Den JSWORM ransomware er en nylig oppdaget ondsinnede trusler som har blitt identifisert i en liten størrelse angrep kampanje. Antall fanget prøvene er lav, noe som ikke gir ut den viktigste distribusjon metode.
En av de mest populære teknikker for å sende ut ransomware er å koordinere e-post SPAM kampanjer. De vil bruke phishing taktikk manipulere ofrene til å tro at de har mottatt en legitim melding fra et velkjent selskap eller en tjeneste. Infeksjonen kan gjøres ved å samhandle med kroppen innhold, eller eventuelle vedlagte filer.
De fleste ransomware infeksjoner kan være forårsaket ved å kjøre ondsinnet nyttelast bærere som kan ta ulike former. Et eksempel ville være en infisert dokument som inneholder makroer med de nødvendige instruksjoner. Alle populære typer kan være infisert: regneark, presentasjoner, tekst dokumenter og databaser. Når de er åpnet av ofrene vises en melding som ber for dem å aktivere makroer. Av ulike årsaker kan bli sitert, den mest populære er at dokumentet ikke kan være riktig åpnet uten dem. Aktivering av denne melding vil føre til virus infeksjon.
Den andre nyttelast transportør som kan benyttes for JSWORM ransomware infeksjoner er det application installer. Den kriminelle kollektiv kan legge inn den nødvendige koden i setup filer av populære programvare. Så snart de er kjørt ransomware som vil bli brukt. De er laget ved å ta den legitime filer og modifisere dem med den nødvendige koden instruksjoner.
Alle disse filene kan være fordelt på fil-deling nettverk som BitTorrent hvor det både legitimt og pirat innhold er felles. En annen mulig kilde er nettverket av ondsinnede nettsteder som kan bli opprettet for å støtte et virus distribusjon kampanje. De vil kopiere design elementer, og kroppen innhold av ekte og pålitelige nettsteder, så vel som bruk lignende høres domenenavn og sikkerhet-sertifikater (ofte stjålet) for å skjule sin identitet svindel.
Større kampanjer kan målrette ofre ved hjelp av nettleserkaprere ※ hacker-laget plugins laget for de mest populære nettleserne. De vil bli tilbudt som legitime utvidelser som er beskrevet som tilbyr oppdatert funksjonalitet eller ytelse ekstrautstyr. Ofte de er lastet opp til relevante registre ved hjelp av falske bruker anmeldelser og utvikler legitimasjon, og så snart de er installert virus installasjon finner sted.
Den JSWORM ransomware er ansett for å være en tidlig testing utgivelse, og i sin nåværende form ikke inneholder noen avanserte komponenter. Det er mulig at fremtidige versjoner av det vil kopiere virkemåten av andre kjente virus. De fleste av dem begynner infeksjon med en data-fangst kommando som gir motoren til å skanne den lokale innholdet på jakt etter sensitiv informasjon. Det er først og fremst brukt til å generere et unikt infeksjon ID som er tilordnet til hver infisert vert og er vanligvis laget av input-verdier hentet fra installasjon av komponenter, brukerinnstillinger og operativsystemet verdier. Det kan også være konfigurert til å direkte avsløre identiteten til ofrene ved å søke etter strenger som inneholder navn, adresse, telefonnummer, beliggenhet og-kontoen.
Den innsamlede informasjonen kan deretter bli behandlet av neste modul kalt sikkerhet bypass. Det vil søke etter sikkerhet programvare som kan forstyrre virus installasjon: alle former for anti-virus motorer, sandkasse miljøer, debug motorer og virtuelle maskinen, allhers gud. Dersom slike er funnet så vil de bli forbigått eller til og med slettet.
Når disse to trinnene er fullført JSWORM ransomware har fått full kontroll over machnes. Dette vil tillate det å utføre andre skadelige handlinger som følgende:
- Windows Register Verdier ※ ransomware motoren er fullt i stand til å endre eksisterende strenger Windows Registeret eller å opprette nye for seg selv. Når systemet som er berørt deretter den generelle ytelsen og stabiliteten av datamaskiner kommer til å være påvirket. Endringer til tredjeparts installerte programmer kan få dem til å slutte med uventet feil.
- Boot Endringer ※ motoren kan få tilgang til boot records og mdify dem til å kjøre seg selv så snart datamaskinen er slått på. Hver gang maskinen er startet på JSWORM eksempel vil være i gang. Slike handlinger også deaktivere tilgang til recovery boot menyer. De brukes til å gjenvinne datamaskiner med manuell instruksjonene.
- Ytterligere Endringer ※ Andre endringer inkluderer levering av andre nyttelaster og endringer i operativsystemet. Ved å trekke opp til andre prosesser JSWORM eksempel kan konfigurere inngang og utgang i real-time.
Fremtidige oppdateringer av JSWORM kan inkludere eventuelle andre skadelige komponenter som kriminelle kollektive anser som nødvendig for angrep.
Det er antatt at JSWORM ransomware vil bruke en liste over målet filtype utvidelser som er kryptert med en kraftig cipher. Vanligvis data som regnes som sensitive og personlige påvirkes for å tvinge offeret-brukere til å betale angriperne en dekryptering avgift. Eksempel på data inneholder følgende:
- Arkiv
- Sikkerhetskopier
- Databaser
- Musikk
- Bilder
- Videoer
De berørte filene vil bli omdøpt med .JSWORM extension. Tilhørende ransomware notatet vil bli plassert i en HTML-fil med følgende melding:
Hvis datamaskinen ble smittet med CryTekk ransomware virus, du bør ha litt erfaring i å fjerne malware. Du bør kvitte seg med denne ransomware så raskt som mulig før det kan få sjansen til å spre videre og infisere andre datamaskiner. Du bør fjerne ransomware og følg steg-for-trinn-instruksjoner som er gitt nedenfor.
Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i JSWORM.
Antivirusprogramvare | Versjon | Gjenkjenning |
---|---|---|
K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
VIPRE Antivirus | 22224 | MalSign.Generic |
Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
VIPRE Antivirus | 22702 | Wajam (fs) |
ESET-NOD32 | 8894 | Win32/Wajam.A |
Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
Dr.Web | Adware.Searcher.2467 | |
Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
JSWORM atferd
- Endrer brukerens hjemmeside
- JSWORM kobles til Internett uten din tillatelse
- Bremser internettforbindelse
- Installerer selv uten tillatelser
- Omdirigere nettleseren til infiserte sider.
- Endrer Desktop og webleserinnstillinger.
- Stjeler eller bruker din fortrolig Data
- Viser falske sikkerhetsvarsler Pop-ups og annonser.
- JSWORM viser kommersielle annonser
- Distribuerer seg selv via betal-per-installere eller er samlet med tredjepartsprogramvare.
JSWORM berørt Windows OS-versjoner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
JSWORM geografi
Eliminere JSWORM fra Windows
Slett JSWORM fra Windows XP:
- Klikk på Start for å åpne menyen.
- Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.
- Velge og fjerne det uønskede programmet.
Fjern JSWORM fra din Windows 7 og Vista:
- Åpne Start -menyen og velg Kontrollpanel.
- Flytte til Avinstaller et program
- Høyreklikk uønskede programmet og velg Avinstaller.
Slett JSWORM fra Windows 8 og 8.1:
- Høyreklikk på nederst til venstre og velg Kontrollpanel.
- Velg Avinstaller et program og Høyreklikk på uønskede app.
- Klikk Avinstaller .
Slett JSWORM fra din nettlesere
JSWORM Fjerning av Internet Explorer
- Klikk på Gear-ikonet og velg Alternativer for Internett.
- Gå til kategorien Avansert og klikk Tilbakestill.
- Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
- Klikk Lukk og velg OK.
- Gå tilbake til girikonet, velge Administrer tillegg → verktøylinjer og utvidelser, og slette uønskede utvidelser.
- Gå til Søkeleverandører og velg en ny standard søkemotor
Slette JSWORM fra Mozilla Firefox
- Angi "about:addons" i URL -feltet.
- Gå til utvidelser og slette mistenkelige leserutvidelser
- Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.
Avslutte JSWORM fra Chrome
- Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.
- Avslutte upålitelige kikker extensions
- Starte Google Chrome.
- Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).