Den Ahihi Ransomware er en nyligt udgivet trussel, som er alternativt kendt som den BangLuongThang02 virus. De første angreb med det er blevet rapporteret i januar 2019, og de synes at være rettet mod alle engelsk-talende brugere. Antallet af indsamlede prøver er lav, hvilket indikerer, at der ikke særlig levering metode er anvendt, antager vi, at flere af dem kan blive afprøvet med henblik på at vurdere, hvilken ville være mest effektiv.
En populær taktik er koordinering af SPAM e-mails , som bruger en kombination af social engineering taktik og et stort antal af sendte beskeder. De er designet som bliver sendt af legitime virksomheder eller tjenesteydelser, at brugerne kan bruge. Den Ahihi Ransomware-kode kan være enten direkte knyttet til filer, eller det er indsat som links eller rig indhold i kroppen indhold. Eksempler på tekst, links, billeder og videoer.
En tilsvarende strategi er skabelsen af falske websteder , som har den samme hensigt at narre brugerne til at tro, at de har adgang til en legitim domæne: sælger landing pages, download portaler eller andre web-indhold.Hackere vil bruge lignende klingende domænenavne og sikkerhedscertifikater, som yderligere foranstaltninger.
De filer, der er forbundet med denne trussel kan findes på file-sharing-netværk som BitTorrent, som er ofte brugt til at sprede både legitime og pirat-indhold. Alle disse tre metoder, der er almindeligt anvendt til at implementere Asihi ransomware nyttelast luftfartsselskaber, to eksempler på dette er følgende:
- Ondsindede Dokumenter — hackere kan udforme dokumenter, der indeholder skadelige scripts og integrere dem i de mest populære fil-formater: tekst-dokumenter, regneark, præsentationer og databaser. Når de er åbnet, ved at ofre en prompt vil være affødt bede dem om at aktivere den indbyggede makroer for korrekt at se filen. Hvis dette er gjort, den ransomware infektion, der vil blive udløst.
- Setup Filer — Den anden mulighed er oprettelse af inficerede installatører af populære software: system utilities, kreativitet suites, office-programmer og-osv. Dette er gjort ved at tage de originale filer fra deres officielle kilder, og ændre dem med den nødvendige scripts. Ved blot at lancere installationen infektioner vil blive gjort.
Større angreb kan gøres ved hjælp af browser hijackers , der er ondsindet plugins lavet til de mest populære browsere. De er jævnligt uploadet til de relevante arkiver, der gør brug af hacket eller hacker-lavet udvikler legitimationsoplysninger og anmeldelser. Når de er installeret ændringer til browser-indstillinger vil blive lavet sammen med virus infektion: omdirigering til en hacker-kontrolleret side ved hjælp af at sætte det op som standard for nye faner, søgemaskine og startside.
De erobrede stammer ifølge de foreliggende oplysninger er den grundlæggende version, som ser ud til kun at indeholde de relevante kryptering modul. Som sådan, forventes det, at fremtidige versioner af det kan blive opdateret til at omfatte andre komponenter. Vi forventer, at en adfærd vil blive betragtet af angriberne. Den Ahihi Ransomware ser ud til at indeholde nogle kildekode fra de Skjulte Rive malware familie, sammen med andre prøver fra forskellige vira. Dette giver forskerne grund til at tro, at de frigivne prøver er sandsynligvis tidlige udgivelser eller test-versioner.
En af de første moduler, der kører med avanceret infektioner er den ene, der er forbundet med dataopsamling. Den virus vil blive programmeret på en måde, som vil søge efter strenge knyttet til identiteten af de ofre, deres rigtige navn, adresse, telefonnummer, interesser, lokaliseringsdata og endda gemt konto legitimationsoplysninger. Andre mulige oplysninger, der er høstet den ene relation til den installerede hardware-komponenter og software konfiguration. Det bruges til at generere en unik ID til hver kompromitteret vært. Begge af disse typer data, som kan bruges ikke kun for at tage den offer-brugere, men også for forbrydelser som identitetstyveri og økonomisk udnyttelse.
Når en tilstrækkelig stor fodaftryk af oplysninger, der er relateret til computerens konfiguration er indsamlet den kan bruges til at omgå sikkerhedsforanstaltninger, der er i stand til at stoppe virus infektion — anti-virus motorer, firewalls, sandkasse-miljøer og virtuelle maskine værter.
Den Ahihi Ransomware har evnen til at omkonfigurere hele systemet ved at påvirke vigtige områder — konfigurationsfiler, Windows Registreringsdatabasen og opstartsindstillinger. Som sådan kan det blive meget vanskeligt at fjerne, dette er ofte nævnt som en vedvarende infektion. Dette omfatter eventuelle begrænsninger med hensyn til start og genoprettelse menuer, dette gør at mange manuelle fjernelse guider brugeren ubrugelig. I dette tilfælde er det kun en avanceret anti-spyware løsning kan afhjælpe virus indtrængen.
Koble op til allerede eksisterende tjenester og processer, der vil tillade ransomware til at læse, hvad brugerne gør. At skabe sine egne processer sand-tjenester er også muligt med mulighed for at få administrative rettigheder.
Ændringer til Windows Registreringsdatabasen kan forårsage yderligere skader, hvis tredje-paprty applikationer værdier er ændret, så de programmer, der muligvis uventet, og ikke køre den måde, de er beregnet til. Ændringer til strenge, der bruges af operativsystemet kan forårsage en samlet performance problemer, og nogle gange en komplet lockdown.
En af de mest farlige typer af ransomware infektioner, som Ahihi Ransomware kan også blive en del af, er udbredelsen af andre nyttelast. Som eksempler kan nævnes følgende:
- Cryptocurrency Minearbejdere — Disse infektioner drage fordel af de tilgængelige systemressourcer og udføre komplekse beregninger. Hver udført opgave, vil det resultere i indtægter for de hacker operatører — de vil modtage cryptocurrency direkte ind i deres digitale tegnebøger.
- Trojanske heste — malware kan downloade Trojanske heste, der vil etablere en vedvarende forbindelse til en hacker-kontrolleret server. Dette vil sætte dem i stand til at udspionere de brugere, stjæle deres data, og også overhale kontrol af maskiner på et givent tidspunkt.
- Web Browser Hijackers — browsere kan konfigureres igen for at installere en farlig plugin, der er kendt som flykaprer. De server den samme funktion, som er beskrevet i fordelingen afsnit — til at omdirigere ofre til en hacker-kontrolleret landing page ved at ændre browserens indstillinger.
Kryptering modul vil der blive iværksat, efter at alle andre operationer er kørt. Det er blevet bekræftet, at AES-cipher ‘ en bruges til at målrette filer i henhold til en indbygget liste over ønskede fil typer. Et eksempel ville sandsynligvis har følgende data:
- Arkiv
- Dokumenter
- Sikkerhedskopier
- Musik
- Videoer
- Billeder
For at differentiere sig fra andre lignende ransomware den nuværende versioner tildel ikke et malware udvidelse til kompromitteret filer. De associerede ransomware bemærk er skabt i en fil kaldet README.txt som læser den følgende meddelelse:
Hvis din computer fik inficeret med Ahihi ransomware virus, du bør have en smule erfaring i fjernelse af malware. Du skal slippe af med denne ransomware så hurtigt som muligt, før det kan have mulighed for at sprede sig yderligere, og at inficere andre computere. Du skal fjerne ransomware og følg den trin-for-trin instruktioner guide nedenfor.
Advarsel, har flere anti-virus scannere fundet mulige malware i Ahihi Ransomware.
| Anti-virus Software | Version | Afsløring |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Ahihi Ransomware adfærd
- Ahihi Ransomware forbinder til internettet uden din tilladelse
- Omdirigere browseren til inficerede sider.
- Ændrer skrivebordet og Browser-indstillingerne.
- Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
- Ændrer brugerens hjemmeside
- Bremser internetforbindelse
Ahihi Ransomware foretages Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Ahihi Ransomware geografi
Fjerne Ahihi Ransomware fra Windows
Slette Ahihi Ransomware fra Windows XP:
- Klik på Start til at åbne menuen.
- Vælg Control Panel og gå til Tilføj eller fjern programmer.
- Vælg og fjerne det uønskede program.
Fjern Ahihi Ransomware fra din Windows 7 og Vista:
- Åbn menuen Start og vælg Control Panel.
- Flytte til Fjern et program
- Højreklik på den uønskede app og vælge afinstallere.
Slette Ahihi Ransomware fra Windows 8 og 8.1:
- Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.
- Vælg Fjern et program og Højreklik på den uønskede app.
- Klik på Afinstaller .
Slette Ahihi Ransomware fra din browsere
Ahihi Ransomware Fjernelse fra Internet Explorer
- Klik på tandhjulsikonet , og vælg Internetindstillinger.
- Gå til fanen Avanceret , og klik på Nulstil.
- Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
- Klik på Luk og vælge OK.
- Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammer → værktøjslinjer og udvidelser, og Slet uønskede udvidelser.
- Gå til Søgemaskiner og vælge en ny standard søgemaskine
Slette Ahihi Ransomware fra Mozilla Firefox
- Indtast "about:addons" i URL- feltet.
- Gå til udvidelser og fjerne mistænkelige browserudvidelser
- Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.
Opsige Ahihi Ransomware fra Chrome
- Skrive "chrome://extensions" i URL- feltet og tryk på Enter.
- Opsige upålidelige browser extensions
- Genstart Google Chrome.
- Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).