Den RetMyData Ransomware är ett nytt virus hot som förefaller vara av ursprungliga ursprung, om den inte motsvarar någon av de kända malware familjer och vänder sig till engelsktalande användare från hela världen. Det finns forskning som visar att de släppt prover kan innehålla test versioner. Av denna anledning brottslingar bakom hotet kan vara med hjälp av flera strategier för att upptäcka vilka en skulle vara den mest lämpliga.
En av dem är den samordning av e-post SPAM-kampanjer som är beroende av phishing taktik som försöker tvinga offer till att tro att de har fått ett legitimt meddelande från en välkänd tjänst, produkt eller företag. De meddelanden som kommer att vara utformade på ett sätt som verkar bekant, om korsreferenser information om offren är extraherade phishing-meddelanden kommer att ta det också. Den RetMyData Ransomware filen kan levereras direkt som e-postbilagor eller kopplad i kroppen innehållet genom interaktiva inslag såsom länkar, multimedia innehåll eller skript.
En annan liknande teknik är skapandet av falska webbplatser som kan uppträda som en leverantör målsidor eller ladda ner portaler. De är gjorda med hjälp av liknande klingande domännamn och design element som kan förvirra även erfarna datoranvändare. Så snart de kommer åt de direkt kan erbjuda RetMyData ransommware filer eller omdirigera till dem.
Fildelningsnätverk som BitTorrent är särskilt effektiva på att sprida ransomware som detta, eftersom de används för att dela både seriösa installatörer och pirate innehåll.
Dessa mekanismer kan också göra användning av nyttolast flygbolag, det finns två populära typer som är utställda av virus infektioner:
- Mjukvara Setup-Filer — brottslingar kan ta seriösa installatörer av populära program och bädda in skadligt skript i dem. Exempel produktivitet apps, office-paket, kreativitet program, verktyg och spel.
- Infekterade Dokument — Alla populära dokument-filer kan bli offer för RetMyData Ransomware kod: presentationer, databaser, textfiler och kalkylblad. När de öppnas av den som har utsatts visas ett meddelande som ber för inbyggda makron att köras i syfte att ”visa” – filer. Om detta är gjort viruset installationen kommer att påbörjas.
RetMyData Ransomware filer kan också spridas med hjälp av webbläsare kapare som är skadliga tillägg gjorts för de flesta webbläsare. De är ofta upp till relevanta arkiv med falska användare och utvecklare referenser lovande många har tillägg eller prestanda optimeringar. Om de är installerade kommer de att ändra inställningar som standard hemsida, sökmotor och nya flikar. Tillsammans med redirect till en hacker-kontrollerad landning sida RetMyData Ransomware kommer också att användas.
Andra metoder kan också betraktas som beroende på framgång släppt prover.
Den RetMyData Ransomware som tidigare nämnts inte kommer från någon av de kända malware familjer vilket gör det till ett farligt hot mot alla maskinägare som sina signaturer kan avvika från den gemensamma signaturer. Det är mycket möjligt att hotet är utvecklat av samma grupp eller hacker som ansvarar för dess distribution. Den andra möjligheten är att den skadliga programvaran har köpts från en underjordisk hacker marknaden genom egen ordning.
Det gjorde säkerhet analys av tagna prover visar att proverna innehåller flera moduler som lanseras i föreskriven ordning. En av dem är den data skörd motor som har visat att extrahera information som finns i webbläsare. Den RetMyData Ransomware är konfigurerad för att extrahera känslig information om internetanvändning och offren genom att ladda ner den cachade cookies, historik, inställningar och någon in kontouppgifter. Denna mekanism kan uppdateras ytterligare till att omfatta även andra potentiellt användbara data såsom hårdvara statistik, användarinställningar och miljö-värden. Den extraherade informationen kan användas för att utföra brott som stöld av identitet och ekonomiska övergrepp.
En annan farlig handling som utförs av viruset är utvinning av terminal service-relaterade knappar som används för att utföra fjärråtkomst sessioner. Om någon sådan konfiguration har gjorts på den infekterade datorer hackare kommer att kunna använda det och logga in för att den är värd.
Det är bekräftat att RetMyData Ransomware kan skapa sina egna processer, inklusive barn och kära och även ansluta till redan igång och kära. Detta gör det möjligt att extrahera information från program som körs för att skapa möjlighet att spionera på offren aktiviteter. Den förvärvade informationen är då på distans överförs till skadliga aktörer. Det har bekräftats att regionala preferenser är också extraheras som är användbara för att angriparna — de kan hitta från vilka länder de flesta offren är gjort och finjustera uppdaterade versioner för att öka antalet infekterade värdar.
Korrekt konfigurerad virus prover kan upprätta en Trojansk häst infektion som kommer att göra en säker anslutning till en hacker-kontrollerad server. Det gör att de aktörer att spionera på användarna tillgång till alla hämtade data, köra om kontroll av maskiner och distribuerar också andra hot.
Vi har fått bekräftelse på att motorn används av RetMyData Ransomware också kan komma åt och ändra Windows Registret. Ändringar strängar som hör till det operativsystem kan göra vissa tjänster är otillgängliga och orsaka allvarliga problem med prestanda. Å andra sidan ändringar av värden som används av program från tredje part kan göra dem omöjliga att starta eller oväntade beteende.
Den här modulen kan dessutom användas för att installera RetMyData Ransomware på ett sätt som gör det mycket svårt att ta bort manuellt av användaren återhämtning guider och verktyg. Anledningen till detta är att konfigurera om systemet: konfigurationsfiler, boot alternativ och inställningar användaren.
Den RetMyData Ransomware uppvisar typiska ransomware beteende med hjälp av en inbyggd lista över mål filtypstillägg. En stark chiffer är anställd för att göra data recovery mycket svårt. Beroende på den exakta konfigurationen listan kan byggas in i de prover eller hämtas vid anslutning till hacker-kontrollerade servrar.
I de flesta fall typiska listor kommer att rikta sig till de vanligaste uppgifterna:
- Arkiv
- Databaser
- Säkerhetskopior
- Musik
- Videoklipp
- Foton
Alla filer som påverkas kommer att vara krypterad med .aes256 eller .aes256.testE tillägg.
Om din dator blev infekterad med RetMyData ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i RetMyData Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
RetMyData Ransomware beteende
- Stjäl eller använder dina konfidentiella Data
- Saktar internet-anslutning
- Ändrar användarens hemsida
- Installerar sig själv utan behörighet
- Omdirigera webbläsaren till infekterade sidor.
- RetMyData Ransomware visar kommersiella annonser
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Ändrar skrivbordet och webbläsarinställningar.
RetMyData Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
RetMyData Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).