Den CryTekk Ransomware är ett test release av en ny Gömda Tår baserat malware. Det har konstaterats i en pågående attack kampanj av begränsad omfattning — den tagna prover verkar vara tidiga testversioner. Som forskare kan inte avgöra vilken som är den primära för distribution. Det är möjligt att hackare kan använda flera olika typer för att ta reda på vilken som skulle vara den mest effektiva.
En av de mest framgångsrika taktik är att hantverk phishing e-post SPAM härma legitima företag och tjänster som mottagare kan använda. Med hjälp av kapade delar och layout design gör att de kan tvingas att interagera med dem. Den CryTekk Ransomware filer kan vara direkt ansluten eller kopplad i kroppen innehåll.
En annan möjlig lösning skulle vara att skapa skadliga webbplatser att uppträda som säljaren webbplatser för nedladdning, ladda ner portaler och marknadsföring målsidor. För att tvinga den avsedda målen till att besöka dem brottslingar kan använda liknande klingande domännamn och self-signed eller stulna säkerhetscertifikat.
Den ransomware-filer kan också spridas över BitTorrent och andra fildelningsnätverk som de är en populär utlopp för både pirat och legitimt innehåll. Alla dessa metoder kan dessutom användas för att sprida infekterade nyttolast transportörer att distribuera CryTekk Ransomware. Dessa två är en av de mest populära:
- Skadliga Handlingar — De skapas genom att bädda in den nödvändiga skript i dokument över alla populära filformat: rtf-dokument, kalkylblad, presentationer och databaser. När de öppnas av den som har utsatts visas ett meddelande som ber för dem att aktivera den inbyggda skript, om detta är gjort viruset kommer att installeras. Anmälan kommer att presenteras som ett medel för att på rätt sätt visa dokumentet.
- Ansökan Installatörer — hackare bakom CryTekk Ransomware kan dessutom ändra installatörer av legitima program i alla populära program som laddats ner av användare i slutet: kreativitet sviter, verktyg, kontor och produktivitet program och även dataspel. Detta görs genom att ta de ursprungliga filerna och ändra dem med den nödvändiga koden.
Större infektioner kan göras genom att inkludera CryTekk Ransomware infektion kod i farliga plugins i webbläsaren, alternativt känd som kapare. De kommer att ändra webbläsarens inställningar så snart de är utplacerade på målet system för att omdirigera de mål som att en hacker-kontrollerad landning sida. Ändringar inkluderar standard hemsida, sökmotor och nya flikar.
Säkerheten analyser bekräftar att hot kombinerar källkoden av den Dolda Riva ransomware familj tillsammans med mindre virus. Detta leder oss att tro att den kriminella eller kollektiva bakom att det inte är mycket erfaren. Tagna prover anses tidiga tester, släpper, är det troligt att framtida versioner av det, kommer att följa den etablerade beteende mönster som framgår av föregående virus av denna familj av skadlig kod.
Det är vanligt att sådana infektioner börja med en data skörd process som är i stånd att inhämta information från olika källor. Beroende på den exakta konfigurationen informationen kan delas in i två huvudsakliga grupper:
- Personliga Information — Det är hänföras till ägaren av maskinen själv genom att rikta strängar som kan avslöja deras identitet: namn, e-postadress, läge och uppgifter, intressen och eventuella sparade lösenord.
- Maskinen Identifiering Uppgifter — motorn kan dessutom skapa ett unikt ID som är associerat med varje infekterade maskinen. Det görs med hjälp av en inbyggd algoritm som tar sina värden från installerad maskinvara, användarens hårdvarukonfiguration och operativsystem miljöförhållanden.
Den insamlade informationen kan användas för andra ändamål samt, en av de vanligaste är den säkerhet bypass av alla identifierade programvara och tjänster som kan blockera CryTekk Ransomware. Listan innehåller de flesta anti-virus program, brandväggar, felsöka miljöer och virtuella maskinen är värd. Om den är konfigurerad så att hotet kan ta bort sig själv är oförmögen att följa detta steg, detta görs med avsikt att undvika upptäckt.
När dessa två processer har avslutat tillhörande motor kan fortsätta vidare med andra åtgärder. När viruset har trängt in i säkerheten på datorn och förbi den skyddande tjänster det kan gå fullständig kontroll över den infekterade maskinen. Detta gör att infektionen motorn för att leka många trådar, inklusive de med administrativa privilegier. En annan vanlig mekanism är att koppla in till befintlig operativsystem tjänster och program från tredje part. Detta gör inte bara att det ska vara dold, men också för att spionera på åtgärder av användarna.
Några av de mest framträdande ransomware verksamhet omfattar följande:
- Windows Registry Ändringar — ransomware har förmågan att manipulera Windows Registret. Ändringar värderingar som hör till det operativsystem som kan orsaka allvarliga prestanda frågor och problem när du startar vissa tjänster. Å andra sidan när värden som används av tredje part har ändrat eller tagit bort de avslutas oväntat eller inte starta alls.
- Ihållande Installation — CryTekk Ransomware kan konfigurera operativsystemet för att viruset kommer att starta automatiskt när datorn startas. Det kommer även blockera åtkomst för att återställa menyer och alternativ som gör de flesta manuell borttagning guider icke-arbetande.
- Trojan Anslutning — CryTekk Ransomware kan också sätta in en Trojan-modul som kan ställa in en anslutning till en viss hacker-kontrollerad server. Detta gör att brottslingar att spionera på användare i realtid, ladda ner filer innan och efter kryptering har slutförts och också ta kontroll över maskiner.
- Ytterligare Nyttolast Leverans — Alla andra typer av skadlig programvara som distribueras med hjälp av den gjort ransomware infektioner: botnet kunder, gruvarbetare, kapare och etc.
När den förinställda beteende mönster har färdiga kör CryTekk Ransomware kommer att börja den faktiska ransomware verksamhet. Som det härstammar från en Dold Riva kodbas det kommer att använda stark kryptering (AES) för att kryptera målet användare uppgifterna baseras på en inbyggd lista över mål tillägg. Ett exempel skulle vara följande:
- Arkiv
- Databaser
- Säkerhetskopior
- Konfigurationsfiler
- Bilder
- Musik
- Videoklipp
Offret filer kommer att döpas med .låst förlängning, tillhörande ransomware kommentar kommer att placeras på skrivbordet och på olika platser, inklusive användarens mappar.
Om din dator blev infekterad med CryTekk ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i CryTekk Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
CryTekk Ransomware beteende
- Gemensam CryTekk Ransomware beteende och några andra emplaining som Textinfo relaterade till beteende
- CryTekk Ransomware inaktiveras installerade säkerhetsprogram.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- CryTekk Ransomware visar kommersiella annonser
- Omdirigera webbläsaren till infekterade sidor.
- Installerar sig själv utan behörighet
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Ändrar användarens hemsida
CryTekk Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
CryTekk Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).