Ransom32

Ransom32

Im Jahr 2016 erlebten wir das Aufkommen einer neuen Ransomware namens Ransom32 und die Entfernung ist wichtig für die Sicherheit Ihres Betriebssystems. Die neue Infektion operiert auf einer völlig neuen Stufe, dass sie in JavaScript geschrieben wird. Außerdem wird sie über einen verborgenen Tor-Server verbreitet und kann von jedem erworben werden, der einen Link dazu hat. Ransomware als Service (RaaS) ist eine neue Art Ransomware, die jedem ermöglicht, ein Cybercrack zu werden. Diese Ransomware ist also ziemlich innovativ, aber nicht innovativ genug, um unbesiegbar zu sein. Es gibt zwei Möglichkeiten, sie loszuwerden. Sie können Sie manuell mithilfe unserer Anweisungen entfernen, oder Sie können unser empfohlenes Antimalware-Programm namens SpyHunter herunterladen, der dies für sie erledigt. Wenn Ihre persönlichen Dateien von dieser Ransomware verschlüsselt wurden, dann können Sie sie nur mit einem Schlüssel entschlüsseln, den Sie erhalten, nachdem sie eine Gebühr zahlen.

Da Ransom32 eine Infektion der Art "Ransomware as a Service" (Ransomware als Service) ist, gibt es keine Möglichkeit, zu bestimmen, wie genau sie verbreitet wird, da jeder ihrer Nutzer eine andere Methode bevorzugt. Einige Benutzer können Sie über bösartige Torrent-Downloads verbreiten, während andere E-Mail-Spam verwenden könnten. Letztendlich geht es bei der Distribution Methode Vorstellung und Möglichkeiten des Cybercracks.

Beginnen wir ganz von vorne. "Software as a Service" (SaaS) ist ein Software-Lizenzierung-Bereitstellungs-Modell. Meistens greifen Benutzer auf SaaS über einen Webbrowser zu. Dies ist zur gewöhnlich verwendeten Software-Bereitstellungsmethode für viele Anwendungen geworden. Deshalb ist es keine Überraschung, dass Malware-Entwickler begonnen haben, ebenfalls dieses Modell zu verwenden. 2015 sein wie eine wachsende Anzahl an Ransomware als Service-Infektionen. Ransom32 verwendet ein ähnliches Modell wie vorher bei der Tox Ransomware und einigen anderen beobachtet wurde. Die Anmeldungen zum Erhalt des Client diese Ransomware erfolgen über einen Tor-Server. Alle Möchtegern-Cyberkriminellen müssen einen Link auf diese Anmeldeseite haben, und eine Bitcoin-Adresse, die verwendet wird, ist genug, um sich anzumelden.

Nach der Anmeldung wird dem Cybercrack ein einfaches Einstellungsmenü dargestellt, welches ihm ermöglicht, die Ransomware gemäß seiner Präferenzen anzupassen. Dieses Panel stellt auch Informationen dar, wie viele Systeme infiziert wurden und wie viele Menschen die Gebühr bezahlten. Doch ein Cyberkriminelle kann dieses Panel verwenden, um die Anzahl der Bitcoins festzulegen, die er für den Austausch mit dem Entschlüsselungscode möchte. Beachten Sie, dass die Entwickler von Ransom32 25 % jeder Zahlung bekommen. Nichtsdestotrotz können die Cyberkriminellen bestimmte Funktionen aktivieren, die dieser Ransomware erlauben, den infizierten Computer vollständig zu sperren, die CPU-Geschwindigkeit zu reduzieren und einen Sperrbildschirm darzustellen, bevor die Dateien verschlüsselt werden.

Sobald der Client angepasst wurde, kann der Cyberkriminelle in herunterladen, indem er auf Download client.scr klickt. Der Client ist 22 MB (die extrahierte Datei ist 67 MB), was ungewöhnlich ist, da Ransomware gewöhnlich weniger als 1 MB hat. Die heruntergeladene Client-Datei ist ein selbst extrahierendes WinRaR-Archiv. Deshalb verwendet Ransom32 Skriptsprache, die in WinRaR verwendet wird, um die Archivinhalte automatisch in einen temporären Dateien-Ordner zu entpacken und die Datei chrome.exe automatisch auszufüllen. Es wird Google Chrome nicht ausführen, sondern eine getarnte Datei, die sich im Archiv befindet. Das Archiv beinhaltet im Allgemeinen 11 Dateien. Wir sehen uns diese Dateien schnell einmal an.

Eine Datei namens Chrome beinhaltet eine Kopie der GPL-Lizenzvereinbarung. Eine weitere Datei namens Chrome.exe beinhaltet einen bösartigen Code, der diese Ransomware ausführt. Außerdem ist diese Datei eine gepackte NW.js Anwendung, die in JavaScript geschrieben wird. Der NW.js Rahmen überwindet die Grenzen von JavaScipt und ermöglicht ihm, für Desktop-Anwendungen angewendet zu werden, während sie er vorher ausschließlich für Webbrowser verwendet wurde. Deshalb kann JavaScript freier mit dem Betriebssystem interagieren. Außerdem beinhaltet das Archiv Dateien namens ffmpegsumo.dll, nw.pak, icudtl.dat und lokale Dateien, die die notwendigen Daten für die Funktion von NW.js beinhalten. rundll32.exe ist eine umbenannte Datei, die für die Verbindung zum Tor-Server verwendet wird. Das Archiv beinhaltet auch andere Dateien mit dem Titel s.exe (wird verwendet, um Verknüpfungen zu erstellen), g (beinhaltet Konfigurationsdaten), msgbox.vbs (stellt Pop-up-Meldungen dar), u vbs (Skriptdatei, die Dateien eines bestimmten Verzeichnisses aufzählt und löscht).

Sobald diese Ransomware ausgeführt wird, entpackt sie alle Dateien des temporären Datei-Ordners und kopiert sich dann selbst auf %AppData%\Chrome Browser. Die s.exe Datei ist verantwortlich für die Erstellung einer Datei namens ChromeService.Ink, die verwendet wird, um diese Ransomware auszuführen, sobald Ihr System gestartet wird. Ransom32 verbindet sich auch mit dem Steuer- und Befehlscenter mithilfe des Tor-Client. Dieser Server wird verwendet, um die Ransomware-Transaktionen zu verwalten und den Entschlüsselungscode zu senden.

Diese Ransomware kann alle Dateiarten verschlüsseln, einschließlich: jpg, .jpeg, .raw, .tif, .gif, .png, .ps, .svg, .swf, .fla, .as3, .as, .txt, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, usw. Diese Infektion kann Hunderte Dateien verschlüsseln. Ransom32 verwendet den Advanced Encryption Standard (AES) mit einem 128 Bit-Schlüssel. Außerdem wird für jede Datei ein neuer Schlüssel generiert und der Schlüssel wird mithilfe des berüchtigten RSA-Algorithmus verschlüsselt, den man unmöglich ohne den Entschlüsselungscode entschlüsseln kann.

Wir empfehlen nicht, die Gebühr zu bezahlen, denn es gibt keine Garantie, dass Sie den Entschlüsselungscode erhalten werden, den Sie zur Wiederherstellung Ihrer Dateien benötigen. Außerdem werden Sie durch die Zahlung der Gebühr die Entwicklung neuer Ransomware finanzieren, die noch schwieriger zu löschen sein wird. Wie bereits erwähnt können Sie diese Infektion mithilfe unserer empfohlenen Software oder manuell löschen. Beide Methoden sind effektiv. Die manuelle Entfernung kann allerdings nicht immer erfolgreich sein, insbesondere, in diese Ransomware in Zukunft ein Update erhält.

Entfernungsanleitung Ransom32

Beenden Sie den Ransomware-Prozess

  1. Machen Sie einen Rechtsklick auf die Task-Leiste.
  2. Klicken Sie auf Task-Manager starten.
  3. Wählen Sie die Registerkarte Prozesse.
  4. Suchen Sie den Prozess namens chrome.exe.
  5. Machen Sie einen Rechtsklick darauf und wählen Sie Prozess beenden.

Löschen Sie die Ransomware-Dateien

  1. Drücken Sie Windows Key+R.
  2. Geben Sie %AppData% in das Dialogfeld ein und klicken Sie auf OK.
  3. Suchen Sie das Verzeichnis Chrome Browser.
  4. Machen Sie einen Rechtsklick darauf und klicken Sie auf Löschen.
  5. Drücken Sie dann erneut Windows Key+R.
  6. Geben Sie AppData%\Microsoft\Windows\Start Menu\Programme\Startup in das Dialogfeld ein und klicken Sie auf OK.
  7. Suchen Sie ChromeService.Ink.
  8. Machen Sie einen Rechtsklick darauf und klicken Sie auf Löschen.
  9. Lehren Sie den Papierkorb.

Antwort schreiben