Den JSWORM ransomware är en nyupptäckt skadliga hot som har identifierats i en liten attack i kampanj. Antalet tagna prover är låg, vilket inte ge ut den huvudsakliga distributionen metod.
En av de mest populära teknikerna för att skicka ut ransomware är att samordna e-post SPAM-kampanjer. De kommer att använda phishing taktik manipulera offer till att tro att de har fått en legitim anmälan från ett välkänt företag eller tjänst. Infektionen kan göras genom att interagera med kroppens innehåll eller eventuella bifogade filer.
De flesta ransomware infektioner kan orsakas genom att lansera skadliga koden bärare som kan ta sig olika former. Ett exempel skulle vara en infekterad dokument som innehåller makron med de anvisningar som behövs. Alla populära typer kan vara smittad: – kalkylblad, presentationer, text-dokument och databaser. När de öppnas av den som har utsatts visas ett meddelande som ber för dem att aktivera makron. Av olika skäl kan anges, den mest populära är att dokumentet inte öppnas på rätt sätt utan dem. Gör detta snabbt kommer att leda till virus infektion.
Den andra nyttolast bärare som kan utnyttjas för JSWORM ransomware infektioner är application installer. Den straffrättsliga kollektiv kan bädda in den kod som behövs i setup-filer för populära program. Så snart de kör ransomware kommer att användas. De gjorde genom att ta legitima filer och ändra dem med den kod som behövs instruktioner.
Alla dessa filer kan fördelas på fildelningsnätverk, som BitTorrent där både legitimt och pirate innehåll är delad. En annan möjlig källa är det nätverk av skadliga webbplatser som kan skapas för att stödja ett virus distribution kampanj. De kommer att kopiera design element och kroppen innehållet i riktiga och pålitliga webbplatser, liksom använda liknande klingande domännamn och säkerhet certifikat (ofta stulna) för att dölja sina bedrägerier identitet.
Större kampanjer kan rikta offer med hjälp av webbläsare kapare — hacker-gjort plugins gjorts för de flesta populära webbläsare. De kommer att erbjudas som legitima tillägg som beskrivs som erbjuder uppdaterade funktioner eller bättre prestanda. De är ofta upp till relevanta arkiv med hjälp av falska recensioner användare och utvecklare referenser och så snart som de är installerade virus installation kommer att ske.
Den JSWORM ransomware betraktas som ett tidigt test release och i sin nuvarande form inte innehåller några avancerade komponenter. Det är möjligt att framtida versioner av det kommer att kopiera beteende av andra kända virus. De flesta av dem börjar infektionen med en data skörd kommando som ger motorn för att skanna lokala innehållet i sökning av känslig information. Det är främst används för att generera en unik infektion ID som tilldelas varje infekterad värd och är oftast består av ingående värden hämtade från installerad maskinvara, användarinställningar och operativsystem miljö värden. Det kan också konfigureras för att direkt avslöja identiteten på offren genom att söka efter strängar som innehåller namn, adress, telefonnummer, plats och kontouppgifter.
Den insamlade informationen kan sedan behandlas av nästa modul som kallas säkerhet bypass. Det kommer att söka efter programvara som kan störa virus installation: alla former av anti-virus motorer, sandlåda miljöer, felsöka motorer och virtuella maskinen är värd. Om sådana finns då de inte kommer att kringgås eller raderade.
När dessa två steg har slutförts den JSWORM ransomware har fått fullständig kontroll över machnes. Detta gör det möjligt att utföra skadliga åtgärder som följande:
- Windows registervärden — ransomware motorn är fullt kapabla till att ändra den befintliga strängar av Windows Register eller till att skapa nya för själv. När system som påverkas då de generellt prestanda och stabilitet datorer kommer att påverkas. Förändringar för att av tredje part installerade program kan orsaka dem att sluta med oväntade fel.
- Starta Ändringar — motorn kan få tillgång till den boot poster och mdify dem att köra själv så fort datorn är påslagen. Varje gång datorn startas den JSWORM exempel kommer att vara igång. Sådana åtgärder också inaktivera åtkomst till startenhet menyer. De används för att återvinna datorer med manuella instruktioner.
- Ytterligare Förändringar — Andra ändringar inkluderar leverans av andra nyttolaster och ändringar i operativsystemet. Genom att koppla upp till andra processer JSWORM exempel kan konfigurera ingång och utgång i real-tid.
Framtida uppdateringar av JSWORM kan omfatta någon annan skadlig komponent som kriminella kollektiva anser vara nödvändiga för attacker.
Det antas att JSWORM ransomware kommer att använda en lista av mål filtypstillägg som är krypterad med en kraftfull chiffer. Vanligtvis uppgifter som anses känsliga och personliga påverkas i syfte att tvinga offret användare till att betala för angripare utifrån en dekryptering avgift. Exempel data inkluderar följande:
- Arkiv
- Säkerhetskopior
- Databaser
- Musik
- Bilder
- Videoklipp
Filer som påverkas kommer att döpas med .JSWORM förlängning. Tillhörande ransomware kommentar kommer att placeras i en HTML-fil med följande meddelande:
Om din dator blev infekterad med CryTekk ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i JSWORM.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
JSWORM beteende
- Installerar sig själv utan behörighet
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Ändrar användarens hemsida
- JSWORM ansluter till internet utan din tillåtelse
- Gemensam JSWORM beteende och några andra emplaining som Textinfo relaterade till beteende
- Omdirigera webbläsaren till infekterade sidor.
- Stjäl eller använder dina konfidentiella Data
- Saktar internet-anslutning
- Ändrar skrivbordet och webbläsarinställningar.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- JSWORM visar kommersiella annonser
- Integreras i webbläsaren via webbläsartillägget JSWORM
JSWORM verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
JSWORM geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).