Den VegaLocker Ransomware er blevet identificeret som en ny trussel, som i et igangværende angreb kampagne. Den indeholder elementer fra flere forskellige trusler, hvilket betyder, at hacker kollektive bag det har skabt en “fusion” af forskellige vira, der resulterer i VegaLocker. Denne tilgang gør det muligt at blive spredt ved hjælp af en bred vifte af metoder.
I øjeblikket er de fleste af de infektioner, der er gjort via udnyttelse af sårbarhed, der tillader virus til at få adgang til de målcomputere, og bruge remote desktop software til at logge ind på dem. Sådanne angreb er primært sker i en automatiseret måde, som betyder, at hundredvis og potentielt tusindvis af computere, der kan målrettes på en gang.
Anden levering taktik kan omfatte de populære hacker strategier for at sende tilknyttet eller forbundet filer, der indeholder VegaLocker Ransomware i phishing-e-mail-beskeder. De er sendt til de mål, ved at udgive sig som legitime meddelelser sendes af kendte tjenester og virksomheder. Filerne vil blive annonceret som vigtige opdateringer eller installatører, at brugerne bliver nødt til at køre.
En lignende mekanisme er oprettelsen af falske websteder , der er oprettet ved hjælp af en lignende mekanisme. De er lavet til at kopiere design, navn, indhold og andre elementer af kendte Internet-sider og forsøge at forvirre den besøgende til at tro, at de har fået en legitim og sikker domæne. Lignende klingende navne, og endda muligvis sikkerhedscertifikater, der bruges til at få dem til at synes som det rigtige sider. Via indsendt indhold, links og mms-elementer VegaLocker Ransomware infektion kan opnås.
Virus infektioner som denne kan også være forårsaget af interaktion med ondsindet payload luftfartsselskaber, der er to populære varianter:
- Inficeret Program Installatører — De kriminelle kan integrere installation scripts i setup-filer af populære software, der er ofte hentet fra slutbrugere. De er lavet ved at tage den originale filer fra leverandører og tilføjer i virus installation kode.
- Inficerede Dokumenter — Den anden mekanisme er at skabe skadelige dokumenter, der kan være af nogen af de populære typer: præsentationer, databaser, regneark og tekstdokumenter. Den virus installation kode er gjort til en del af de makroer, der er indsat i dem. Når dokumenter er åbnet af offer-brugere, vises en meddelelse, der beder dem om at gøre det muligt for dem, som vil føre til infektion.
En anden stor-skala strategi for at levere den VegaLocker Ransomware er at gøre dem til en del af de dropper programmeret i browser hijackers. De er farlige browser plugins, der er almindeligt tilgængelige på de respektive arkiver. Den kriminelle controllere bruger ofte falske brugeranmeldelser og udvikler legitimationsoplysninger sammen med spændende beskrivelser lovende brugerne optimering af ydeevnen og nye funktioner ud.
Koden viser analysen, at VegaLocker Ransomware er programmeret i Delphi programmering sprog, og at det indeholder kode fra Scarab ransomware familie. Det omfatter source kode taget fra andre familier: Hukommelsestab, Gloverabe2 og osv. Alt dette fører til, at primært to mulige årsager:
- Egen Skabelse — Det foreslås, at det samme kollektiv, der står bag de angreb, der er ansvarlige for dets oprettelse. De har taget kildekoden af alle disse malware familier og skabt den brugerdefinerede kode i sig selv.
- Brugerdefineret Rækkefølge — Denne afhandling foreslår, at VegaLocker Ransomware er resultatet af en brugerdefineret rækkefølge på de mørke underjordiske markeder. Når det er fuldført, og hackere kan bruge det til at inficere mål for deres egne valg.
Det interessante at bemærke, at det indeholder underskrift fra en bred vifte af forskellige produkter, tjenesteydelser og virksomheder. Dette gør det meget bekvemt at bruge med inficerede programmer. Det faktum, at disse underskrifter er til stede, kan også omgå sikkerheds-software i visse tilfælde. Dette er muligt, sammen med en dedikeret modul, der er udført for denne operation. Disse omfatter anti-virus software, virtuelle maskine værter, firewalls, debug miljøer og osv.
En liste, der er ekstraheret fra en af de tagne prøver, der afslører følgende signaturer, under hvilke det kan være spredt:
Efter VegaLocker Ransomware er blevet leveret, vil det starte en række scripts, der vil deaktivere adgang til start gendannelse. Dette gør manuel bruger recovery guider ikke længere fungerer, som de fleste af dem er afhængige af dem.
Sletning af Data vil også finde sted som den motor, der vil scanne og fjerne spor af System Restore Points, Backups og Skygge Mængde Eksemplarer. Når de har udfyldt running, brugerne vil have til at bruge en kombination af en anti-spyware løsning og data recovery program for effektivt at genoprette deres systemer.
Hvad mere er farlig, er, at denne trussel er specielt programmeret til at unddrage sig virtuel maskine værter. Det vil scanne hukommelse og ligger alle strenge, der er relateret til hypervisors eller tilføjelser (som drivere og hjælpeprogrammer), der kan afsløre, at værten er faktisk en del af en virtuel maskine installation. Når sådanne har været påvist virus vil stoppe eller slette sig selv for at undgå afsløring.
På dette punkt VegaLocker Ransomware vil have opnået evnen til at ændre alle områder af det berørte operativsystem. Dette vil gøre det muligt at starte endnu flere processer, der er data høst . Det er programmeret til at udtrække data, der kan kategoriseres i to hovedgrupper:
- Personlige Oplysninger — De hentede oplysninger kan anvendes til direkte at afsløre identiteten af ofrene ved at erhverve strenge, såsom deres navn, adresse, telefonnummer, interesser og enhver, der er gemt konto legitimationsoplysninger.
- Oplysninger om computeren — motoren kan høste data om de computere, som er nyttig til at skabe en forskellig ID til hver enkelt berørt vært. Det er normalt genereret via en algoritme, der tager sit input fra brugerens præferencer, dele liste over de installerede hardware-komponenter og visse operativsystemet environment-værdier.
Det næste skridt er at forårsage ændringer til Windows Registreringsdatabasen. Dette betyder, at ikke kun den virus vil indsætte værdier i relation til sig selv, men også ændre de eksisterende. Dette kan føre til alvorlige problemer med ydeevnen, og den manglende evne til at starte visse programmer eller tjenester. Den berørte software kan afslutte med uventede fejl eller opfører sig forkert.
Ransomware er blevet fundet at være i stand til at ændre Skrivebordet.rdp-konfiguration fil, som bruges til at konfigurere fjernskrivebord-sessioner. Dette er især nyttige, når de anvendes aktivt af hackere. De kriminelle har brug for, simpelthen at tilføje i deres egen konto oplysninger, som ville give dem mulighed for uhindret adgang, når der er forbindelse til Internettet er til rådighed.
Det har også vist sig at måle computers ydeevne, som kan være relateret til evnen til at levere yderligere nyttelast. To af de mest almindelige er følgende:
- Trojansk Hest Infektioner — De er en af de mest farlige konsekvenser af ransomware infektioner. De vil etablere en sikker forbindelse til en hacker-kontrolleret server. Gennem det hackere kan overhale kontrol af maskiner, hente data, før de krypteres og spionere på de ofre, i real-tid.
- Cryptocurrency Minearbejdere — De vil drage fordel af de tilgængelige systemressourcer ved at beregne komplekse matematiske opgaver ved at hente opgaver fra en særlig server kaldet “pool”. Det ondsindede script vil se udførelse af opgaver og tildeling af digital valuta, når en af dem er afsluttet. De midler, der vil være direkte forbundet til deres digitale tegnebøger.
Det er meget muligt, at fremtidige versioner kan bruge alle disse instrumenter med henblik på at udføre komplekse dagsorden. En af de mest populære scenarier er at opbygge et botnet netværk — det er brugt til at rekruttere de inficerede computere til et verdensomspændende netværk af “slaver”. De kan være programmeret til at iværksætte en hurtig rækkefølge af netværk anmodninger til en given vært for derved at bringe det ned. Stort netværk kan være meget effektivt mod store virksomheder eller endda offentlige institutioner.
Den VegaLocker Ransomware vil lancere den relevante krypteringsalgoritme, når alle moduler er færdig med at køre. Ligesom andre lignende trusler, det vil bruge en indbygget liste af mål-fil type udvidelser såsom følgende:
- Sikkerhedskopier
- Arkiv
- Databaser
- Billeder
- Musik
- Videoer
Ransomware bemærk vil blive udformet i en fil kaldet Dine filer er nu encrypted.txt der indeholder en besked skrevet på russisk:
Hvis din computer fik inficeret med VegaLocker ransomware virus, du bør have en smule erfaring i fjernelse af malware. Du skal slippe af med denne ransomware så hurtigt som muligt, før det kan have mulighed for at sprede sig yderligere, og at inficere andre computere. Du skal fjerne ransomware og følg den trin-for-trin instruktioner guide nedenfor.
Advarsel, har flere anti-virus scannere fundet mulige malware i VegaLocker Ransomware.
| Anti-virus Software | Version | Afsløring |
|---|---|---|
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Dr.Web | Adware.Searcher.2467 | |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
VegaLocker Ransomware adfærd
- Indlægger sig uden tilladelser
- Fælles VegaLocker Ransomware adfærd og nogle andre tekst emplaining som info relateret til adfærd
- Bremser internetforbindelse
- Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
- Integrerer i webbrowser via browserudvidelse VegaLocker Ransomware
- VegaLocker Ransomware viser kommercielle annoncer
- Omdirigere browseren til inficerede sider.
- Viser falske sikkerhedsadvarsler, Pop-ups og annoncer.
- VegaLocker Ransomware deaktiveres installeret sikkerhedssoftware.
- VegaLocker Ransomware forbinder til internettet uden din tilladelse
VegaLocker Ransomware foretages Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
VegaLocker Ransomware geografi
Fjerne VegaLocker Ransomware fra Windows
Slette VegaLocker Ransomware fra Windows XP:
- Klik på Start til at åbne menuen.
- Vælg Control Panel og gå til Tilføj eller fjern programmer.
- Vælg og fjerne det uønskede program.
Fjern VegaLocker Ransomware fra din Windows 7 og Vista:
- Åbn menuen Start og vælg Control Panel.
- Flytte til Fjern et program
- Højreklik på den uønskede app og vælge afinstallere.
Slette VegaLocker Ransomware fra Windows 8 og 8.1:
- Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.
- Vælg Fjern et program og Højreklik på den uønskede app.
- Klik på Afinstaller .
Slette VegaLocker Ransomware fra din browsere
VegaLocker Ransomware Fjernelse fra Internet Explorer
- Klik på tandhjulsikonet , og vælg Internetindstillinger.
- Gå til fanen Avanceret , og klik på Nulstil.
- Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
- Klik på Luk og vælge OK.
- Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammer → værktøjslinjer og udvidelser, og Slet uønskede udvidelser.
- Gå til Søgemaskiner og vælge en ny standard søgemaskine
Slette VegaLocker Ransomware fra Mozilla Firefox
- Indtast "about:addons" i URL- feltet.
- Gå til udvidelser og fjerne mistænkelige browserudvidelser
- Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.
Opsige VegaLocker Ransomware fra Chrome
- Skrive "chrome://extensions" i URL- feltet og tryk på Enter.
- Opsige upålidelige browser extensions
- Genstart Google Chrome.
- Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).