Le VegaLocker Ransomware a été identifié comme une nouvelle menace dans une attaque en cours de campagne. Il contient des éléments provenant de différentes menaces qui signifie que le collectif de pirates informatiques derrière, il a créé une “fusion” des différents virus à l’origine de VegaLocker. Cette approche permet de l’étaler à l’aide d’une grande variété de méthodes.
Au moment où la majorité des infections sont réalisées à l’aide de la vulnérabilité à l’exploitation permettant au virus d’accéder à la cible les ordinateurs et l’utilisation de logiciel de bureau à distance pour vous connecter à eux. De telles attaques sont le fait essentiellement de manière automatisée qui signifie que des centaines et des milliers d’ordinateurs peuvent être ciblées à la fois.
D’autres stratégies peuvent inclure la populaire hacker stratégies d’envoyer jointe ou liée fichiers contenant les VegaLocker Ransomware dans les courriels, les messages de phishing. Ils sont envoyés à la cible, en se présentant comme légitimes les notifications envoyées par le bien-connu des services et des entreprises. Les fichiers seront annoncés en tant que mises à jour importantes ou les installateurs que les utilisateurs ont besoin pour fonctionner.
Un mécanisme similaire est la création de faux sites web qui sont créés à l’aide d’un mécanisme similaire. Ils sont faits de copier le design, le nom, le contenu et d’autres éléments bien connus de pages Internet et de tenter de confondre les visiteurs en pensant qu’ils ont accédé à une légitime et sûre de domaine. La ressemblance entre les noms et même les certificats de sécurité peuvent être utilisés pour les faire paraître comme de vraies pages. Via la publication des contenus, des liens et des éléments multimédia, le VegaLocker Ransomware l’infection peut être obtenue.
Les infections de Virus comme celui-ci peut aussi être causée par l’interaction avec charge malveillante transporteurs, il existe deux variantes:
- L’Application infectée Installateurs — Les criminels peuvent intégrer les scripts d’installation dans les fichiers d’installation de logiciel populaire qui sont souvent téléchargé par les utilisateurs finaux. Ils sont fabriqués à partir de l’original des fichiers de fournisseurs et en ajoutant le virus du code d’installation.
- Les Documents infectés — L’autre mécanisme est de créer les documents malveillants qui peuvent être de l’un des types populaires: présentations, bases de données, feuilles de calcul et des documents de texte. Le virus code d’installation fait partie des macros qui sont insérées dans eux. Lorsque les documents sont ouverts par la victime aux utilisateurs un message s’affiche vous demandant d’eux afin de leur permettre de qui vont conduire à l’infection.
Une autre grande échelle de la stratégie pour la livraison de la VegaLocker Ransomware est de faire une partie de la pipette programmé dans les pirates de navigateur. Ils sont dangereux plug-ins de navigateur qui sont largement disponibles sur les dépôts. Le criminel contrôleurs utilisent souvent de faux commentaires de l’utilisateur et les informations d’identification de développeur avec palpitante descriptions prometteur les utilisateurs de l’optimisation des performances et de nouvelles fonctionnalités plus.
Le code d’analyse révèle que le VegaLocker Ransomware est programmé en Delphi langage de programmation et qu’il contient le code de la Scarab ransomware de la famille. Il comprend le code source d’autres familles ainsi: Amnésie, Gloverabe2 et etc. Tout cela conduit à deux causes possibles:
- Création — Il est proposé que le même collectif qui est derrière les attaques est responsable de sa création. Ils ont pris le code source de toutes ces familles de logiciels malveillants et a créé le code personnalisé par eux-mêmes.
- Commande personnalisée — Cette thèse propose que le VegaLocker Ransomware est le résultat d’une commande personnalisée sur l’underground marchés. Une fois qu’il est terminé, les pirates peuvent utiliser pour infecter les objectifs de leur propre choix.
Son intéressant de noter qu’il comprend la signature d’une variété de différents produits, des services et des entreprises. Cela rend très pratique à utiliser avec des applications infectées. Le fait que ces signatures sont présents pouvez également contourner les logiciels de sécurité dans certains cas. C’est possible avec un module dédié qui est exécuté pour cette opération. Ces inclure des logiciels anti-virus, la machine virtuelle hôtes, pare-feu, de débogage et des environnements etc.
Une liste extraite de l’un des échantillons capturés révèle les signatures suivantes dans lesquelles il peut être transmise:
Après la VegaLocker Ransomware a été livré il va commencer une série de scripts qui permet de désactiver l’accès à la boot options de récupération. Cela fait manuel utilisateur de récupération des guides n’est plus de travail que la plupart d’entre eux comptent sur eux.
Suppression des données auront également lieu le moteur de scan et supprimer les traces de Points de Restauration du Système, des Sauvegardes et du Volume d’Ombre de Copies. Quand ils ont terminé l’exécution de l’, les utilisateurs doivent utiliser une combinaison d’une solution anti-spyware et le programme de récupération de données afin de restaurer efficacement leurs systèmes.
Ce qui est plus dangereux, c’est que cette menace a été spécialement programmé pour échapper à la machine virtuelle hôtes. Il va scanner la mémoire et trouve toutes les chaînes liées à des hyperviseurs ou des ajouts (tels que les pilotes et le logiciel utilitaire) qui peuvent révéler que l’hôte est en fait une partie d’une installation de la machine virtuelle. Lorsque de telles a été détecté le virus sera l’arrêter ou peut supprimer lui-même pour éviter la détection.
À ce stade, le VegaLocker Ransomware auront obtenu la possibilité de modifier tous les domaines du système d’exploitation affecté. Cela va lui permettre de créer encore davantage de processus, qui est celui de la récolte de données . Il est programmé pour extraire des données qui peuvent être classés en deux grands groupes:
- Informations personnelles — Les informations extraites peuvent être utilisées directement pour exposer l’identité de la victime par l’acquisition des chaînes telles que leur nom, adresse, numéro de téléphone, les intérêts et les données d’identification de compte.
- Informations sur l’ordinateur — Le moteur de la récolte de données sur les ordinateurs qui est utile pour la création d’un distinct ID pour chaque hôte affecté. Il est généralement généré par un algorithme qui prend son entrée depuis les préférences de l’utilisateur, la liste des pièces de l’installation de composants matériels et de certains environnement de système d’exploitation valeurs.
La prochaine étape est de provoquer des changements dans le Windows de Registre. Cela signifie que non seulement le virus va insérer des valeurs se rapportant à lui-même, mais aussi de modifier ceux existants. Cela peut conduire à de graves problèmes de performances et de l’impossibilité pour le lancement de certains programmes ou services. Les logiciels concernés peuvent sortir avec des erreurs inattendues, ou se comportent mal.
Le ransomware a été trouvé pour être en mesure de modifier le Bureau.rdp fichier de configuration qui permet de configurer les sessions de bureau à distance. Ceci est particulièrement utile quand ils sont activement utilisés par les pirates. Les criminels ont besoin tout simplement d’ajouter à leur propre compte les informations susceptibles de leur permettre l’accès sans restriction lorsque la connexion Internet est disponible.
Il a également été trouvé pour mesurer les performances de l’ordinateur qui peut être liée à la capacité à fournir d’autres charges. Deux des plus courantes sont les suivantes:
- Cheval de troie Infections — Ils sont l’une des plus dangereuses conséquences des infections ransomware. Ils vont mettre en place une connexion sécurisée à un hacker contrôlé par le serveur. Les pirates peuvent dépasser le contrôle des machines, la récupération des données avant qu’elles soient chiffrées et espionner les victimes en temps réel.
- Cryptocurrency les Mineurs — Ils vont tirer parti des ressources disponibles du système par le calcul mathématique complexe des tâches en téléchargeant des tâches à partir d’un serveur spécial appelé “piscine”. Le script malveillant surveillera l’exécution des tâches et le prix de la monnaie numérique lorsque l’un d’eux est terminé. Les fonds seront directement câblé à leurs portefeuilles numériques.
Il est très possible que les futures versions peuvent utiliser l’ensemble de ces instruments afin de mener à bien complexe ordre du jour. L’un des plus populaires des scénarios est de construire un réseau botnet — il est utilisé pour recruter les ordinateurs infectés à un réseau mondial des “esclaves”. Ils peuvent être programmés pour le lancement d’une succession rapide des demandes de réseau pour un hôte donné donc de le ramener. Les grands réseaux peuvent être très efficaces contre les grandes entreprises ou même des organismes gouvernementaux.
Le VegaLocker Ransomware va lancer le chiffrement des opérations lorsque tous les modules ont fini de s’exécuter. Comme d’autres menaces similaires, il va utiliser une liste de type de fichier cible des extensions telles que les suivantes:
- Les sauvegardes
- Archives
- Les bases de données
- Images
- Musique
- Vidéos
Le ransomware note sera conçu dans un fichier appelé Vos fichiers sont maintenant encrypted.txt qui contient un message écrit en russe:
Si votre ordinateur a été infecté par le VegaLocker ransomware virus, vous devriez avoir un peu d’expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de ce ransomware aussi vite que possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez supprimer le ransomware et suivez étape par étape les instructions dans le guide ci-dessous.
Attention, plusieurs analyseurs antivirus ont détecté malware possible dans VegaLocker Ransomware.
| Un logiciel anti-virus | Version | Détection |
|---|---|---|
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportement de VegaLocker Ransomware
- VegaLocker Ransomware se connecte à l'internet sans votre permission
- VegaLocker Ransomware montre des annonces commerciales
- S'installe sans autorisations
- Rediriger votre navigateur vers des pages infectées.
- Spectacles fausses alertes de sécurité, des pop-ups et des annonces.
- S'intègre dans le navigateur web par l'intermédiaire de l'extension de navigateur de VegaLocker Ransomware
- VegaLocker Ransomware désactive les logiciels de sécurité installés.
- Vole ou utilise vos données confidentielles
- Change la page d'accueil de l'utilisateur
VegaLocker Ransomware a effectué les versions de système d'exploitation Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Géographie de VegaLocker Ransomware
Éliminer VegaLocker Ransomware de Windows
Supprimer VegaLocker Ransomware de Windows XP :
- Cliquez sur Démarrer pour ouvrir le menu.
- Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.
- Sélectionnez et supprimez le programme indésirable.
Retirer VegaLocker Ransomware de votre Windows 7 et Vista :
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.
- Se déplacer à désinstaller un programme
- Faites un clic droit sur l'app indésirable et choisissez désinstaller.
Effacer VegaLocker Ransomware de Windows 8 et 8.1 :
- Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.
- Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
- Cliquez sur désinstaller .
Delete VegaLocker Ransomware depuis votre navigateur
VegaLocker Ransomware Suppression de Internet Explorer
- Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
- Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.
- Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
- Cliquez sur Fermer et cliquez sur OK.
- Revenir à l' icône d'engrenage, choisissez gérer Add-ons → barres d'outils et Extensionset supprimer les indésirables des extensions.
- Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut
Effacer VegaLocker Ransomware de Mozilla Firefox
- Tapez "about:addons" dans le champ URL .
- Allez aux Extensions et supprimer les extensions du navigateur suspectes
- Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.
Terminez VegaLocker Ransomware de Chrome
- Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.
- Résilier les extensions du navigateur peu fiables
- Redémarrez Google Chrome.
- Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).