Den primära metoden som används för att distribuera skadliga filer av XCry ransomware är rapporterade att ske via e-post som påstås innehålla skadliga e-postbilagor. Den ransomware kan skicka list för e-post, känd som malspam, och att de ofta låtsas att den inbäddade filer är:
- Fakturor.
- Kvitton.
- Biljetter.
- Bokning dokumentation.
- Bank-dokument.
Skurkarna som huvudsakligen förlitar sig på tanken att offret kommer att öppna dem samtidigt tro de bilagor som bär på viktiga filer. I verkligheten filer kan vara en JavaScript-filer, körbara filer och till och med skadliga Microsoft Word eller Adobe Reader-filer, som innehåller Makron som är inbäddade i dem.
Förutom via e-post, skurkarna som står bakom XCry ransomware kan också sprida smitta filer genom att direkt ladda upp dem på flera webbplatser, där filer kan låtsas vara sprickor eller fläckar av program. De flesta användare som söker efter torrent-filer kan också bli utsatta, som XCry ransomware kan dölja infektion filer i torrents.
När en infektion med den .XCry7684 file extension ransomware har börjat, det virus som kan utföra flera skadliga aktiviteter, som så småningom leder till fil kryptering.
Den första kedja av aktiviteter som XCry ransomware tar del är att släppa det nyttolast på den infekterade datorn. Den ransomware kan placera det viktigaste infektion filen på maskinen det har kompromiss. Provet har upptäckts av forskare har följande IOCs:
När filen är aktiverad, den import av följande funktioner i Windows KERNEL32.dll:
Så snart som det är gjort med denna ransomware kan också släppa och visa den primära lösen not fil. Det kallas HOW_TO_DECRYPT_FILES.html med följande innehåll:
Dessutom XCry ransomware kan också utföra andra aktiviteter på de datorer man har nedsatt, till exempel för att redigera Windows Registereditorn, mer specifikt lägga till poster värde för det är filer ska köras automatiskt på Windows starta i Loppet och RunOnce-sub-nycklar:
I tillägg till detta, XCry ransomware kan också skapa filer för att köra WMIC,exe med följande comands:
När XCry ransomware har infekterat en dator och tagit kontroll, ransomware inte slösa någon tid med kryptering förfarande. Viruset kan skickligt hoppa över alla filer, som ligger i Windows system kataloger, men andra än att alla de filer som du använder ofta grunden är enciphered. Dessa filer hamnar ofta att vara av följande typer:
- Handlingar.
- Videor.
- Bilder.
- Arkiven.
- Virtual Drive-filer.
När filerna är krypterade, de antar följande utseende:
Innan du börjar ta bort den .XCry7684 ransomware från datorn, rekommenderar vi att du gör en fräsch backup fo dina filer först, även om de är krypterade.
Om du vill prova och återställa filer, krypterade med denna ransomware, föreslår vi att du prova alternativa metoder fil återvinning har vi skrivit under. De har gjorts för att hjälpa dig att återställa så många krypterade filer med denna ransomware, men de har ingen garanti för att kunna återställa alla dina krypterade filer.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i XCry.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
XCry beteende
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Omdirigera webbläsaren till infekterade sidor.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- XCry ansluter till internet utan din tillåtelse
- XCry visar kommersiella annonser
- Saktar internet-anslutning
- Integreras i webbläsaren via webbläsartillägget XCry
- Ändrar användarens hemsida
- XCry inaktiveras installerade säkerhetsprogram.
XCry verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
XCry geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).