Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is HYFLOCK?
HYFLOCK is ransomware die wij ontdekten tijdens het onderzoeken van malware-samples die zijn ingediend bij het VirusTotal-platform. Net als andere ransomware versleutelt het bestanden op de computer van het slachtoffer, waardoor deze ontoegankelijk worden, en eist het betaling in ruil voor decryptie.
Op onze testmachine voegde HYFLOCK de extensie ".locked" toe aan elk versleuteld bestand. Een bestand dat oorspronkelijk "1.jpg" heette, werd "1.jpg.locked", "2.png" werd "2.png.locked", enzovoort. Na voltooiing van de versleuteling plaatste het een losgeldbrief in een HTML-bestand genaamd "How to Restore My Files.html".
Screenshot van bestanden versleuteld door HYFLOCK ransomware:

Overzicht van de HYFLOCK-losgeldbrief
De losgeldbrief is een HTML-bestand met de naam "How to Restore My Files.html". Het informeert slachtoffers dat hun bestanden zijn vergrendeld met HC-128-versleuteling en dat alleen de aanvallers de decoderingssleutel bezitten die nodig is om de toegang te herstellen.
Om contact op te nemen met de aanvallers, wordt slachtoffers verteld om de qTox-berichtenclient te installeren naast Tor Browser, de Tox-contact-ID van de aanvallers toe te voegen en een bericht te sturen met hun unieke Victim ID. De brief bevat stapsgewijze installatie-instructies voor Windows, Linux en macOS.
De brief waarschuwt slachtoffers ook om niet te proberen zelf te decoderen, versleutelde bestanden niet te wijzigen of te verwijderen, geen hersteltools van derden te gebruiken en hun systeem niet opnieuw op te starten. Contact binnen 48 uur wordt sterk aangeraden, met de implicatie dat vertragingen het risico op permanent gegevensverlies met zich meebrengen.
Overzicht van de HYFLOCK ransomware
Bij de meeste ransomware-aanvallen is het niet mogelijk om versleutelde bestanden te herstellen zonder medewerking van de aanvaller. Uitzonderingen bestaan alleen in gevallen waarin de ransomware met ernstige fouten is gecodeerd waardoor de versleuteling te kraken is.
Zelfs als slachtoffers het losgeld betalen, is er geen garantie dat ze werkende decoderingssoftware ontvangen. Cybercriminelen innen routinematig de betaling en verdwijnen zonder iets te leveren. Om deze reden raden we ten sterkste af om te betalen.
Het verwijderen van HYFLOCK van een geïnfecteerd systeem is belangrijk om verdere schade te stoppen, maar verwijdering alleen kan reeds versleutelde bestanden niet herstellen. De meest betrouwbare hersteloptie is het herstellen van bestanden vanuit een back-up die is gemaakt voordat de infectie toesloeg.
Back-ups moeten worden opgeslagen op ten minste twee afzonderlijke locaties - zoals een offline opslagapparaat en een externe server - zodat één enkele aanval niet alle kopieën tegelijk kan vernietigen.
Ransomware in het algemeen
We hebben in de loop der jaren duizenden ransomware-programma's geanalyseerd. Het kerndoel verandert nooit: bestanden vergrendelen en geld vragen voor de teruggave ervan. De belangrijkste verschillen tussen varianten zijn de symmetrische of asymmetrische versleutelingsalgoritmen die ze gebruiken en de hoogte van het gevraagde losgeld.
Aanvullende ransomware-voorbeelden zijn SUCKS 2 SUCK, TuakTOX en BL4CK SP1D3R.
Hoe heeft ransomware mijn computer geïnfecteerd?
Ransomware komt meestal binnen via phishing-e-mails. Deze berichten bevatten kwaadaardige bijlagen - zoals Microsoft Office-documenten, archieven of uitvoerbare bestanden - of links die leiden naar sites die stilletjes malware op de machine van de bezoeker plaatsen.
Trojans zijn een andere veelvoorkomende leveringsmethode. Ze kunnen ransomware stilletjes installeren nadat ze toegang tot een systeem hebben verkregen. Valse software-updates, kwaadaardige advertenties en illegale software dienen ook regelmatig als distributiekanalen.
Het downloaden van software van onofficiële bronnen - peer-to-peer-netwerken, gratis hostingplatforms of file-sharing sites van derden - verhoogt het infectierisico aanzienlijk. Gebruik alleen officiële ontwikkelaarswebsites en vertrouwde app-winkels om software te verkrijgen, en vermijd cracks en onofficiële activeringstools volledig.
| Naam | HYFLOCK-virus |
| Type Dreiging | Ransomware, Cryptovirus, Bestandsversleutelaar |
| Extensie Van Versleutelde Bestanden | .locked |
| Losgeld Eisend Bericht | How to Restore My Files.html |
| Gratis Decryptor Beschikbaar? | Nee |
| Contact Cybercrimineel | qTox (contact-ID vermeld in de losgeldbrief) |
| Detectienamen | Avast (Win64:MalwareX-gen [Ransom]), Combo Cleaner (Gen:Variant.Mikey.188834), ESET-NOD32 (Win64/TrojanDropper.Agent.XG Trojan), Kaspersky (VHO:Trojan-PSW.Win32.Greedy.gen), Microsoft (Trojan:Win32/Sonbokli.A!cl), Volledige Lijst Met Detecties (VirusTotal) |
| Symptomen | Kan bestanden die op uw computer zijn opgeslagen niet openen, voorheen functionele bestanden hebben nu een andere extensie (bijvoorbeeld my.docx.locked). Een losgeld eisend bericht wordt weergegeven op uw bureaublad. Cybercriminelen eisen betaling van een losgeld (meestal in bitcoins) om uw bestanden te ontgrendelen. |
| Distributiemethoden | Geïnfecteerde e-mailbijlagen (macro's), torrent-websites, kwaadaardige advertenties. |
| Schade | Alle bestanden zijn versleuteld en kunnen niet worden geopend zonder losgeld te betalen. Aanvullende wachtwoordstelende trojans en malware-infecties kunnen samen met een ransomware-infectie worden geïnstalleerd. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Hoe kunt u zich beschermen tegen ransomware-infecties?
Wees voorzichtig bij het surfen op het web en het omgaan met e-mail. Open alleen bijlagen of volg links als u er zeker van bent dat de afzender legitiem is. Download software uitsluitend van officiële websites of vertrouwde app-winkels, nooit van bronnen van derden.
Houd software en besturingssystemen up-to-date met officiële ingebouwde tools, en vermijd activeringspatches of sleutelgeneratoren van onofficiële sites. Als uw computer al is geïnfecteerd met HYFLOCK, raden we aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om deze ransomware automatisch te verwijderen.
Verschijning van HYFLOCK's HTML-losgeldbrief ("How to Restore My Files.html"):

Tekst gepresenteerd in deze losgeldbrief:
HYFLOCK
Security Division :: Enterprise Encryption System
► SYSTEM ENCRYPTION PROTOCOL :: v2.7.1
► STATUS :: ALL FILES SECURED
► NODE ::⚠ CRITICAL SECURITY NOTICE
IMMEDIATE ACTION REQUIRED
DO NOT attempt to decrypt files yourself
DO NOT modify or delete encrypted files
DO NOT use third-party decryption tools
DO NOT reboot or shut down your system
Contact us within 48 hours to avoid data lossYour files have been secured with military-grade HC-128 encryption. They are NOT deleted, only inaccessible without the unique decryption key.
◈ DECRYPTION CREDENTIALS
TOX CONTACT (PRIMARY)
[-]
⏱ Response time: 2-24 hours. Save your Victim ID - it is required for decryption.
Delen:
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie