปนี้:

→ระบวนการเรียกสร้าง”cmd.exe /c
vssadmin นpgm ลบเงามืด/ทั้งหมด/เงียบ
bcdedit นpgm/ตั้งค่าการปริยาย}recoveryenabled ไม่
bcdedit นpgm/ตั้งค่าการปริยาย}bootstatuspolicy ignoreallfailures

คำสั่งของพวกนี้อย่างถาวรลบเงาของแผ่นโดยไม่มีของผู้ใช้อุตส่าเห็นฉันเป็นเด็กนะ ที่เพิ่มมานอกเหนือจากเรื่องนี้ ransomware ยังถูกแทรกเข้ามากับ Windows ลงชื่อรายการสร้างหลายลงชื่ออกค่าใช้เส้นสายซึ่งอาจจะอยู่ในนรกต่อไปนี้ Windows รายการย่อยขอกุญแจ:

→HKEY_CURRENT_USERแผงควบคุมพื้นที่ทำงาน
HKEY_USERSนะค่าปริยายแผงควบคุมพื้นที่ทำงาน
HKEY_LOCAL_MACHINEซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่งหนี
HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionวิ่งหนี
HKEY_LOCAL_MACHINEซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERซอฟต์แวร์ไมโครซอฟWindowsCurrentVersionRunOnce

ดาวน์โหลดเครื่องมือการเอาออกเอา NK_ File

อีกอคิดร้ายกิจกรรมที่เกี่ยวข้องกับ tis ransomware ไวรัส,รวมกำลังของปลอมโพรเซสที่ imitating ถูกต้องตามกฎหมายถ้ามอ Windows เครื่องแบบ svchost.exe ได้

สำหรับมันเป็นการเข้ารหัสที่จะเป็นประสบความสำเร็จ NK_ File ไวรัสเป็นถูกติดตั้งโปรแกรมเพื่อเป้าหมายเฉพาะเจาะจงแฟ้มเท่านั้นแล้วข้ามองสำคัญองแฟ้มที่อาจจะเสียหาย Windows O น แฟ้มเป้าหมายโดย NK_ ransomware เป็นเหมือนจะสำคัญมากแฟ้มเสียง,เอกสารข้อมูลแฟ้มวิดีโอรูปภาพและอื่นๆที่เกี่ยวข้องรูปแบบแฟ้มนี้ ถ้าพวกเราต้องรวมทั้งแฟ้มที่ถูกเข้ารหัสโดย ransomware การติดเชื้อส่วนใหญ่ของพวกเขาจะอยู่ในหมู่คนที่อยู่ในรายการด้านล่างนี้:

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com

หลังจากรหัสเข้าระบวนการรบสมบูรณ์ไบต์ของอัลกอริธึมที่ถูกใช้โดยที่ NK_ ransomware ไวรัสเป็นก็แทบดั้งเดิมข้อมูลของแฟ้ม,ทำให้พวกเขาไม่ openable น แฟ้มอาจจะดูเหมือนต่อไปนี้ของภาพ:

งั้น,ransomware ทำให้มั่นใจว่าผู้ใช้เห็นมันเป็นค่าไถ่นทึกแฟ้มข้อความซึ่งมีคนตามเนื้อหาภายใน:

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately “lost” all your pictures, files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc. Encryption was produced using a unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key. All encrypted files contains NK_ Your number: To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1Aq3Hfsuy3XiH7HtWMJcNjwCP2Bu39UsGU (today 1 bitcoin was 270). Only we and you know about this bitcoin address. You can check bitcoin balanse here – https://www.blockchain.info/address/1Aq3Hfsuy3XiH7HtWMJcNjwCP2Bu39UsGU After payment send us your number on our mail mwt@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1…3 hours) Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it – it’s your garantee that we have decryption tool. And send us your number with attached file. We dont know who are you. All what we need – it’s some money. Don’t panic if we don’t answer you during 24 hours. It means that we didn’t received your letter (for example if you use hotmail.com or outlook.com it can block letter, SO DON’T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again) ดาวน์โหลดเครื่องมือการเอาออกเอา NK_ File You can use one of that bitcoin exchangers for transfering bitcoin. Bitcoin.co.kr https://www.korbit.co.kr https://www.coinplug.com https://ko-kr.facebook.com/coinplug https://localbitcoins.com/country/kr www.youtube.com/watch?v=erVehAHDuel howtobuybitcoin.info/kr.html http://bitcoin-printing.com/trade You dont need install bitcoin software – you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. Please use english language in your letters. If you don’t speak english then use https://translate.google.com to translate your letter on english language.

ที่โปรดทวดยังมีเวอร์ชั่นในภาษาอื่นๆเช่นกัน

คู่มือเอาเอง NK_ File

ขั้นตอนที่ 1 ถอนการติดตั้ง NK_ File และโปรแกรมที่เกี่ยวข้อง

Windows XP

1. เปิดเมนู’เริ่ม’ แล้วคลิก’แผงควบคุม’
2. เลือกเพิ่ม หรือเอาโปรแกรมออก
3. เลือกแอพลิเคชันที่ไม่พึงประสงค์
4. คลิกลบ

Windows 7 และ Vista

1. คลิกเริ่ม แล้วเลือกแผงควบคุม
2. ไปถอนการติดตั้งโปรแกรม
3. คลิกขวาบนซอฟต์แวร์ที่น่าสงสัย
4. เลือกถอนการติดตั้ง

Windows 8

1. ย้ายเคอร์เซอร์ไปมุมซ้ายล่าง
2. คลิกขวา และเปิด’แผงควบคุม’
3. เลือกถอนการติดตั้งโปรแกรม
4. ลบโปรแกรมที่ไม่พึงประสงค์

ขั้นตอนที่ 2 เอา NK_ File จากเบราว์เซอร์ของคุณ

NK_ File ออก Internet Explorer

1. เปิด IE แล้วคลิกที่ไอคอนเกียร์
   
2. เลือก’จัดการ add-on ‘
   
3. ส่วนขยายที่ไม่ต้องการเอาออก
4. เปลี่ยนโฮมเพจของคุณ: เกียร์คอน→ตัวเลือกอินเทอร์เน็ต (แท็บทั่วไป)
   
5. การตั้งค่าเบราว์เซอร์ของคุณ: ไอคอนเกียร์→ตัวเลือกอินเทอร์เน็ต (แท็บขั้นสูง)
6. คลิกรีเซ็ต กล่อง และคลิกตั้งค่าใหม่อีกครั้ง
   

ลบ NK_ File จาก Mozilla Firefox

1. Mozilla เปิด และคลิกที่เมนู
   
2. เลือกโปรแกรม Add-on และไปขยาย
3. เลือก add-on ที่ไม่ต้องการ และคลิกเอาออก
   
4. Mozilla ใหม่: ข้อมูลการแก้ไขปัญหา Alt + H →
   
5. คลิ Firefox ใหม่ ยืนยัน และคลิกเสร็จสิ้น
   

ถอนการติดตั้ง NK_ File จาก Google Chrome

1. เปิด Google Chrome และคลิกที่เมนู
   
2. เลือกส่วนขยายเครื่องมือ→
3. เลือก add-on และคลิกที่ไอคอนถังขยะสามารถ
   
4. เปลี่ยนเครื่องมือค้นหา: การตั้งค่า→เมนู
5. คลิกเครื่องมือจัดการค้นหาภายใต้ค้นหา
   
6. ลบผลการค้นหา
   
7. การตั้งค่าเบราว์เซอร์: การตั้งค่าเบราว์เซอร์ใหม่→การตั้งค่า
   
8. คลิกตั้งค่าใหม่เพื่อยืนยันการกระทำของคุณ