Den Ahihi Ransomware är en nyutgiven hot som alternativt kallas BangLuongThang02 virus. De första attackerna med det har rapporterats i januari 2019 och de verkar rikta sig till alla engelsktalande användare. Antalet insamlade prover är låg, vilket indikerar att ingen särskild leverans metod används, kan vi anta att flera sådana kan åtalas för att avgöra vilken som skulle vara den mest effektiva.
En populär taktik är samordning av SPAM e-postmeddelanden som använder en kombination av social ingenjörskonst taktik och ett stort antal skickade meddelanden. De är utformade som skickas av legitima företag eller tjänster som användarna kan använda. Den Ahihi Ransomware kod kan vara antingen direkt bifogas som filer eller införas som hyperlänkar eller rika innehåll i innehåll. Exempel text, länkar, bilder och videor.
En liknande strategi är att skapa falska webbplatser som har samma avsikt att lura användare till att tro att de använder ett legitimt domän: leverantör målsidor, ladda ner portaler eller andra innehåll på webben.Hackare kommer att använda liknande klingande domännamn och säkerhetscertifikat som ytterligare åtgärder.
Filer som är associerade med detta hot kan hittas på fildelningsnätverk, som BitTorrent som ofta används för att sprida både legitimt och pirate innehåll. Alla dessa tre metoder används ofta för att distribuera Asihi ransomware nyttolast transportörer, två populära exempel är följande:
- Skadliga Handlingar — hackare kan craft dokument som innehåller skadliga skript och bädda in dem i de mest populära filformaten: textdokument, kalkylblad, presentationer och databaser. När de öppnas av den som har utsatts för ett snabbt kommer att vara lekt be dem att aktivera den inbyggda makron för att på rätt sätt visa filen. Om detta är gjort ransomware infektion kommer att utlösas.
- Setup-Filer — Den andra möjligheten är att skapa infekterade installatörer av populära program: system utilities, kreativitet sviter, office-program och etc. Detta görs genom att ta de ursprungliga filerna från deras officiella källor och ändra dem med den nödvändiga skript. På att bara starta installationen infektioner kommer att göras.
Större angrepp kan göras med hjälp av webbläsare kapare som är skadliga plugins som görs för de mest populära webbläsare. De är regelbundet laddas upp till relevanta arkiv att använda sig av hackad eller hacker-gjort utvecklare referenser och recensioner. När de är installerade ändringar i inställningarna för webbläsaren kommer att göras tillsammans med virusinfektion: omdirigering till en hacker-kontrollerad sida med hjälp av att ställa upp som standard nya flikar, sökmotor och hemsida.
Den fångade stammar enligt tillgänglig information är basen version som visas till att endast innehålla de relevanta kryptering modul. Som sådan är det förväntade framtida versioner av det kan uppdateras för att inkludera andra komponenter. Vi räknar med att en standard beteende mönster kommer att behandlas av angriparna. Den Ahihi Ransomware verkar innehålla några källkod från Gömda Tår familj av skadlig kod tillsammans med andra prover från olika virus. Detta ger forskarna skäl att tro att de släppt prover är förmodligen i förtid eller testversioner.
En av de första modulerna som drivs med avancerad infektioner är en i samband med datainsamling. Viruset kommer att vara programmerad på ett sätt som kommer att söka efter strängar som är relaterade till identitet offer: deras riktiga namn, adress, telefonnummer, intressen, lokalisering och även lagrade lösenord. Andra tänkbara uppgifter som skördas är relaterade till installerad maskinvara och programvara. Det används för att skapa ett unikt ID för varje äventyras värd. Båda dessa typer av data kan användas inte bara för att ta itu med offret användare, men också för brott som stöld och ekonomiska övergrepp.
När ett tillräckligt stort avtryck av information om datorns konfiguration samlas in kan användas för att kringgå skyddsåtgärder som kan stoppa virus infektion — anti-virus motorer, brandväggar, sandlåda miljöer och virtuella maskinen är värd.
Den Ahihi Ransomware har förmågan att konfigurera om hela systemet genom att påverka viktiga områden — konfigurationsfiler, Windows Registret och startalternativ. Som sådan kan det bli mycket svårt att ta bort, detta kallas ofta som en ihållande infektion. Detta inkluderar eventuella begränsningar för start och återställning menyer, detta gör att många bruksanvisning removal guide värdelös. I detta fall är det bara en avancerad anti-spyware-lösning kan åtgärda virus intrång.
Ansluter till redan befintliga tjänster och processer kommer att tillåta ransomware att läsa vad användarna gör. Att skapa sina egna processer sand tjänster är också möjligt med möjlighet att få administrativa rättigheter.
Ändringar i Windows Registret kan orsaka ytterligare skada, om tredje-paprty program värden ändras då kan det hända att program avslutas oväntat och inte köra på det sätt som de är avsedda för. Ändringar till strängar som används av operativsystemet som kan orsaka generellt prestanda och ibland en fullständig låsning.
En av de farligaste typerna av ransomware infektioner som Ahihi Ransomware kan också bli en del av den utbyggnad av andra nyttolast. Exempel är följande:
- Cryptocurrency Gruvarbetare — Dessa infektioner dra nytta av tillgängliga resurser och utföra komplexa beräkningar. Varje genomförd uppgift kommer att resultera i inkomster för hacker aktörer — de kommer att få cryptocurrency direkt i sin digitala plånböcker.
- Trojaner — Det skadliga programmet kan ladda ner Trojanska hästar som kommer att upprätta en beständig anslutning till en hacker-kontrollerad server. Detta kommer att göra det möjligt för dem att spionera på användarna, stjäla deras data och även köra om kontroll av maskinerna vid en viss tid.
- Webbläsare Kapare — Den webbläsare kan konfigureras för att installera en farlig plugin, känd som kapare. De server har samma funktion som beskrivs i distributionen punkt — att omdirigera offer för en hacker-kontrollerad landning sidan genom att ändra inställningarna i webbläsaren.
Kryptering modul kommer att lanseras efter alla andra åtgärderna har slutförts kör. Det har bekräftats att AES kryptering som används för att inrikta filer enligt en inbyggd lista över mål filtyper. Ett exempel skulle antagligen har följande data:
- Arkiv
- Handlingar
- Säkerhetskopior
- Musik
- Videoklipp
- Bilder
För att skilja sig från andra liknande ransomware de nuvarande versionerna inte tilldela en malware förlängning till den infekterade filer. Tillhörande ransomware notera är skapade i en fil som heter README.txt som lyder följande meddelande:
Om din dator blev infekterad med Ahihi ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i Ahihi Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Dr.Web | Adware.Searcher.2467 | |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22224 | MalSign.Generic |
Ahihi Ransomware beteende
- Ändrar användarens hemsida
- Saktar internet-anslutning
- Ahihi Ransomware inaktiveras installerade säkerhetsprogram.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Integreras i webbläsaren via webbläsartillägget Ahihi Ransomware
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Omdirigera webbläsaren till infekterade sidor.
- Ahihi Ransomware visar kommersiella annonser
- Gemensam Ahihi Ransomware beteende och några andra emplaining som Textinfo relaterade till beteende
Ahihi Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Ahihi Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).