Cyber Security LAB

Sahte Windows Updater ransomware enfeksiyon farklı teknikler yoluyla yaymak olabilir. Virüs kullanıcı bilgisayarı güncelleştirmek için soran bir ileti görüntüler sahte web sayfaları aracılığıyla üçüncü taraf yükleyiciler kullanabilir. Bu nedenle, kullanıcılar, bu ransomware virüs zararlı dosyaları Updater gerçek, ama oldukça loader veya bir damlalık değil dosya, 1xxx106Updater1xxx.exe adında indirebilirsiniz. Genellikle dağıtım web siteleri web üzerinden tüm vardır, ama yüklü istenmeyen diğer bir deyişle reklam, uygulama veya tarayıcı korsanının bir uygulama desteklenen reklam diye pop gibi bir bilgisayara ups görüntülenen olabilir.

Sahte Windows Updater virüs aktivitesi çok farklı etkinlikler, enfekte makineye zararlı dosyaları bırakın ilk oluşur. Sahte Windows Updater ransomware ile ilişkili birincil dosyalar şunlardır:

• WindowsUpdater.exe
• Translation-Report.docx.exe

Dosyaları indirip virüs de şu ana bilgisayarlarla bağlantı kurabilir:

Download kaldırma aracıkaldırmak için Updater

• hxxps://ganedata.co.uk/ransomware/ransomware.php
• hxxps://ganedata.co.uk/Transaction-Report.docx.exe

Zaten ana bilgisayara bağlantı kurduktan sonra, ransomware virüs, enfekte bilgisayarın Birim Gölge kopyaları silmek için başlayabilir. Bu senaryo üzerinden aşağıdaki komutları girerek arka planda ulaşılabilir:

seçeneğine işlem araması oluşturmak “cmd.exe /c
vssadmin.exe silmek gölgeler //sessiz
bcdedit.{varsayılan} set exe /recoveryenabled yok
bcdedit.exe /{varsayılan} bootstatuspolicy ignoreallfailures set

Windows gölge kopya ile müdahale yanı sıra, Sahte Windows Updater ransomware da ağır Windows Kayıt Defteri Düzenleyici müdahale, daha spesifik olarak da, sistem önyükleme veya değiştirmek için duvar kağıdı üzerinde çalışma dosyaları gibi belirli ayarlarını değiştir Alt tuşu ile olabilir:

Seçeneğine Denetim Masası Masaüstü
DEFAULT.DEFAULTControl PanelDesktop
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Buna ek olarak, diğer etkinlik olan DOSYA GÜVENLİĞİ dosya şifreleme sonra KORUMALI adlı bir pop-up görüntülemek için olabilir.

Sahte Windows Updater Ransomware tarafından kodlanmış dosya şifreleme işlemi-bit 256 gücü (Gelişmiş Şifreleme Algoritması) güçlü AES yoluyla yapılır. Şifre şifrelenmiş dosyaları üzerine oluşturulan bir anahtar ile bloklar halinde uygulanır. Bu virüsün şifreleme işlemi için, aşağıdaki dosya türleri tarafından hedeflenen:

belirleyin .#vc, .$ac ._vc .Hale geçer .07g .07i .08i .09i .09t .10t .11t, .123, .13t .1pa .Pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210 .3dm .Görünümüdür .Video siz .Video 3me .3pe, 2500 .7arasında .aac, .aaf .ab4 .ac2 .acc .Accord .ach .acı, .acm, .acr .aep, .aepx .aes .aet .afm .aı, .aıf .amj .gibi .geniş ölçüde bozulmuş .asc, .asf .akış, .asp .türüdür .atı .avı, .geri .bak .bat, .bay .bc8 .bc9 .fd2 …bgt .bk2 .bkf .bmp .bgf, .bpw .brd .brw .btif .bz2, .c .cal .kedi, .cb .cd .cdf .cdr, .cdt, ./ .pnömatik ürünler taşımak .cf9 .cfdi .hakkında bilgi .cgm .cgn .ch .değ .miktarlarda sahip olmasıdır .clas .low-State, .cmd, .daha önceki sürümlerini .cnt .cntk .edilir .cpp, .cpt .ni .cpx .crt .cs .csl .KSS .css .csv, .cur, .cus .d07 .dac .dat, .db .dbf, .dch .DVI, .ddd .dds, .defx .der .des .dgc .dif .dip .djv .djvu .dng, .doktor .docb .docm, .PDF .nokta .çok iyi bir yoldur .dotx, .drw .ds4 .dsb .cam ocağı .dtau .dtd .dtl .çiz .sahip TIFF, .dxi .ECB, .ref .ebq .ec8 .efs .efsl .Bay, .emd .eml, .emp .vb .ent .epa, .epb .eps, .İKT .ert .esk .ess .esv .etq .ets .uzm .fa1 .kabul eden fa1 .hazır .fcpa .fcpr .fcr .fef .ffd .fim .fla, .flac, .flv .fmv .fon, .fpx, .C .fx0 .fx1, .fxr .fxw .fyc .gdb .gem .gfı .gif .gnc .gpc .gpg .Facebook, .gto, .gz, .h .otel, .h11 .h12 .hbk .hif’de .hes .aldığını duyurdu .html, .hts .hwp .i2b .ıban .ıbd .ıco, .ıdml .ıff .ııf, .ımg, .imp .indb .land .indl .ındt .ini .int .intu .yat .ınx .ıpe .ıpg .ıtf .jar, .java, .jng .jp2, .jpeg .jpg, .js, .JSP, .jsda .jsp, .kb7 .şd3 .gizli .anahtar .kmo .kmy .yatıyordu .lay6 .lcd .ldc .ldf .king pazarlama .izin verin .ful .fab .kapağı .lin, .lld .lmr .günlük .lua .lz .m .M12 .aile .m12 .m14 .m15 .m16 .m3u, .m3u8, .m4a, .m4u .işlevleri sunar .mac .max .mbsb .md .mda .mdb, .mdf .mef, .mem .araya geldi .meta .mhtm .orta .mkv, .ml2 .ml9 .maçları burada .mlc .mmb .mml .mmw .mn1 .mn2 .mn3 .mn4 .mn5 .mn6 .yol .mn8 .mn9 .MEB .mnp, .> aramaya .mone .mov .mp2, .mp3 .mp4 .mpa, .Moe .mpeg, .mpg .mql .mrq .ms11 .msg, .mwi .ma .mx0 .myd, .mye .myi, .myox .n43 .nap .nd, .nef, .nl2 .girişimleri birçok kişisel .npc .nv .nv2 .oab .obi .odb .odc .odg, .atılım, .odp, .ods, .odt, .oet .ofc .ofx .eski .omf .op .orf, .ost .kdç yapacaksın .otp, .fed .ott, .p08 .p12 .p7b .p7c .paq .pas .pat .PSD, .pcif .yüzde .FK .pd6 .pdb, .pdd .pdf .pem, .başına .pfb .akış şeması, .pfx, .pg .php .pic .pl .plb .pls .plt .pma .pmd .png, .üzerine etkili ilaçlar .por .pot, .potm, .potx, .pp4 .pp5 .ppam, .ppf .ppj .pps, .ppsm, .ppsx, .& # 8226;dosyalarının yanı sıra .pr0 .pr1 .engel olmaya .pr3 .ben, .pr5 .prel .prf .prn, .prpr .ps .psd, .psp .pst, .ptb .ptdb .ptk .ptk .pvc, .+ / .py, .q00 .q01 .q06 .q07 .q08 .q09 .q43 .q98 .oyun kurucu, .qb20 .qba, .qbb .qbi .qbk .qbm .qbmb .qbmd .qbo .FDIC .qbr .qbw, .qbx .qby .qbz .qch .qcow .qdf, .qdfx .qdt .qel .qem .qfi .qfx .qıf .qix .qme .qml .qmt .qmtf .qnx .qob .qpb .qpd .qpg .qph .nazar .qsd .qsm .qss .kdt .qtx .hızlı ve kol .quo .qw5 .qwc .qwmo .qxf .r3d .ra .raf, .rar .ham .rb .rcs .rda, .kurak, .reb .rec .resx, .rif .rm .rpf .rsspptm .rtf, .rtp .rw2 .rwl .gr .12 .s7z .saf .saj .diyorsun .sba .sbc .sbd .nano .oha .FK .ÖTV .sdf .Syd Vakfı, .dikiş, .ses, .ayarlayın .DSİ .sıc .skg .sldm .sldx .slk .slp .sql .sqli .sr2, .srf, .ssg .stc .std .stı .stm, .str .hatası .svg .saklayın .sxc, .sxd, .sxı .Juliana .sxw, .t00 .t01 .t02, .t03 .t04 .t05 .t06 .t07 .t08 .t09 .t10 .t11 .t12 .t13 .mozaik durumunun belirlenmesinde .t15 .tx9 .ta1 .ta2 .ta4 .ta5 .ta6 .ta8 .ta9 .tar .vergi, .tax0 .tax1 .tax2 .tb2 .tbk .tbp .tdr .metin, .tfx .tga, .tgz, .tif, .tıff, .tkr .- bırakın .tom .trafik, .trm .pgf .tt10 .tt11 .tt12 .tt13 .tt14 .tt15 .20 .ttf, .txf .txt .u08 .u10 .u11 .u12 .uop .uot .olması .vb .vbpf .vbs, .vcf, .vdf .soru soruldu .vmb .vmdk .Buradan elde ettiğiniz .try .vob, .vsd, .vyp .vyr .wac, .wav, .wb2 .wi .wk1, .wk3 .wk4 .hft .wma .wmf, .MP4 .wpd, .wpg, .olarak yayınlanmıştır .x3f, .xaa .xcf, .xeq .xhtm .xla, .xlam, .xlc, .xlk .xll .xlm, .xlr .DOC .xlsb, .xlsm, .porno .xlt, .xltm, .xltx, .xlw .xml, .xpm, .xqx .yazmaya seçimi .zdb .ziparc .özü, .zix .zka

Download kaldırma aracıkaldırmak için Updater

Şifreleme sonra dosyalar şifrelenmiş dosya uzantısı eklenir ve görüntüler aşağıdaki resim gibi görünür:

Bu şifreleme modu (Elektronik not defterini) ECB modu olarak adlandırılır. Meşru dosyalardan veri şifreleme ve şifre çözme için benzersiz bir anahtar ile veri blokları değiştirmek için her bir enfekte bilgisayar için oluşturulan amaçlar:

Kaynak: Wikipedia

Anahtar sonra siber gönderilebilir fidye notu suçlular ve daha sonra bir gasp gerçekleşiyor kurban haberdar olmak için bıraktı. Not aşağıdaki içeriği vardır:

YOUR FILES HAS BEEN ENCRYPTED Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. Now you have the last chance to decrypt your files. 1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins) 2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE 3. Transaction will take about 15-30 minutes to confirm. 4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com 5. Write subject of your mail with : ‘Restore my files ***’ 6. Write content of your mail with : ‘Bitcoin payment : (YOUR BITCOIN TRANSACTION ID) Computer Identifier : {UNIQUE ID} 7. We will contact you back with your private key.

Kılavuzu Updater kaldırma kılavuzu

1. adım. Updater kaldırmak ve ilgili programlar

Windows XP

1. Başlat menüsünü açın ve Denetim Masası’nı tıklatın
2. Ekle’yi seçin ya da çıkarmak bilgisayar programı
3. İstenmeyen uygulama seçin
4. Kaldır’ı tıklatın

Pencere eşiği 7 ve uzak manzara

1. Başlat’ı ve Denetim Masası’nı seçin
2. Kaldırmak için bir program gitmek
3. Şüpheli yazılımları üzerinde sağ tıklayın
4. Kaldır’ı seçin

Windows 8

1. Hareket ettirmek lanet-e doğru belgili tanımlık dip sol köşe
2. Sağ tıklatın ve Denetim Masası’nı açın
3. Program Kaldır’ı seçin
4. İstenmeyen uygulama silmek

2. adım. Kaldır Updater tarayıcılar

Kaldır Updater Internet Explorer

1. Açık IE ve dişli simgesini tıklatın
   
2. Eklentileri Yönet seçin
   
3. İstenmeyen uzantıları kaldırma
4. Giriş sayfanızı değiştirme: dişli simgesini → Internet Seçenekleri (Genel sekmesi)
   
5. Tarayıcınızın sıfırlama: dişli simgesini → Internet Seçenekleri (Gelişmiş sekmesi)
6. Sıfırla’yı tıklatın, kutuyu işaretleyin ve yeniden Sıfırla’yı tıklatın
   

Updater Mozilla Firefox silme

1. Mozilla açın ve menüden
   
2. Eklentiler seçin ve uzantıları git
3. İstenmeyen bir eklenti seçin ve Kaldır’ı tıklatın
   
4. Reset Mozilla: Alt + H → sorun giderme bilgileri
   
5. Reset Firefox onaylayın ve Son’u tıklatın
   

Updater Google Chrome–dan kaldırma

1. Açık Google Chrome ve tıkırtı üstünde belgili tanımlık yemek listesi
   
2. Araçlar → uzantıları seçin
3. Eklentiyi seçin ve çöp kutusu simgesini tıklatın
   
4. Arama motorunuzu değiştirme: menü → ayarlar
5. Yönet arama motorları altında ara’yı tıklatın.
   
6. İstenmeyen arama sağlayıcısı silmek
   
7. Tarayıcınızın sıfırlama: ayarları → tarayıcı ayarlarını sıfırla
   
8. Eyleminizi onaylamak için Sıfırla’yı tıklatın