Den VegaLocker Ransomware har identifierats som ett nytt hot i en pågående attack i kampanj. Det innehåller element från flera olika hot som innebär att hacker-kollektivet bakom att det har skapats en ”sammansmältning” av olika virus som leder till att VegaLocker. Detta tillvägagångssätt gör det möjligt att spridas med hjälp av en rad olika metoder.
I dagsläget är huvuddelen av infektioner sker via sårbarhet utnyttjande tillåter viruset att komma åt målet datorer och använda remote desktop programvara för att logga in till dem. Sådana attacker är i första hand görs på ett automatiserat sätt som innebär att hundratals och potentiellt tusentals datorer kan vara inriktade på en gång.
Andra leverans taktik kan inkludera populära hacker strategier för att skicka ut ansluten eller länkade filer som innehåller VegaLocker Ransomware i e-phishing-meddelanden. De skickas till mål genom att posera som legitima meddelanden som skickas av välkända tjänster och företag. Filerna kommer att annonseras som viktiga uppdateringar eller installatörer som användarna behöver för att köra.
En liknande mekanism är skapandet av falska webbplatser som skapas med hjälp av en liknande mekanism. De är gjorda för att kopiera design, namn, innehåll och andra delar av kända Internet-sidor och försök att förvirra besökarna till att tro att de har tittat på en legitim och säker domän. Liknande klingande namn och till och med säkerhetscertifikat kan användas för att få dem att verka som den verkliga sidor. Via postat innehåll, länkar och multimedia element VegaLocker Ransomware infektion kan erhållas.
Virus infektioner som detta kan också orsakas av att interagera med skadliga koden flygbolag, det finns två populära varianter:
- Infekterade Ansökan Installatörer — brottslingar kan bädda in installations-skript i setup-filer för populära program som är ofta hämtade från slutanvändare. De är gjorde av med de ursprungliga filerna från leverantörer och att lägga till i virus installation koden.
- Infekterade Dokument — Den andra mekanismen är att skapa skadliga handlingar som kan vara av någon av de populära typer: presentationer, databaser, kalkylblad och textfiler. Viruset installation koden är en del av de makron som är instoppade i dem. När dokument öppnas av offret användare visas ett meddelande som ber dem att göra det möjligt för dem som kommer att leda till infektion.
En annan stor skala strategi för att leverera VegaLocker Ransomware är att göra dem en del av pipett som finns inprogrammerat i webbläsare kapare. De är farliga plugins som finns tillgängliga på respektive arkiv. Den straffrättsliga controllers kommer att använda ofta falska recensioner användare och utvecklare referenser tillsammans med spännande beskrivningar lovande användare prestanda optimeringar och nya funktioner dessutom.
Koden analys visar att VegaLocker Ransomware är programmerad i Delphi programmeringsspråk och att det innehåller kod från Scarab ransomware familj. Den innehåller källkoden från andra familjer också: Amnesia, Gloverabe2 och etc. Allt detta leder till två primära orsaker:
- Eget Skapande — Det föreslås att samma kollektiv som är bakom attackerna är ansvarig för dess tillkomst. De har tagit källkoden av alla dessa skadliga familjer och skapat en egen kod av sig själva.
- Anpassad Ordning — den Här avhandlingen föreslår att VegaLocker Ransomware är resultatet av en anpassad ordning på den mörka underjordiska marknader. När det väl är klart hackare kan använda den för att infektera mål av sina egna val.
Det är intressant att notera att det finns en signatur från en mängd olika produkter, tjänster och företag. Detta gör den mycket bekväm att använda med infekterade applikationer. Det faktum att dessa namnteckningar kan också kringgå säkerheten programvara i vissa fall. Detta är möjligt tillsammans med en särskild modul som körs för denna operation. Dessa inkluderar anti-virus program, virtual machine värdar, brandväggar, felsöka miljöer och etc.
En lista som utvinns från en av tagna prover visar följande signaturer enligt vilket det kan spridas:
Efter VegaLocker Ransomware har levererats kommer det börja en serie skript som kommer att inaktivera åtkomst till bagageutrymmet alternativ för återställning. Detta gör bruksanvisning återhämtning guider fungerar inte längre som de flesta av dem är beroende av dem.
Radering av Data kommer också att ta plats som motorn kommer att skanna och ta bort spår av System Restore Points, Säkerhetskopior och Skugga Volym Kopior. När de har genomfört kör-användare kommer att använda en kombination av en anti-spyware-lösning och data recovery-programmet i syfte att effektivt återställa deras system.
Vad är farligare är att det hotet har varit särskilt programmerade för att undgå virtuella maskinen är värd. Det kommer att skanna minne och ligger alla strängar som är relaterade till hypervisors eller tillägg (såsom drivrutiner och programvara) som kan visa att mottagande är faktiskt en del av en virtuell maskin installation. När sådana har upptäckts virus kommer att stanna av eller kan ta bort sig själv för att undvika upptäckt.
Vid denna punkt VegaLocker Ransomware har fått möjligheten att ändra alla delar av de drabbade operativsystem. Detta kommer att göra det möjligt att starta ännu fler processer, av vilka den ena är den data skörd . Det är programmerad för att extrahera data som kan delas in i två huvudsakliga grupper:
- Personliga Information — De hämtade information kan användas för att direkt avslöja identiteten på offren genom att förvärva strängar som namn, adress, telefonnummer, intressen och eventuella sparade lösenord.
- Datorn Information — motorn kan skörda data om datorer som är användbart för att skapa en tydlig ID för varje berörd värd. Det är oftast genereras via en algoritm som tar indata från användaren preferenser, delar lista över installerade komponenter hårdvara och vissa operativsystem miljö värden.
Nästa steg är att få förändringar till Windows Registret. Detta innebär att inte bara virus kommer in värden som hänför sig till sig själv, men också ändra befintliga. Detta kan leda till allvarliga problem med prestanda och oförmåga att starta vissa program eller tjänster. De program som berörs kan avsluta med ett oväntat fel eller beter sig på ett felaktigt sätt.
Den ransomware har funnit att kunna ändra Skrivbordet.rdp-konfigurationsfil som används för att konfigurera remote desktop sessioner. Detta är speciellt användbart när de används aktivt av hackare. Brottslingar behöver bara att lägga i sin egen kontoinformation som skulle ge dem obegränsad tillgång när Internet-anslutning är tillgänglig.
Man har också funnit att mäta datorns prestanda som kan vara relaterade till förmågan att leverera ytterligare nyttolast. Två av de vanligaste är följande:
- Trojanska Häst Infektioner — de är en av De farligaste följderna av ransomware infektioner. De kommer att upprätta en säker anslutning till en hacker-kontrollerad server. Genom det hackare kan köra om kontroll av maskiner, hämta data innan de är krypterade och spionera på offren i real-tid.
- Cryptocurrency Gruvarbetare — De kommer att dra nytta av den tillgängliga systemresurser genom att beräkna komplexa matematiska uppgifter genom att hämta uppgifter från en speciell server som heter ”pool”. Skadliga skript kommer att titta på utförandet av de uppgifter och tilldelning digital valuta när en av dem är avslutad. De medel som kommer att vara direkt kopplad till deras digitala plånböcker.
Det är mycket möjligt att framtida versioner kan använda alla av dessa instrument för att utföra komplexa agenda. En av de mest populära scenarier är att bygga en botnet-nät — det är som används för att rekrytera den infekterade datorer till ett världsomspännande nätverk av ”slavar”. De kan programmeras att starta en snabb följd av nätverk begär att en viss mängd och därmed föra ner det. Stora nätverk kan vara mycket effektivt mot stora företag eller till och med statliga myndigheter.
Den VegaLocker Ransomware kommer att lansera den relevanta kryptering verksamhet när alla moduler har slutförts. Precis som andra liknande hot som den kommer att använda en inbyggd lista över mål filtypstillägg som följande:
- Säkerhetskopior
- Arkiv
- Databaser
- Bilder
- Musik
- Videoklipp
Den ransomware kommentar kommer att vara utformad i en fil som heter Dina filer är nu encrypted.txt som innehåller ett meddelande skrivet på ryska:
Om din dator blev infekterad med VegaLocker ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i VegaLocker Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
VegaLocker Ransomware beteende
- VegaLocker Ransomware ansluter till internet utan din tillåtelse
- Ändrar skrivbordet och webbläsarinställningar.
- Saktar internet-anslutning
- Ändrar användarens hemsida
- Gemensam VegaLocker Ransomware beteende och några andra emplaining som Textinfo relaterade till beteende
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Omdirigera webbläsaren till infekterade sidor.
- VegaLocker Ransomware inaktiveras installerade säkerhetsprogram.
- Installerar sig själv utan behörighet
- Integreras i webbläsaren via webbläsartillägget VegaLocker Ransomware
VegaLocker Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
VegaLocker Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).