New type of Ransomware using user32.dll Manual de Remoção

Departamento de Justiça vírus é um programa de ransomware genuíno que infecta computadores sub-repticiamente e bloqueia os usuários de seus sistemas. Temos visto muitas infecções semelhantes antes, como FBI Moneypak Virus, Metropolitan Police Virus e assim por diante. No entanto, a nova variante do departamento de Justiça vírus que apareceu em janeiro de 2014 exibe novos sintomas de infecção. É difícil dizer se é mais perigoso que anterior pedido de ransomware, , mas certamente torna-se difícil de remover o departamento de Justiça vírus do computador infectado. Este artigo fornece um relatório conciso sobre as especificidades de uma nova versão desta infecção ransomware, e o que você pode fazer para se livrar dele.

Ransomware programas são notórios para entrar em sistemas de destino via Trojan infecções. Urausy, Reveton Trojans são conhecidos para a distribuição de vários tipos de infecções ransomware. Geralmente, sempre que um aplicativo ransomware entra em um computador, geralmente cai um arquivo executável no sistema e uma vez que o arquivo é executado, ransomware é instalado em um sistema. No entanto, com a nova versão do departamento de Justiça vírus a bordo, nos deparamos com outra forma de infecção. Este novo tipo de ransomware infecta o arquivo DLL de sistema do Windows – user32. dll. Esta infecção torna a seção de recursos do arquivo maior e automaticamente dá afastado o fato de que o arquivo contém uma carga criptografada.

Normalmente, User32. dll arquivo de sistema está localizado no C:\Windows\System32\user32.dll ou C:\Windows\SysWOW64\user32.dll. Baseado nas observações de peritos de segurança até agora, a nova versão do departamento de Justiça vírus parece estar infectando a versão de 32 bits do arquivo. Quando o ransomware infecta user32. dll, ele aloca um novo executável bloco de memória virtual para a carga criptografada. A carga também tem um código de descriptografia, e quando a carga toda criptografada em novos blocos de memória virtual é descriptografada, a infecção executa o código malicioso simples. Como resultado, o departamento de Justiça vírus instala-se no seu sistema e apresenta os primeiros sintomas de infecção.

Os principais sintomas da infecção incluem o comportamento mais comum de ransomware. Por exemplo, o departamento de Justiça vírus irá bloquear Gerenciador de tarefas do Windows, o Editor do registro e o Prompt de comando no modo Normal. O que é mais, você também verá a notificação ransomware comum na sua tela, dizendo que seu computador está bloqueado devido a atividade criminosa: "o trabalho do seu computador foi suspensa em razão da violação do direito dos Estados Unidos da América." Escusado será dizer, que essa notificação encarna a infecção é esforços para swindle você sem seu dinheiro.

É de estranhar que a nova versão do departamento de Justiça vírus ainda está tentando roubar o seu dinheiro. No entanto, como exibe uma nova forma de infecção, também tem um novo sintoma de infecção que é um pouco perturbador. O novo aplicativo ransomware pode desabilitar drives CD-ROM. Para alguns pode parecer como um sintoma aleatório, mas a verdade é que algumas técnicas de remoção de ransomware envolvem o uso de CD de instalação do Windows. Assim, se seu CD-ROM estiver bloqueada, você já não pode recuperar sistema operacional CD para Windows. Além disso, CD-ROM permanece bloqueado mesmo em todos os modos de segurança.

Com este novo tipo de infecção, os usuários têm que ser extremamente cuidadoso sobre navegação sites desconhecidos. Abster-se de clicar em links para sites desconhecidos e não abrir anexos recebidos de remetentes que não conhece. É melhor prevenir uma infecção do que para batalhar contra um e a fim de evitar potenciais ameaças, que você também deve investir em ferramenta de segurança de computador licenciado que iria ajudá-lo a proteger o sistema contra várias infecções. Análises de segurança regulares do sistema são um must!

Nós também fornecemos dois conjuntos de instruções de remoção manual no artigo. No entanto, tenha em mente que se você não for um usuário de computador avançado, você deve pensar duas vezes antes de executar qualquer uma das seguintes ações. Não se esqueça que se você cometer um erro ou algo der errado, que você pode literalmente matar seu sistema operacional. Em outras palavras, siga as instruções em seu próprio risco.

CONJUNTO DE INSTRUÇÕES 1

1. , reinicie o computador e quando o BIOS respingo carrega a imprensa F8 chaves várias vezes.
2. Selecione modo seguro com rede no menu de opções avançadas de inicialização. Pressione Enter .
3. Abra o menu iniciar e digite cmd na caixa de pesquisa. Pressione Enter .
4. Entrar no Prompt de comando comando de sfc/scannow e pressione Enter .
5. Reinicie o sistema de computador e carga no modo Normal .

CONJUNTO DE INSTRUÇÕES 2

1. reinicie o PC e toque em F8 repetidamente quando a tela de BIOS cargas.
2. Use as teclas de seta para navegar e selecionar modo seguro com rede . Aperte Enter .
3. Abra menu iniciar e digite cmd na caixa de pesquisa.
4. Quando cmd aparece nos resultados da pesquisa, é com o botão direito e selecione executar como administrador .
5. Enter takeown /f C:\Windows\System32\user32.dll no comando Prompt e pressione Enter .
6. Insira outro comando: cacls C:\Windows\System32\user32.dll/g < username >: F . Pressione Enter .
7. Fechar prompt de comando e navegue até diretório C:\Windows\Winsxs .
8. Realizar uma pesquisa para arquivo user32 dll. Copie do arquivo.
9. Ir para C:\Windows\System32[603 ] diretório e colar user32. dll para substituir o arquivo infectado.
10. Vá para o diretório de C:\Windows\SysWOW64 e colar user32. dll lá também.
11. Reinicie o computador no modo Normal.

Tome nota que a infecção não afeta o arquivo de sistema no diretório C:\Windows\SysWOW64, muitas vezes, mas isso acontece às vezes, então você precisa tomar todas as possibilidades em consideração. Além disso, o < username > nas instruções é o nome de usuário do seu computador (geralmente aparece na parte superior do menu Iniciar), e você tem que digitá-la sem símbolos de identificação (não como nas instruções). Para qualquer outra dúvida, pode sempre contactar-nos, deixando um comentário na caixa abaixo neste artigo.