The biggest feature of this kind of Ransomware is generating malicious file on certain path and rebooting victim's computer on infected.
Previous malicious files focused on leaking information and destroying internal files, however, Ransomware induces user to pay.
2. Spreading path and symptoms of infection
Currently found malicious file can be downloaded from certain web site, even if the domain address are not same.
* Ransomware malicious file spreading domain information
- http://xxxxxx.info/player/pornoplayer.exe
- http://xxxxx.info/player/pornoplayer.exe
- http://xxxxx.info/player/pornoplayer.exe
- http://xxxxxx.info/player/pornoplayer.exe
- http://xxxxxx.info/player/pornoplayer.exe
- http://xxxxx.info/player/pornoplayer.exe
- http://xxxxx.info/player/pornoplayer.exe
- http://xxxxxx.info/player/pornoplayer.exe
Downloaded file name is pornoplayer.exe.
Furthermore, on executing this malicious file, system will be rebooted and desktop will be locked.
As a result, it will make that accessing desktop is impossible.
It will show "Warning" message and induce user certain amount of money. After payment, victim will be received release code then victim can unlock his desktop.
* Flow of general "File-typed Ransomware"
[Generated file]
C:\Documents and Settings\(User account)\2639420692\2639420692.EXE
C:\Documents and Settings\(User account)\2639420692\2639420692.EXE
Besides, registering registry value will infect victim's PC on every booting.
[Register registry value for working on booting]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- Value name : "ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920"
- Value data : "C:\Documents and Settings\(User account)\2639420692\2639420692.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- Value name : "ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920"
- Value data : "C:\Documents and Settings\(User account)\2639420692\2639420692.EXE"
3. How to prevent
To use PC safely from ransomware, we recommend following "Security management tips" for general users.
Security management tips
1. Maintain the latest security update on OS and applications
2. Use anti-virus SW from believable security company and keep updating the latest engine and using real time detecting function “ON”
3. Do not see and download attached file from suspicious e-mail.
4. Keep caution to link from instant messenger and SNS.
5. Execute downloaded file after scan with anti-virus SW.
1. Maintain the latest security update on OS and applications
2. Use anti-virus SW from believable security company and keep updating the latest engine and using real time detecting function “ON”
3. Do not see and download attached file from suspicious e-mail.
4. Keep caution to link from instant messenger and SNS.
5. Execute downloaded file after scan with anti-virus SW.
INCA Internet (Security Response Center / Emergency Response Team) provides diagnosis/treatment function with “nProtect Anti-Virus/Spyware” for detecting such as malicious file stated above and runs responding system against various security threats.
Diagnosis name
- Trojan/W32.PornoPlayer.47616
* How to remove manually
1. Enter safe mode on booting
2. Move to C:\Documents and Settings\(User account)\2639420692\.
3. Remove that folder or 2639420692.EXE.
4. Windows "Run -> regedit".
5. Remove following registry value.
HKEY_CURRENT_USER
ㄴ Software\Microsoft
ㄴWindows
ㄴCurrentVersion
ㄴRun
ㄴ ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920
6. Reboot.
1. Enter safe mode on booting
2. Move to C:\Documents and Settings\(User account)\2639420692\.
3. Remove that folder or 2639420692.EXE.
4. Windows "Run -> regedit".
5. Remove following registry value.
HKEY_CURRENT_USER
ㄴ Software\Microsoft
ㄴWindows
ㄴCurrentVersion
ㄴRun
ㄴ ZDF2639420692AWrt2639420692AdsWrt2639420692aAdsWrtenZDF2639420692_26394206920
6. Reboot.
company
tại sinh mệnh đã bị uy hiếp thời gian, phần lớn vô ý thức sử xuất tự mình tuyệt chiêu, đến tiến hành vô ý thức phòng vệ, không có khả năng tại đây dạng đích dưới tình huống, còn có thể đủ bảo trì không cần chuyện, phỏng chừng không ai có thể đủ tin tưởng.
ReplyDeleteNày điểm thứ hai, cũng là ta lúc này đây thỉnh mọi người đến trọng điểm, tất cả mọi người biết, đấu khí cũng không phải duy nhất tu luyện phương pháp, tại Viễn Cổ Đại Lục thượng, có một chút địa phương tu luyện sẽ không ldongtam
game mu
http://nhatroso.net/
http://nhatroso.com/
nhạc sàn
tư vấn luật
dịch vụ thành lập công ty trọn gói
công ty luật
tổng đài tư vấn pháp luật
thành lập công ty
http://we-cooking.com/
chém gió
trung tâm ngoại ngữà đấu khí, mà là cái khác địa phương, tựu tỷ như nói, linh hồn chi nói, tu luyện cường đại linh hồn lực đến dùng cho đối địch cùng với cái khác tác dụng. Còn có Thượng Cổ truyền lưu tiều thải chi nói, cậy mạnh chi đạo chờ một chút, sở dĩ...
Kia cô họ lão giả chuyện cũng không nói gì hoàn, thế nhưng hắn tin tưởng, tất cả mọi người là biết hắn kế tiếp muốn nói chuyện ý tứ. Lập tức, cũng là nổ tung oa, lẽ nào đêm qua đánh lén Lâm Gia điều không phải những người khác, mà là kia dị tộc?
"Kia dị tộc điều không phải đã sớm biến mất nhiều năm sao? Có thể hay không là chủ tu linh hồn
In my opinion, all students should pay attention on this useful info. It will be useful to learn more about getting better grades in all cases.
ReplyDeleteThank you so much for this post , it was very informative ! In my opinion security management tips and prevention should be known by every user .
ReplyDelete