Den TripleM Ransomware är en ny version som hör till ”MMM” familj av skadlig kod. De identifierade prover är relativt låg volym, som anger en eventuell test eller början av kampanjen release. Vad vi vet är att det kan vara möjligt att en enda metod används. I framtida uppdateringar som vi kan se andra metoder som används.
En av de främsta metoder är användningen av e-post SPAM-meddelanden som kan ta fördel av phishing social ingenjörskonst. De är en av de mest populära eftersom de har en mycket hög träffsäkerhet. Meddelanden är utformade för att tvinga mottagare till att tro att de har fått ett legitimt meddelande från en tjänst eller ett företag som de vet.
En liknande teknik är skapandet av falska webbplatser som används för att manipulera besökare till att tro att de använder ett legitimt att ladda ner portal eller leverantör webbplats. Alla nedladdade filer eller avrättas skript kommer att leda till TripleM Ransomware infektion. Vid sidan av de virus körbara filer sig infektioner kan orsakas av av nyttolast transportörer, två populära exempel är följande:
- Infekterade Dokument — hackare bakom TripleM Ransomware kan bädda in installations-skript i dokument av alla populära typer: rtf-dokument, kalkylblad, presentationer och databaser. När de öppnas av den som har utsatts visas ett meddelande som ber för offren att aktivera makron. Om detta är gjort TripleM virus kommer att levereras till måldatorn.
- Ansökan Installatörer — Den andra populära nyttolast är införandet av virus installations-skript i setup-filer för populära program: system utilities, kreativitet sviter och även spel. När de väl är igång viruset kommer att tas i bruk.
Dessa nyttolast bärare kan också spridas på fildelningsnätverk som BitTorrent. De är populära ställen för att sprida både legitimt och pirate-filer.
En annan metod är att använda webbläsare kapare som representerar hacker-tillägg gjorts för de mest populära webbläsare. De är oftast laddas upp till sina relevanta webb-arkiv med falska webbutvecklare och användarrecensioner. När de installeras av offren TripleM ransommware kommer att användas.
Den fångade TripleM Ransomware verkar till att omfatta endast de ransomware motorn utan att ha några andra komponenter. Detta leder oss att tro att detta är test utsläpp eller tidiga versioner av viruset. Som sådana räknar vi med att framtida versioner kommer att innehålla andra moduler.
Typiska ransomware kommer att börja med att samla in känslig information från den infekterade datorn. Den skördade informationen är vanligtvis tillgänglig för hacker operatörer som det används för att skapa ett eget ID för varje infekterade maskinen. Det beräknas via en algoritm som tar sina värden från en lista över installerade komponenter hårdvara, regionala och användarinställningar och andra miljövärden.
Denna information används sedan för att skanna systemet för eventuella säkerhetsprogram som kan blockera virus infiltration. Detta görs genom att skanna minne och installerade program för ant-virus motorer, brandväggar och sandbox-miljöer.
Om denna säkerhet bypass är påtvingat TripleM Ransomware kommer att ha total kontroll över den infekterade maskinen. Detta gör det möjligt att komma åt Windows Registret för att ändra de sparade värdena. Om några ändringar har gjorts för att operativsystemet då systemets stabilitet kan påverkas. Vissa funktioner och tjänster kan bli att svara. När ändringar görs på ett enskilt program de kan bli icke-responsiva.
En annan åtgärd är installation av malware som en ihållande infektion — TripleM Ransomware kommer att vara igång varje gång datorn slås på. Detta verkställer även förändringar till boot alternativ, konfigurationsfiler och andra systemresurser. Detta kan göra att många bruksanvisning removal guide icke-arbetande. En ytterligare åtgärd skulle vara borttagning av data system, till exempel Skugga Volym Kopierar. Detta kräver användning av en speciell professionell programvara för att kunna uppnå en fullständig systemåterställning.
Dessa infektioner kan användas för att leda till leverans av andra typer av last så som följande:
- Trojansk Häst Infektion — De kommer att installera en lokal klient för anslutning till en hacker-kontrollerad server vilket ger skadliga aktörer som har kontroll över den infekterade datorn, stjäla användarnas uppgifter och spionera på offren.
- Webbläsare Kapare — Dessa webbläsartillägg som görs kompatibel med de mest populära webbläsarna. När du har installerat de kommer att ändra sina inställningar för att omdirigera offer till hacker-kontrollerade sidor.
- Gruvarbetare — Dessa program och skript upprätta en anslutning till en hacker-kontrollerad server kallas för ”pool”. Det kommer att skicka hårdvara-intensiva uppgifter till offrets system. När de kör det här kommer att påverka systemets prestanda — CPU, GPU, minne och utrymme på hårddisken. När en uppgift har slutförts kör digital valuta kommer att delas ut till hacker aktörer.
Det alternativa namnet av detta virus är ”MMM Reborn Ransomware”.
När alla före komponenter har kört klart den faktiska ransomware modul kommer att vara igång. Baserat på traditionell beteende mönster TripleM Ransomware kommer också att använda en inbyggd lista över mål filtypstillägg. En typisk man kommer att rikta följande användardata:
- Databaser
- Arkiv
- Säkerhetskopior
- Bilder
- Musik
- Videoklipp
Alla de bearbetade filerna kommer att få en förlängning i krypterad HEX format som en del av filnamnet. De kommer att bli omöjligt att öppna och komma åt. Den medföljande ransomware notera är skapade i en fil som heter IF_YOU_NEED_FILES_READ_ME.html som lyder följande meddelande:
Om din dator blev infekterad med Jemd ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i TripleM Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Dr.Web | Adware.Searcher.2467 | |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
TripleM Ransomware beteende
- TripleM Ransomware ansluter till internet utan din tillåtelse
- TripleM Ransomware inaktiveras installerade säkerhetsprogram.
- Saktar internet-anslutning
- Omdirigera webbläsaren till infekterade sidor.
- Gemensam TripleM Ransomware beteende och några andra emplaining som Textinfo relaterade till beteende
- Ändrar användarens hemsida
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- TripleM Ransomware visar kommersiella annonser
- Stjäl eller använder dina konfidentiella Data
- Installerar sig själv utan behörighet
- Ändrar skrivbordet och webbläsarinställningar.
- Integreras i webbläsaren via webbläsartillägget TripleM Ransomware
TripleM Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
TripleM Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).