'Je persoonlijke bestanden werden versleuteld' Virus
Geschreven door Tomas Meskauskas op (bijgewerkt)
'Je persoonlijke bestanden werden versleuteld' virus verwijderingsinstructies
Wat is 'Je persoonlijke bestanden werden versleuteld' (Critroni ransomware)?
Het Critroni ransomware virus infiltreert de besturingssystemen van gebruikers via besmette e-mailberichten en valse downloads (bijvoorbeeld frauduleuze videospelers of valse Flash updates). Na succesvolle infiltratie versleutelt dit kwaadaardige programma bestanden die opgeslagen staan op computers (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, enz.) en vraagt 300$ losgeld te betalen (in Bitcoins) om deze te ontsleutelen (versleutelde documenten krijgen een .ctbl bestandsextensie). De cybercriminelen die verantwoordelijk zijn voor dit frauduleuze programma zorgen ervoor dat het op alle versies van het Windows besturingssysteem werkt (Windows XP, Windows Vista, Windows 7 en Windows 8). De Critroni ransomware creëert AllFilesAreLocked.bmp DecryptAllFiles.txt en [seven random letters].html files binnen elke folder die versleutelde bestanden bevat.
Deze bestanden bevatten instructies over hoe gebruikers hun bestanden kunnen ontsleutelen en over het gebruik van de Tor browser (een anonieme web browser). Cybercriminelen gebruiken Tor om hun identiteit te verbergen. PC-gebruikers zouden zich ervan bewust moeten zijn dat hoewel de besmetting zelf niet moeilijk te verwijderen is, het ontsleuten van de bestanden (versleuteld met RSA 2048 encryption) die zijn getroffen door dit kwaadaardige programma onmogelijk is zonder het losgeld te betalen. Op het moment van onderzoek waren er geen hulpmiddelen of oplossingen beschikbaar om de bestanden die versleuteld werden door Critroni te ontsleutelen. Merk op dat de private sleutel die nodig is voor het ontsleutelen van de bestanden opgeslagen staat op de Critroni command-and-control servers, die worden beheerd door cybercriminelen. Daarom is de beste oplossing het verwijderen van dit ransomware virus en je data te herstellen vanaf een backup..
Ransomware besmettingen zoals Critroni (waaronder CryptoWall, CryptoDefense, CryptorBit en Cryptolocker) vormen een goed argument om regelmatig backups van je opgeslagen data te maken. Merk op dat het betalen van het gevraagde losgeld gelijk staat aan geld sturen naar cyber criminelen. Je zal hun kwaadaardige business model ermee steunen en er is geen garantie dat je bestanden ooit zullen ontsleuteld worden. Om computer besmettingen met ransomware zoals deze te voorkomen wees je best erg voorzichtig met het openen van e-mailberichten want cyber criminelen gebruiken verscheidene aanlokkelijke onderwerpregels om PC gebruikers te misleiden en hen de e-mailbijlagen te laten openen (bijvoorbeeld "UPS Exception Notification" of "FedEx Delivery Failure Notification").
Naam | Critroni ransomware of Critroni.A |
Bedreigingstype | Ransomware, cryptovirus, vergrendeling van bestanden |
Symptomen | U kunt geen bestanden meer openen die op uw computer zijn opgeslagen, eerder functionele bestanden hebben nu een andere extensie, bijvoorbeeld mijn.docx.locked. Een bericht met de vraag om losgeld wordt weergegeven op uw bureaublad. Cybercriminelen vragen om losgeld te betalen (meestal in bitcoins) om uw bestanden te ontgrendelen. |
Verspreidings- methoden | Geïnfecteerde e-mailbijlagen (macro's), torrent-websites, schadelijke advertenties. |
Schade | Alle bestanden zijn gecodeerd en kunnen niet geopend worden zonder losgeld te betalen. Extra trojans voor het stelen van wachtwoorden en malware-infecties kunnen samen met de ransomware-infectie geïnstalleerd worden. |
Verwijdering | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Onderzoek toont aan dat cyber criminelen ook P2P netwerken en valse downloads gebruiken om ransomware te bundelen en zo Critroni te verspreiden. Momenteel wordt de "Je persoonlijke bestanden werden versleuteld" ransomware dreiging geleverd in het Engels en het Russisch en de landen waar deze talen gesproken worden staan dan ook bovenaan in de lijst landen waar de cyber criminelen zich op richten om deze malware te verspreiden.
Bericht dat wordt getoond in de AllFilesAreLocked.bmp DecryptAllFiles.txt en [7 random letters].html bestanden:
Je documenten, foto's, databases en andere belangrijke bestanden werden versleuteld met een erg sterke encryptie en een unieke sleutel die werd gemaakt voor deze computer. Een private ontsleutelingssleutel werd opgeslagen op een geheime internet server en niemand kan je bestanden ontsleutelen tot je betaalt en de private sleutel bekomt. Als je het hoofdscherm ziet met de kluis volg dan de instructies daarop. Indien niet lijkt het erop dat jij of je antivirus het versleutelingsprogramma verwijderd hebt. Dit is je laatste kans om de bestanden te ontsleutelen.
1. Typ volgend adres over in je internet browser: http://torproject.org
Het opent de Tor site.2. Klik op 'Download Tor', en dan op 'DOWNLOAD Tor Browser Bundle',
installeer het en voer het uit.3. Nu heb je de Tor Browser. In het Tor Browser open je hxxp://zaxseiufetlkwpeu.onion
Merk op dat deze server enkel via de Tor Browser bereikbaar is.
Probeer binnen het uur opnieuw als de site niet bereikbaar is.4. Kopieer en kleef de volgende publieke sleutel in het formulier op de server en zorg ervoor dat je hierbij geen fouten maakt.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Follow the instructions on the server.
Schermafbeelding van een besmet email bericht gebruikt in de 'Je persoonlijke bestanden werden versleuteld' ransomware verspreiding:
Tekst getoond in de besmette e-mailberichten:
Onderwerp: UPS notificatie
Van: United Parcel Service (0511notify (at) ups.com)Beste klant,
Dit is een mail ter opvolging van de levering van een pakket (volgnummer 0p2uYq5RIho). Het pakket uit de hierbovenvermelde zending werd niet geaccepteerd op het afleveradres. Contacteer aub je lokale UPS kantoor en print de afleveringssticker uit die je kan vinden in de bijlage van deze e-mail. Merk op dat in het geval je je lokale UPS kantoor niet contacteert het pakket binnen de 21 dagen teug naar de afzender zal gestuurd worden.
Blij je van dienst te zijn,
UPS.com
This is automatically generated delivery status email, please do to reply to it.
Schermafbeelding van het AllFilesAreLocked.bmp bestand:
Schermafbeelding van het DecryptAllFiles.txt bestand:
Schermafbeelding van het [seven random letters].html bestand:
'Je persoonlijke bestanden werden versleuteld' ransomware betalingspagina:
Bericht dat wordt getoond op de 'Je persoonlijke bestanden werden versleuteld' ransomware betalingspagina:
Betaling nodig.
Server accepteert enkel betalingen in Bitcoin (BTC).
1. Betaal een bedrag van 0.2 BTC (about of 24 USD) op het volgende adres - Bitcoin wallet address.
2. Transactie zal na 15-30 minutes bevestigd worden.
Ontsleuteling zal automatisch starten. Sluit je computer niet af, voer geen antivrusprogramma's uit, schakel je internet verbinding niet uit. Je hier niet aan houden tijdens het ontsleutelen kan leiden tot schade aan je bestanden. Als je geen Bitcoins hebt klik dan op 'Omwisselen'.
Critroni valuta wissel pagina:
Opmerking: op het moment van schrijven waren er geen bekende hulpmiddelen beschikbaar om de bestanden versleuteld door Critroni te ontsleutelen zonder het losgeld te betalen. Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer info beschikbaar is over hoe de getroffen bestanden te ontsleutelen.
Critroni virus verwijdering:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is de 'Je persoonlijke bestanden werden versleuteld' (Critroni) ransomware?
- STAP 1. Critroni virus verwijdering via veilige modus met netwerk.
- STEP 2. Critroni ransomware verwijdering via systeemherstel.
Stap 1
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.
Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":
Stap 2
Log in op het account dat besmet is met het Critroni Virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.
Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.
Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":
1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.
2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.
3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.
4. In het geopende venster klik "Volgende".
5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).
6. In het geopende venster klik "Ja".
7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Critroni virus te elimineren.
Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Critroni ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.
Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.
Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.
Andere programma's waarvan geweten is dat ze de Critroni ransomware kunnen verwijderen:
Bron: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus
▼ Toon discussie