New type of Ransomware using user32.dll Guida per la rimozione

Dipartimento di giustizia virus è un programma genuino ransomware che infetta il computer surrettiziamente e blocca gli utenti fuori i loro sistemi. Abbiamo visto un sacco di infezioni simili prima, come FBI Moneypak Virus, Metropolitan Police Virus e così via. Tuttavia, la nuova variante del dipartimento di giustizia Virus che apparve nel gennaio 2014 Visualizza nuovi sintomi di infezione. È difficile dire se sia più pericoloso quello precedente applicazione ransomware, , ma diventa sicuramente difficile rimuovere il dipartimento di giustizia Virus dal computer infetto. Questo articolo fornisce una concisa relazione sulle specifiche di una nuova versione di questa infezione ransomware, e cosa si può fare per sbarazzarsi di esso.

Ransomware programmi sono noti per l'inserimento di sistemi di destinazione tramite le infezioni Trojan. Urausy, Reveton Trojans sono noti per la distribuzione dei vari tipi di infezioni ransomware. Di solito, ogni volta che un'applicazione ransomware entra in un computer, di solito cade un file eseguibile sul sistema e una volta che il file viene eseguito, ransomware viene installato su un sistema. Tuttavia, con la nuova versione del dipartimento di giustizia Virus a bordo, incontriamo un altro modo di infezione. Questo nuovo tipo di ransomware infetta il file DLL di sistema di Windows – user32. dll. Questa infezione rende la risorsa sezione file più grande e dà automaticamente via il fatto che il file contiene un payload crittografato.

Solitamente i file di sistema user32. dll si trova in C:\Windows\System32\user32.dll o C:\Windows\SysWOW64\user32.dll. Sulla base di osservazioni di esperti di sicurezza finora, la nuova versione del dipartimento di giustizia virus sembra essere infettando la versione a 32 bit del file. Quando il ransomware infetta user32. dll, alloca un blocco nuovo eseguibile di memoria virtuale per il payload crittografato. Il payload dispone anche di un codice di decrittazione, e quando viene decrittografato intero payload crittografati in nuovi blocchi di memoria virtuale, l'infezione esegue il normale codice dannoso. Di conseguenza, il dipartimento di giustizia Virus assesta sul sistema ed esibisce i primi sintomi di infezione.

I sintomi principali dell'infezione includono il comportamento ransomware più comune. Per esempio, dipartimento di giustizia Virus bloccherà Windows Task Manager, Editor del registro di sistema e Prompt dei comandi in modalità normale. Cosa c'è di più, si vedrà anche il comune ransomware notifica sullo schermo, dicendo che il computer è bloccato a causa di attività criminali: "il lavoro del computer è stata sospesa per la violazione della legge degli Stati Uniti d'America". Inutile dire che questa notifica incarna l'infezione s sforzi di truffa si fuori i soldi.

È di una sorpresa che la nuova versione del dipartimento di giustizia Virus sta ancora cercando di rubare i vostri soldi. Eppure, proprio come esibisce un nuovo modo di infezione, ha anche un nuovo sintomo di infezione che è piuttosto inquietante. La nuova applicazione ransomware può disabilitare l'unità CD-ROM. Per alcuni può sembrare un sintomo casuale, ma la verità è che alcune tecniche di rimozione ransomware coinvolgono utilizzando il CD di installazione di Windows. Così, se è bloccato il CD-ROM, è non possibile recuperare non più CD per Windows sistema operativo. Che cosa è più, CD-ROM rimane bloccato anche in tutti i modi di sicuro.

Con questo nuovo tipo di infezione gli utenti devono essere estremamente attenti a navigazione siti Web sconosciuti. Astenersi da cliccando i link a siti sconosciuti e non aprire gli allegati ricevuti da mittenti che non conosci. È meglio prevenire un'infezione che per combattere uno e per evitare potenziali minacce che si dovrebbe anche investire in strumento di protezione del computer con licenza che vi aiutano a proteggere il sistema da infezioni varie. Sistema regolari scansioni di sicurezza sono un must!

Forniamo anche due set di istruzioni di rimozione manuale nell'articolo. Tuttavia, tieni presente che se non sei un utente avanzato di computer, si dovrebbe pensare due volte prima di eseguire le seguenti azioni. Non dimenticate che se si commette un errore o qualcosa va male, che si potrebbe letteralmente uccidere il sistema operativo. In altre parole, seguire le istruzioni a vostro rischio.

ISTRUZIONI PER IMPOSTARE 1

1. Riavviare il computer e quando BIOS schizzare carica premere F8 chiave più volte.
2. Selezionare modalità provvisoria con Networking dal menu opzioni di avvio avanzate. Premere invio .
3. Aprire il menu Start e immettere cmd nella casella di ricerca. Premere invio .
4. Basta inserire il Prompt comando sfc /scannow. e premere invio .
5. Riavviare sistema di carico e il computer in modalità normale .

SET DI ISTRUZIONI 2

1. Riavviare PC e toccare F8 ripetutamente quando BIOS schermo carichi.
2. Utilizzare i tasti freccia per navigare e selezionare modalità provvisoria con Networking . Premere invio .
3. Aprire del menu di avvio e digitare cmd nella casella di ricerca.
4. Quando cmd appare nei risultati di ricerca, , fare clic su di esso e selezionare Esegui come amministratore .
5. ENTER takeown /f C:\Windows\System32\user32.dll in comando prompt dei comandi e premere invio .
6. Inserire un altro comando: cacls C:\Windows\System32\user32.dll /G < nomeutente >: F . Premere invio .
7. Chiudere il prompt dei comandi e passare alla directory di C:\Windows\Winsxs .
8. Eseguire una ricerca file User32 dll. Copiare del file.
9. Vai a C:\Windows\System32[603 ] directory e incolla User32 per sostituire il file infetto.
10. Andare nella directory C:\Windows\SysWOW64 e incolla User32 lì troppo.
11. Riavviare il computer in modalità normale.

Prendere nota che l'infezione non influisce sul file system nella directory C:\Windows\SysWOW64 spesso, ma lo fa a volte, quindi è necessario prendere in considerazione tutte le possibilità. Inoltre, < nomeutente > nelle istruzioni è il nome utente del computer (solitamente appare nella parte superiore del menu Start), e devi digitarlo senza simboli di <> (non come nelle istruzioni). Per ulteriori domande, potete sempre contattarci lasciando un commento nella casella qui sotto questo articolo.