FacebookTwitterLinkedIn

Alpha Crypt Virus

Ook bekend als: .ezz virus
Type: Ransomware
Schadeniveau: Ernstig

Tomas Meskauskas Geschreven door op (bijgewerkt)

Alpha Crypt ransomware verwijderingsinstructies

Wat is Alpha Crypt?

Alpha Crypt is een ransomware besmetting die de computers van gebruikers infiltreert via besmette e-mailberichten of via de or Angler Exploit Kit (Flash exploit - CVE-2015-0311). Deze malwares stond vroeger bekend onder de naam TeslaCrypt. Na succesvolle infiltratie begint de malware de bestanden gevonden op de computer van het slachtoffer te versleutelen (bijvoorbeeld: .wma, .avi, .wmv, .zip, docx, .doc, .ppt, .lvl, .snx, .cfr, .ff en vele andere - 185 bestandstypes in totaal) via het AES CBC 256-bit encryptie algoritme. Net zoals voorganger Alpha Crypt is deze vooral gericht op gamers. Hier zijn enkele voorbeelden van video games waarvan de bestanden (opgeslagen games en activatiesleutels voor Steam) aangevallen worden door deze ransomware: World of Warcraft, League of Legends, World of Tanks, Call of Duty en vele andere.

Na het succesvol versleutelen van de bestanden wijzigt Alpha Crypt de bureaubladachtergrond van de gebruiker naar HELP_TO_SAVE_FILES.bmp en opent het een bestand HELP_TO_SAVE_FILES.txt dat informatie bevat over hoe de getroffen bestanden te ontsleutelen. Op het moment van schrijven van dit artikel vroegen de cybercriminelen 0.7 BTC (Bitcoins) om de bestanden te ontsleutelen. Alpha Crypt voegt de .ezz extensie toe aan alle versleutelde bestanden. Om de controle over de getroffen bestanden terug te krijgen wordt aan slachtoffers gevraagd zich met een TOT website te verbinden en een losgeld in Bitcoins te betalen. Het TOR netwerk zorgt ervoor dat de identiteiten en locaties van deze criminelen anoniem blijven.

alpha crypt ransomware

Ransomware besmettingen zoals Alpha Crypt (of ook nog Crypt0L0cker, CryptoWall en CTB-Locker) vormen een goed argument om regelmatig backups van je opgeslagen data te maken. Merk op dat het betalen van het gevraagde losgeld gelijk staat met het sturen van geld naar cybercriminelen. Je zal hun kwaadaardige bedrijfsmodel steunen en er is geen garantie dat je bestanden ooit zullen ontsleuteld worden. Om computerbesmettingen met dit soort ransomware te vermijden zou je goed moeten opletten met het openen van e-mailberichten. Cybercriminelen gebruiken aanlokkelijke titels in deze berichten om pc-gebruikers te overtuigen de bijlages te openen. Op het moment van schrijven bestonden er geen tools om de bestanden versleuteld door Alpha Crypt malware te ontsleutelen zonder het losgeld te betalen. De ideale oplossing zou zijn de ransomware eerst te verwijderen en dan je data vanuit een backup te herstellen.

Alpha Crypt vraagt een losgeld te betalen om de bestanden te ontsleutelen:

Je bestanden werden veilig versleuteld op deze PC: foto's, video's, documenten enz. Klik op de "Toon versleutelde bestanden'-knop om een complete lijst van je versleutelde bestanden te zien zodat je dit zelf kan controleren. De versleuteling gebeurde met een unieke publieke RSA-2048 sleutel gemaakt voor deze computer. Om je bestanden te ontsleutelen heb je de private sleutel nodig. De enige kopie van deze privatie sleutel om je bestanden te ontsleutelen staat op een geheime server op internet. De server zal de sleutel vernietigen na afloop van de tijdsspanne aangeduid in dit venster. Eens dit gebeurt zal niemand je bestanden nog kunnen herstellen...

Alpha Crypt HELP_TO_SAVE_FILES.bmp bestand gebruikt als bureaubladachtergrond op de computer van het slachtoffer:

alpha crypt help_to_save_files.bmp wallpaper

Voorbeelden van de bestandssoorten versleuteld door de Alpha Crypt ransomware (185 bestandstypes in totaal):

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb, .wmv, .zip, docx, .doc, .ppt, .lvl, .snx, .cfr, .ff

Schermafbeelding van Alpha Crypt 'Decryptie Service' website:

alpha crypt decrypteer bestanden website

Losgeld betalingsinformatie getoond op de 'Decryptie Service' website:

Hoe ons in bitcoins te betalen:
Nuttige site: howtobuybitcoins.info (om wisselkantoren in eigen land te vinden)
1. Bezoek één van onderstaande sites om bitcoins te kopen (of vind er zelf één via bovenstaande link)
(2. Login of creëer een account indien nodig.)
3. Koop de hoeveelheid bitcoins die je nodig hebt om te betalen en zend ze naar het adres in dit scherm.
(4. Je kan naar blockchain.info surfen en daar je adres opzoeken om te zien of ze zijn aangekomen.)
5. Eens de bitcoins op het adres zijn klik je op 'Controleer betaling en ontvang sleutels'.
6. Je hebt nu je sleutels ontvangen, klik op 'decrypteren met de sleutels'
7. Je bestanden zullen hersteld worden en het programma zal zichzelf verwijderen.

Merk op dat op het moment van schrijven er geen tools bekend waren die de bestanden versleuteld door Alpha Crypt konden ontsleutelen zonder het losgeld te betalen. Door het volgen van de verwijderingsgids zal je in staat zijn deze ransomware te verwijderen van je computer maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer informatie is over de ontsleuteling van de getroffen bestanden.

Alpha Crypt ransomware verwijdering:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
 ▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met het Alpha Crypt virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Alpha Crypt virus te elimineren. 

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Alpha Crypt ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Alpha Crypt kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma te gebruiken kan je hier vinden.

shadow explorer screenshot

Om je computer te beschermen tegen dit soort ransomware gebruik je best betrouwbare antivirus anti-spyware programma's. Als extra bescherming zou je het programma CryptoPrevent kunnen gebruiken. (CryptoPrevent plaatst kunstmatige 'group policies' in het register zodat frauduleuze programma's als Crypt0l0cker geblokkeerd worden.

cryptoprevent schermafbeelding

Andere tools waarvan bekend is dat ze Alpha Crypt verwijderen:

Bron: https://www.pcrisk.com/removal-guides/8936-alpha-crypt-virus

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

Verwijderingsinstructies in andere talen
Hoe een besmetting te voorkomen
Nieuwe virus verwijderingsrichtlijnen
Top virus verwijderingsrichtlijnen
QR Code
.ezz virus QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van .ezz virus op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.