FacebookTwitterLinkedIn

Crypt0L0cker Virus

Ook bekend als: Crypt0L0cker ransomware
Schadeniveau: Ernstig

Crypt0L0cker ransomware verwijderingsinstructies

Wat is Crypt0L0cker?

Crypt0L0cker is een ransomware besmetting die de computer van gebruikers infiltreert via besmette e-mailberichten bijlages (meestal berichten met onderwerplijnen als 'opvolgen bestelling' 'boetes' 'onbetaalde factuur' enz.). Merk op dat cybercriminelen deze berichten 'gelokaliseerd' hebben om ze zo legitiemer te doen lijken. Zo zouden gebruikers in het Verenigd Koninkrijk een bericht krijgen dat er een pakketje geleverd zal worden door Royal Mail. PC-gebruiker uit Australië krijgen dan weer bericht van Australia Post enz. Na succesvolle infiltratie versleutelt deze malware de bestanden op de computer van de gebruiker en vraagt om een losgeld van 2.2 Bitcoin te betalen om deze te ontsleutelen. Crypt0l0cker ransomware versleutelt alle bestanden op de computer van het slachtoffer behalve .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe,  .avi, .wav, .mp3, .gif, .ico, .png, .bmp and .txt (bestanden nodig voor de normale werking van Windows).

Succesvol versleutelde bestanden ontvangen een versleutelings-voorvoegsle, in elke map die versleutelde bestanden bevat schrijft Crypt0l0cker een DECRYTP_INSTRUCTIONS.html en DECRYPT_INSTRUCTIONS.txt bestand met instructies over hoe het losgeld te betalen. Deze ransomware richt zich op computergebruikers uit Australië, Canada, Tsjechië; Italië, Ierland, Frankrijk, Duitsland, Nederland, Korea, Thailand, Nieuw Zeeland, Spanje, Turkije en het Verenigd Koninkrijk. Het is een bijgewerkte variant van een malware die vroeger bekend stond als TorrentLocker. Cybercriminelen die verantwoordelijk zijn voor de creatie van de Crypt0l0cker ransomware gebruiken het TOR netwerk om het losgeld te verzamelen bij hun slachtoffers. Het TOR netwerk verzekert dat de identiteiten en locatie van deze criminelen anoniem zal blijven.

Crypt0L0cker virus

Ransomware besmettingen zoals Crypt0L0cker (waaronder CryptoWall, TeslaCrypt en CTB-Locker) vormen een goed argument om regelmatige backuops van je opgeslagen data te maken. Merk op dat het betalen van losgeld gelijk staat met het sturen van je geld naar cybvercriminelen. Je zal hun kwaadaardige bedrijfsmodel ondersteunen en er is geen garantie dat je bestanden ooit zullen ontsleuteld worden.

Bedreigingsoverzicht:
Naam Crypt0L0cker ransomware
Bedreigingstype Ransomware, cryptovirus, vergrendeling van bestanden
Symptomen U kunt geen bestanden meer openen die op uw computer zijn opgeslagen, eerder functionele bestanden hebben nu een andere extensie, bijvoorbeeld mijn.docx.locked. Een bericht met de vraag om losgeld wordt weergegeven op uw bureaublad. Cybercriminelen vragen om losgeld te betalen (meestal in bitcoins) om uw bestanden te ontgrendelen.
Verspreidings- methoden Geïnfecteerde e-mailbijlagen (macro's), torrent-websites, schadelijke advertenties.
Schade Alle bestanden zijn gecodeerd en kunnen niet geopend worden zonder losgeld te betalen. Extra trojans voor het stelen van wachtwoorden en malware-infecties kunnen samen met de ransomware-infectie geïnstalleerd worden.
Verwijdering

Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.
▼ Combo Cleaner voor Windows Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Om computerbesmettingen met ransomware besmettingen zoals deze te voorkomen zou je erg oplettend moeten zijn met het openen van e-mailberichten want cybercriminelen gebruiken verschillende aanlokkelijke titels om PC-gebruikers te verleiden tot het openen van de besmette e-mailbijlages. Merk op dat op het tijdstip van het schrijven van dit artikel er geen hulpmiddelen bestonden die de bestanden versleuteld door de Crypt0locker malware konden ontsleutelen zonder het losgeld te betalen.

Cyber criminelen hebben de Crypt0l0cker ransomware in verschillende talen vertaald om zich te kunnen richten op verscheidene landen. Hier is een voorbeeld van de ransomware gericht op Koreaanse gebruikers:

Crypt0L0cker virus gericht op PC gebruikers van Korea

Schermafbeelding van het DECRYTP_INSTRUCTIONS.html bestand:

Crypt0L0cker decrypt_instructions.html bestand

Tekst getoond in het DECRYTP_INSTRUCTIONS.html bestand:

WAARSCHUWING we hebben je bestanden versleuteld met het Crypt0L0cker virus. Je belangrijke bestanden (waaronder die van je netwerkschijven, USB enz.), foto's, video's, documenten enz. werden versleuteld met ons Crypt0L0cker virus. De enige manier om je bestanden terug te krijgen is door ons te betalen. Anders zullen je bestanden verloren zijn. Opgelet: het verwijderen van Crypt0L0cker zal je niet opnieuw toegang geven tot je versleutelde bestanden.

Schermafbeelding van het DECRYPT_INSTRUCTIONS.txt bestand:

Crypt0L0cker decrypt_instructions.txt file

Tekst getoond in het DECRYTP_INSTRUCTIONS.html bestand:

!!! WE HEBBEN JE BESTANDEN VERSLEUTLELD MET HET Crypt0L0cker VIRUS !!!
Wat is er met mijn bestanden gebeurd? Je belangrijke bestanden foto's, video's, documenten enz. werden versleuteld met ons Crypt0L0cker virus. Dit virus gebruikt erg sterke versleutelingsalgoritmes - RSA -2048. Het onstleutelen van het RSA-2048 encryptie algoritme is onmogelijk zonder een speciale decryptiesleutel. Hoe kan ik mijn bestanden terugkrijgen? Je bestanden zijn nu onbruikbaar en onleesbaar. Je kan dit controleren door ze te openen. De enige manier om ze te herstellen in hun normale staat is door onze speciale ontsleutelingssoftware te gebruiken. Je kan deze software kopen op onze website.

Website (bereikbaar via het Tor netwerk) gebruikt door de cybercriminelen die het losgeld inzamelen (2.2 BTC):

Crypt0L0cker ontlseuteling aankoop website

Voorbeelden van besmette e-mailberichten gebruikt voor de verspreiding van de Crypt0L0cker ransomware:

Besmette e-mail gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 1 Besmette e-mail gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 2 Besmette e-mail gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 3 Besmette e-mail gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 4

Afbeeldingen van frauduleuze websites gebruikt voor de verspreiding van de Crypt0L0cker ransomware:

Website gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 1 Website gebruikt voor de verspreiding van Crypt0l0cker 2 Website gebruikt voor de verspreiding van Crypt0l0cker 3 Website gebruikt voor de verspreiding van Crypt0L0cker voorbeeld 4

Merk op dat op het moment van schrijven er geen tools bekend waren die de bestanden versleuteld door Crypt0l0cker konden ontsleutelen zonder het losgeld te betalen. Door het volgen van de verwijderingsgids zal je in staat zijn deze ransomware te verwijderen van je computer maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer informatie is over de ontsleuteling van de getroffen bestanden.

Crypt0L0cker ransomware verwijdering:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop.  In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met het Crypt0l0cker virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Crypt0l0cker virus te elimineren. 

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Crypt0l0cker ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Crypt0l0cker kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma te gebruiken kan je hier vinden.

shadow explorer schermafbeelding

Om je computer te beschermen tegen ransomware die je bestanden versleuteld zou je betrouwbare antivirus en anti-spyware programma's moeten gebruiken. Als een extra bescherming zou je het programma CryptoPrevent kunnen gebruiken. (CryptoPrevent plaatst kunstmatige 'group policies' in het register zodat frauduleuze programma's als Crypt0l0cker geblokkeerd worden.

cryptoprevent schermafbeelding

Meer info over hoe dit programma te gebruiken vind je hier.

Andere applicaties waarvan geweten is dat ze de Crypt0l0cker ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

QR Code
Crypt0L0cker ransomware QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van Crypt0L0cker ransomware op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.