Remove Homeland Security Ransomware and Unlock Your Screen - Como, Tecnologia e Fórum de Segurança PC | SensorsTechForum.com
REMOÇÃO DE AMEAÇAS

Remove Homeland Security Ransomware and Unlock Your Screen

A new type of Lockscreen Trojan that belongs to the Police variants has been discovered out in the wild. The malware arrives directly from foreign hosts, creates multiple files and registry objects. After this it restricts the user access to his PC, displaying a ransom message which imitates Homeland Security message stating the user has committed a crime. Everyone who has been affected by this malware is strongly advised to follow the step-by-step manual after this article to get rid of it as fast as possible.

NomeHomeland Security Ransomware
TipoLockscreen Trojan
Pequena descriçãoThe trojan locks the computer of the user and claims to be Police malware convicting the user of crimes.
Os sintomasThe user may be restricted to access his computer.
distribuição MétodoVia other malware or malicious URLs.
Ferramenta de detecçãoBaixar Malware Removal Tool, to See If Your System Has Been Affected by Homeland Security Ransomware
Experiência de usuário Participe do nosso fórum discutir Homeland Security Ransomware.
Ferramenta de recuperação de dadosWindows Data Recovery por Stellar Phoenix Aviso prévio! Este produto verifica seus setores de unidade para recuperar arquivos perdidos e não pode recuperar 100% dos arquivos criptografados, mas apenas alguns deles, dependendo da situação e se você tem ou não reformatado a unidade.

homeland-security-trojan-sensorstechforum

Homeland Security Ransomware – Distribution

To be distributed throughout the web, this malware is strongly believed to be featured in malicious URLs concealed by TOR networking. Researchers from Symantec report the following hosts to be the download URLs of the malware on the victim computers.

  • http://myfiles(.)pro/uploads/127585935
  • http://77.222.153.252:88/tor

Such web links may issue the so-called drive-by download which installs the payload of the malware without the user’s consent and knowledge.

Malicious URLs like the ones above are being spread via several methods online:

  • Via spam in social media.
  • Via other malware.
  • Via spammed URLs in email messages that redirect to them.

Homeland Security Ransomware In Detail

The trojan’s payload consists only of one file in the Windir\Tasks\Microsoft directory
Microsoft auto update.job.

The Trojan also makes registry entries to allow it to run on Windows Startup as well as perform other unauthorized tasks:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SD” = “%SystemDrive%\[file with random characters]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SD” = “%SystemDrive%\[file with random characters]”
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\D9065B55F1FF613ECCA839F70A14A3C40EDD7303\Blob” = [file with random characters] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr= 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\HideFastUserSwitching= 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableChangePassword= 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableLockWorkstation= 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\SRService\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\AppMgmt\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\CryptSvc\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\DcomLaunch\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\EventLog\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\HelpSvc\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\Netlogon\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\PlugPlay\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\RpcSs\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\WinMgmt\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\dmadmin\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Minimal\dmserver\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\AFD\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\AppMgmt\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Browser\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\CryptSvc\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\DcomLaunch\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Dhcp\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\DnsCache\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\EventLog\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\HelpSvc\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\LanmanServer\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\LanmanWorkstation\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\LmHosts\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Messenger\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Ndisuio\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\NetBIOS\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\NetBT\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\NetMan\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Netlogon\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\NtLmSsp\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\PlugPlay\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\RpcSs\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\SRService\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\SharedAccess\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\Tcpip\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\WZCSVC\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\WinMgmt\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\dmadmin\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\dmserver\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\rdsessmgr\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\Network\termservice\”(Default)” = “Serviço”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBootCP\AlternateShell” = “cmd.exe”
Souce: Symantec Security Response

After creating the malicious registry entries, the Trojan may begin to connect to a remote location.
Finalmente, the ransomware changes the user’s screen to something that appears to be a locked screensaver. It has the logo of Homeland Security and a message convicting the victim of pornographic crimes.

Remove Homeland Security Ransomware and Unlock Your Screen

To get rid of this malware, it is strongly advisable to use the instructions that are provided below. They are methodologically arranged for maximum effectiveness when attempting to remove this malware.

1. Boot Your PC In Safe Mode to isolate and remove Homeland Security Ransomware

1. Inicializar o PC em modo de segurança

1. Para o Windows 7, XP e Vista. 2. Para Windows 8, 8.1 e 10.

Para o Windows XP, Vista, 7 sistemas:

1. Remova todos os CDs e DVDs, e reinicie o PC do “Começar” cardápio.
2. Selecione uma das duas opções que se seguem:

Para PCs com um único sistema operacional: pressione “F8” repetidamente após a primeira tela de inicialização aparece durante o reinício do seu computador. No caso do logotipo do Windows aparece na tela, você tem que repetir a mesma tarefa novamente.

donload_now_140

Para PCs com múltiplos sistemas operacionais: ? He as setas irá ajudá-lo a selecionar o sistema operacional que você prefere para começar em Modo de segurança. pressione “F8” tal como descrito para um único sistema operacional.

donload_now_140

3. Enquanto o “Opções avançadas de inicialização” aparece o ecrã, selecione os Modo de segurança opção desejada usando as teclas de seta. Como você fazer a sua selecção, pressione “Entrar“.

4. Fazer logon no seu computador usando sua conta de administrador

donload_now_140

Enquanto o computador está no modo de segurança, as palavras “Modo de segurança” aparecerá em todos os quatro cantos da tela.

Degrau 1: Abra o Menu Iniciar

donload_now_140

Degrau 2: Enquanto segurando a tecla Shift botão, Clique em Poder e clique em Reiniciar.
Degrau 3: após a reinicialização, o menu aftermentioned aparecerá. A partir daí você deve escolher Solução de problemas.

donload_now_140

Degrau 4: Você vai ver o Solução de problemas cardápio. A partir deste menu você pode escolher Opções avançadas.

donload_now_140

Degrau 5: Depois de Opções avançadas aparece o menu, Clique em Definições de arranque.

donload_now_140

Degrau 6: Clique em Reiniciar.
donload_now_140

Degrau 7: Um menu aparecerá após a reinicialização. Você deve escolher Modo de segurança premindo o número correspondente e a máquina irá reiniciar.

2. Remove Homeland Security Ransomware with SpyHunter Anti-Malware Tool

2. Remove Homeland Security Ransomware with SpyHunter Anti-Malware Tool

1. Install SpyHunter to scan for and remove Homeland Security Ransomware.2. Scan with SpyHunter to Detect and Remove Homeland Security Ransomware.
Degrau 1:Clique no “Baixar” botão para avançar para a página de download do SpyHunter.

donload_now_140
É altamente recomendável para executar uma varredura antes de comprar a versão completa do software para se certificar de que a versão atual do malware podem ser detectadas por SpyHunter.

Degrau 2: Guiar-se pelas instruções de download fornecidas para cada navegador.
Degrau 3: Depois de ter instalado SpyHunter, esperar por ele para automaticamente atualização.

pets-a-myway-anúncios-vírus

Passo 1: Após o processo de atualização tenha terminado, Clique no ‘Computer Scan Now’ botão.
pets-a-myway-anúncios-vírus
Passo 2: After SpyHunter has finished scanning your PC for any Homeland Security Ransomware files, Clique no 'Corrigir ameaças’ botão para removê-los automaticamente e permanentemente.
pets-a-myway-anúncios-vírus
Etapa 3: Uma vez que as intrusões no seu PC foram removidos, é altamente recomendável para reiniciá-lo.

3. Back up your data to secure it against infections by Homeland Security Ransomware in the future

3. Faça backup de seus dados para protegê-lo contra ataques no futuro

engenheiros de segurança recomendamos que você faça backup dos arquivos imediatamente, preferably on an external memory carrier in order to be able to restore them in case of system failure caused by Homeland Security Ransomware. To set up backup in Windows, please follow these steps:

1. Para Windows 7 e anteriores 1. Para Windows 8, 8.1 e 10 1. Como ativar o recurso do Windows Defesa (Versões prévias)

1-Clique em Menu Iniciar do Windows
de backup-1
2-Tipo Backup e restauração
3-Abra-o e clique em Configurar backup
w7-backup3
4-Uma janela aparecerá perguntando-lhe onde configurar de backup. Você deve ter uma unidade flash ou um disco rígido externo. Marcá-lo clicando sobre ele com o mouse, em seguida, clique em Próximo.
de backup-3
5-Na próxima janela, o sistema irá pedir-lhe o que você deseja fazer o backup. Escolha o 'Deixe-me escolher' opção e, em seguida, clique em Avançar.
de backup-4
6-Clique em ‘Salvar configurações e executar backup’ Na janela seguinte, a fim de proteger seus arquivos de possíveis ataques por Homeland Security Ransomware.
de backup-5

1-pressione botão do Windows + R
filehistory 1
2-No tipo de janela 'Filehistory' e pressione Entrar
filehistory 2
3-A janela Histórico do arquivo aparecerá. Clique em ‘configurações de histórico arquivo configure’
filehistory 3
4-O menu de configuração para Arquivo Histórico irá aparecer. Clique em ‘Ligar’. Após a sua em, clique em Select Drive, a fim de selecionar a unidade de backup. Recomenda-se escolher um disco rígido externo, SSD ou um stick USB cuja capacidade de memória é correspondente ao tamanho dos arquivos que você deseja fazer o backup.
filehistory 4
5-Selecione a unidade, em seguida, clique em ‘OK’, a fim de configurar o backup de arquivos e proteger-se de Homeland Security Ransomware.

1- pressione botão do Windows + R chaves.
sysdm
2- A Executar do Windows deve aparecer. Nele digite ‘sysdm.cpl’ e clique em Corre.
windows-Defense2
3- janelas de propriedades do sistema deve aparecer. Nele escolher Proteção do sistema.
windows-defense3
5- Clique em Ativar a proteção de sistema e selecione o tamanho do disco rígido que você deseja utilizar para a proteção do sistema.
6- Clique em Está bem e você deve ver uma indicação em configurações de proteção that the protection from Homeland Security Ransomware is on.
windows-defense1
Restaurar um arquivo via recurso do Windows Defesa:
1-Botão direito do mouse no arquivo criptografado, em seguida, escolha Propriedades.
file-restore1
2-Clique no Versões prévias guia e, em seguida, marcar a última versão do arquivo.
file-restore2
3-Clique em Aplique e Está bem e o arquivo criptografado por Homeland Security Ransomware deve ser restaurado.

NOTA! notificação substancial sobre o Homeland Security Ransomware ameaça: A remoção manual de Homeland Security Ransomware requer interferência com arquivos de sistema e registros. portanto, ele pode causar danos ao seu PC. Mesmo se suas habilidades do computador não estão em um nível profissional, Não se preocupe. Você pode fazer a remoção se apenas no 5 minutos, usando um ferramenta de remoção de malware.
Avatar

Ventsislav Krastev

Ventsislav tem vindo a cobrir o mais recente de malware, desenvolvimentos de software e mais recente tecnologia em SensorsTechForum para 3 anos. Ele começou como um administrador de rede. Formado marketing bem, Ventsislav também tem paixão pela descoberta de novas mudanças e inovações em cibersegurança que se tornam mudanças do jogo. Depois de estudar Gestão da Cadeia de Valor e, em seguida, Administração de Rede, ele encontrou sua paixão dentro cybersecrurity e é um crente forte na educação básica de cada usuário para a segurança on-line.

mais Posts - Local na rede Internet

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...