Rapporterna om WeChat Pay Ransomware visa att den distribueras främst via supply-chain attack. Per definition detta är en attack intrång som fokuserar på mindre säkra element i en viss företagets infrastruktur. Ytterligare information om den exakta sträckningen av infektion är inte känt i detta skede.
Vad vi vet så här långt är att det är utformat som en särskild attack mot Kinesiska mål. Det är mycket möjligt att smittväg är installationen av borttagning programvara. En sådan taktik att ta seriösa installatörer av populära program som installeras ofta i slutet användare: system utilities, kreativitet sviter och nyttoprogram eller ens spel. När de är utförda av motor WeChat Pay Ransomware kommer att vara igång.
Distribuerade ransomware flygbolag har också funnit att genomföra stulna digitala certifikat från Tencent Teknik. Detta förklarar den massiva antalet drabbade användare som rapporterades i början av attacken kampanj.
Den information som är känd om hacker eller kriminell grupp bakom WeChat Pay Ransomware attacker är ett smeknamn ”Luo”. På detta sätt kunde forskarna följa deras QQ kundnummer, telefonnummer, e-Id och deras Alipay ID. Den WeChat service har avbrutit identifierade konto som ska stoppa attackerna kommer in med denna konfiguration.
Så snart WeChat Pay Ransomware är igång kommer det att börja sin inbyggda sekvens av kommandon som per den aktuella konfigurationen. Analysen av de insamlade proverna visar att en av de första komponenterna som kör är stöld av lösenord. Den kan skanna den lokala hårddisken, installerade program och operativsystem miljö för följande tjänster: Alipay, NetEase 163 e-tjänsten, Baidu Moln Disk, Jingdong (JD.com), Taobao, Tmall , AliWangWang, och QQ.
All insamlad information som är stulet kommer att rapporteras till brottslingar via en server-anslutning. Den lokala ransomware kommer att upprätta en länk med hackare att meddela dem om de kapade data. Andra konsekvenser av denna åtgärd ingår även följande:
- Stöld av Data — service-anslutning kan användas för att kapa användarens data innan de har krypterats.
- System Data Förändringar — Via denna Trojan anslutning brottslingar kan manipulera systemet genom att öppna och redigera Windows registerinställningar som tillhör både operativsystemet och den tredje part installerade program. Detta kan leda till oförmåga att starta vissa uppgifter eller viss verksamhet, samt orsaka allvarliga problem med prestanda.
- Ytterligare Malware Infektioner — Om uppdrag så WeChat Pay Ransomware infektion kan leda till leverans av andra skadliga program.
Dessutom ransomware motor har visat sig generera en rapport av den installerade hårdvaran komponenter och andra uppgifter som kan vara användbara för att analysera resultaten av den attack i kampanj. Insamlade data kan användas för att generera en maskin infektion-ID som är associerade med varje enskild äventyras värd.
Så snart som de tidigare delarna har utförts den faktiska ransomware kommer motorn att vara igång.
Den XOR chiffer har tagits fram för att användas mot användarnas data. Den fångade utsläpp har visat att lagra dekrypteringsnyckeln på följande plats:
En lockscreen exempel visas då för offren att meddela dem att de måste betala en ransomware avgift på 110 yuan för att få tillgång till deras data.
OBS: EN decryptor har släppts för tagna tidiga versioner. Du kan försöka file recovery genom att använda det.
Om din dator blev infekterad med WeChat Betala ransomware virus, och du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna ransomware så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort ransomware och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i WeChat Pay Ransomware.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
WeChat Pay Ransomware beteende
- WeChat Pay Ransomware visar kommersiella annonser
- Installerar sig själv utan behörighet
- Omdirigera webbläsaren till infekterade sidor.
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- WeChat Pay Ransomware ansluter till internet utan din tillåtelse
WeChat Pay Ransomware verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
WeChat Pay Ransomware geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).