Le JSWORM ransomware est une nouvelle découverte menaces malveillantes qui a été identifié dans une petite campagne d’attaque. Le nombre d’échantillons capturés est faible, ce qui ne donne pas la principale méthode de distribution.
L’une des techniques les plus souvent utilisées pour l’envoi de ransomware est de coordonner les campagnes de SPAM e-mail. Ils vont utiliser des tactiques de phishing manipuler les victimes en leur faisant croire qu’ils ont reçu un légitime de notification d’une entreprise ou d’un service. L’infection peut être fait en interagissant avec le contenu du corps ou des fichiers joints.
La plupart des infections ransomware peut être causée par le lancement de charge malveillante transporteurs qui peuvent prendre des formes diverses. Un exemple serait un infecté document contenant des macros avec les instructions nécessaires. Tous les types peuvent être infectés: les feuilles de calcul, des présentations, des documents texte et des bases de données. Lorsqu’ils sont ouverts par les victimes d’une invite apparaît pour vous demander à activer les macros. Diverses raisons peuvent être citées, les plus populaires étant que le document ne peut pas être correctement ouvert sans. L’activation de cette invite de conduire à l’infection par le virus.
L’autre transporteur de charge utile qui peut être utilisé pour JSWORM infections ransomware est l’installation de l’application. Le criminel collective peut intégrer le code nécessaire dans les fichiers d’installation de logiciels populaires. Dès qu’ils sont exécutés le ransomware sera déployé. Ils sont faits en prenant les fichiers légitimes et de les modifier avec le code nécessaire instructions.
Tous ces fichiers peuvent être distribués sur des réseaux de partage de fichiers comme BitTorrent, où à la fois légitime et pirate le contenu est partagé. Une autre source possible est le réseau des sites malveillants qui peuvent être créés à l’appui d’un virus de la campagne de distribution. Ils vont copier les éléments de la conception et le contenu du corps du réel et de sites dignes de confiance, ainsi que l’utilisation de la ressemblance entre les noms de domaine et certificats de sécurité (souvent volé) pour masquer leur fraude d’identité.
Les campagnes de grande envergure peuvent cibler les victimes à l’aide du navigateur pirates de l’air — hacker-fait les plugins les plus populaires navigateurs web. Ils seront proposés comme légitimes des extensions qui sont décrits comme offrant des fonctionnalités mises à jour ou des améliorations de performances. Souvent, ils sont téléchargés à la dépôts à l’aide de faux commentaires de l’utilisateur et les informations d’identification de développeur, et dès qu’ils sont installés le virus de l’installation aura lieu.
Le JSWORM ransomware est considéré comme l’un des premiers tests de libération et dans sa forme actuelle, ne contiennent pas de composants avancés. Il est possible que les futures versions de copier le comportement des autres virus bien connus. La plupart d’entre eux commencent l’infection avec une récolte de données de commande qui indique le moteur de numériser les contenus locaux à la recherche d’informations sensibles. Il est principalement utilisé pour générer un unique infection ID qui est attribué à chaque hôte infecté et est généralement constitué de valeurs d’entrée, prises à partir de l’installation de composants de l’ordinateur, les paramètres de l’utilisateur et de l’environnement du système d’exploitation valeurs. Il peut également être configuré de manière à exposer directement l’identité de la victime par la recherche de chaînes de caractères qui contiennent leurs nom, adresse, numéro de téléphone, l’emplacement et les informations d’identification de compte.
Les informations collectées peuvent ensuite être traitées par le module suivant appelé contournement de la sécurité. Il sera à la recherche d’un logiciel de sécurité qui peuvent interférer avec l’installation de virus: toutes les formes de moteurs anti-virus, environnements sandbox, moteurs de débogage et de la machine virtuelle hôtes. Si tel est le cas, alors ils vont être ignoré ou même supprimés.
Lors de ces deux étapes ont été effectuées le JSWORM ransomware auront obtenu le contrôle complet de la machnes. Cela va lui permettre de réaliser d’autres actions malveillantes comme suit:
- Windows Valeurs de Registre — Le ransomware moteur est entièrement capable de modifier les chaînes existantes de la Windows de Registre ou d’en créer de nouveaux pour lui-même. Lorsque le système sont concernées l’ensemble des performances et de la stabilité des ordinateurs va être affectée. Des changements à des tiers des programmes installés, peut les amener à cesser de fumer avec des erreurs inattendues.
- Démarrage des Modifications — Le moteur peut accéder aux enregistrements d’amorçage et mdify à exécuter lui-même dès que l’ordinateur est sous tension. Chaque fois que l’ordinateur est démarré à l’JSWORM instance sera lancé. De telles actions aussi désactiver l’accès à l’amorçage de récupération des menus. Ils sont utilisés pour récupérer les ordinateurs avec manuel d’instructions.
- Des Modifications supplémentaires — d’Autres modifications comprennent la livraison des autres charges et des changements au système d’exploitation. En raccordant à d’autres processus de la JSWORM instance peut reconfigurer d’entrée et de sortie en temps réel.
Les futures mises à jour de la JSWORM peut inclure tout autre composant malveillant que le criminel collective juge nécessaire pour les attaques.
Il est présumé que le JSWORM ransomware utilisera une liste des extensions de fichiers qui doivent être chiffrés avec un puissant algorithme de chiffrement. Généralement des données considérées comme sensibles et personnelles est affecté afin de forcer la victime les utilisateurs à payer les attaquants d’un décryptage des frais. Exemple de données comprend les éléments suivants:
- Archives
- Les sauvegardes
- Les bases de données
- Musique
- Images
- Vidéos
Les fichiers concernés sera renommé avec l’ .JSWORM extension. Les associés ransomware note sera placé dans un fichier HTML avec le message suivant:
Si votre ordinateur a été infecté par le CryTekk ransomware virus, vous devriez avoir un peu d’expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de ce ransomware aussi vite que possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez supprimer le ransomware et suivez étape par étape les instructions dans le guide ci-dessous.
Attention, plusieurs analyseurs antivirus ont détecté malware possible dans JSWORM.
| Un logiciel anti-virus | Version | Détection |
|---|---|---|
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
Comportement de JSWORM
- Vole ou utilise vos données confidentielles
- JSWORM montre des annonces commerciales
- S'installe sans autorisations
- Se distribue par le biais de pay-per-install ou est livré avec des logiciels tiers.
- Spectacles fausses alertes de sécurité, des pop-ups et des annonces.
JSWORM a effectué les versions de système d'exploitation Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Géographie de JSWORM
Éliminer JSWORM de Windows
Supprimer JSWORM de Windows XP :
- Cliquez sur Démarrer pour ouvrir le menu.
- Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.
- Sélectionnez et supprimez le programme indésirable.
Retirer JSWORM de votre Windows 7 et Vista :
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.
- Se déplacer à désinstaller un programme
- Faites un clic droit sur l'app indésirable et choisissez désinstaller.
Effacer JSWORM de Windows 8 et 8.1 :
- Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.
- Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
- Cliquez sur désinstaller .
Delete JSWORM depuis votre navigateur
JSWORM Suppression de Internet Explorer
- Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
- Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.
- Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
- Cliquez sur Fermer et cliquez sur OK.
- Revenir à l' icône d'engrenage, choisissez gérer Add-ons → barres d'outils et Extensionset supprimer les indésirables des extensions.
- Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut
Effacer JSWORM de Mozilla Firefox
- Tapez "about:addons" dans le champ URL .
- Allez aux Extensions et supprimer les extensions du navigateur suspectes
- Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.
Terminez JSWORM de Chrome
- Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.
- Résilier les extensions du navigateur peu fiables
- Redémarrez Google Chrome.
- Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).