CryptoDefense Virus
Geschreven door Tomas Meskauskas op (bijgewerkt)
CryptoDefense virus verwijderingsinstructies
CryptoDefense is een ransomware virus dat het besturingssysteem van gebruikers infiltreert via besmette e-mailberichten en valse downloads, bijvoorbeeld frauduleuze videospelers of valse flash updates. Na succesvolle infiltratie versleutelt dit kwaadaardige programma de bestanden die zijn opgeslagen op de computer van de gebruiker (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, enz.) en vraagt een losgeld te betalen van $500 (in Bitcoins) om de bestanden te ontsleutelen. De cybercriminelen die verantwoordelijk zijn voor het ontwikkelen van dit frauduleuze programma hebben ervoor gezorgd dat het op alle versies van Windows werkt (Windows XP, Windows Vista, Windows 7 en Windows 8). De CryptoDefense ransomware creëert How_Decrypt.txt, How_Decrypt.html en How_Decrypt.url (instructies hoe te onstleutelen) bestanden in elke map die versleutelde bestanden bevat.
Deze bestanden bevatten instructies over hoe gebruikers bestanden kunnen ontsleutelen, deze instructies omvatten het gebruik van de Tor browser (een anonieme web browser). De cybercriminelen gebruiken Tor om hun identiteit te verbergen. PC-gebruikers zouden moeten weten dat hoewel de besmetting zelf niet moeilijk te verwijderen is, het onmogelijk is de versleutelde bestanden (die werden versleuteld met de RSA 2048 versleuteling) te ontgrendelen zonder het betalen van het losgeld). Op het moment van onderzoek waren er geen programma's of oplossingen bekend die het mogelijk maken om de bestanden versleuteld door CryptoDefense te ontsleutelen. Merk op dat de private sleutel die gebruikt kan worden voor het onstleutelen van de bestanden opgeslagen is op de CryptoDefense command-and-control servers die beheerd worden door cybercriminelen. De ideale oplossing zou erin bestaan deze ransomware te verwijderen en de data te herstellen vanuit een backup.
Schermafbeelding van een bericht dat getoond wordt in de How_Decrypt.txt, How_Decrypt.html en How_Decrypt.url bestanden:
Ransomware besmettingen zoals CryptoDefense (bijvoorbeeld CryptorBit en Cryptolocker) zijn een goede reden om altijd backups te maken van je opgeslagen data. Merk op dat het betalen van het losgeld wanneer daarom gevraagd wordt door deze ransomware gelijk zou staan aan het sturen van geld naar cybercriminelen. Op die manier zou men hun kwaadaardige zakenmodel steunen, bijkomend is er geen enkele garantie dat de bestanden ooit echt ontsleuteld zouden worden. Om te vermijden dat iemands computer besmet raakt met dit soort ransomware zouden gebruikers erg voorzichtig moeten zijn met het openen van e-mailberichten. Cybercriminelen gebruiken verscheidene verleidelijke onderwerpregels om zo PC-gebruikers te verleiden de bijlagen in de berichten te openen, bijvoorbeeld "Scanned Image from a Xerox WorkCentre". Recent onderzoek toont ook aan dat cybercriminelen P2P netwerken en valse downloads gebruiken die gebundelde ransomware bevatten om zo CryptoDefense te verspreiden.
Bericht getoond in How_Decrypt.txt, How_Decrypt.html en How_Decrypt.url bestanden:
Alle bestanden waaronder video's, foto's en documenten op je computer werden versleuteld door de CryptoDefense Software. De versleuteling werd uitgevoerd door een unieke publieke sleutel RSA-2048 gegenereerd voor deze computer. Om de bestanden te ontsleutelen heb je een private sleutel nodig. De enige kopie van deze private sleutel die je zal toelaten de bestanden te ontsleutelen is opgeslagen op een geheime server op internet. De server zal de sleutel vernietigen na een maand. Daarna zal niemand nog in staat zijn de bestanden te herstellen. Om de bestanden te ontsleutelen open je persoonlijke pagina op de site hxxps://rj2bocejarqnpuhm.browsetor.com/UOs en volg de instructies.
Als hxxps://rj2bocejarqnpuhm.browsetor.com/UOs niet wil openen volg dan de onderstaande stappen:
1. Je moet deze browser downloaden en installeren: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Na installatie open je de browser voer je dit adres in: rj2bocejarqnpuhm.onion/UOs
3. Volg de instructies op de website. We herinneren je eraan dat hoe sneller je dit doet hoe meer kans je hebt je bestanden te kunnen ontsleutelen.
Schermafbeelding van een besmet e-mailbericht gebruikt voor de verspreiding van CryptoDefense:
Tekst die getoond wordt in de besmette e-mail berichten:
Van: Inkomende Fax
Onderwerp: Gescande afbeelding van een Xerox WorkCentreOpen aub het bijgevoegde document. Het werd gescand en naar u gezonden via een Xerox WorkCentre Pro.
Aantal afbeeldingen:3
Type bijlage: ZIP [PDF]WorkCentre Pro Locatie: Machine locatie niet ingesteld
Toestelnaam: IZ38F56PS2Bijgevoegde gescande afbeelding in PDF formaat.
Schermafbeelding van een pagina ter betaling van het losgeld:
Boodschap getoond op de pagina ter betaling van het losgeld:
Je bestanden zijn versleuteld. Om de sleutel te ontvangen voor het ontsleutelen van je bestanden zal je 500 USD/EUR moeten betalen. Als de betaling niet wordt uitgevoerd voor [datum - tijd] zal de prijs van het ontsleutelen verhoogd worden maal 2 en zal dan 1000 USD/EUR bedragen. We presenteren u een speciale software - CryptoDefense Decrypter - die toelaat deze bestanden te ontsleutelen. Hoe kan je CryptoDefense decrypter kopen?
1. Je zou een Bitcoin portefeuille moeten registreren
2. Bitcoins kopen - Hoewel het nog niet gemakkelijk is bit coins te kopen wordt dat wel elke dag eenvoudiger.
3. Zend 1.09 BTC naar Bitcoin addres: 1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1
4. Voer de Transactie ID in en selecteer het bedrag.
5. Controleer aub de betalingsinformatie en klik op "BETALEN".
Merk op dat op het moment dat we dit artikel schrijven er geen programma's bekend zijn die de bestanden die werden versleuteld door CryptoDefense konden ontsleutelen zonder het betalen van het losgeld. Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel updaten zodra er meer info is over het ontsleutelen van de getroffen bestanden.
CryptoDefense virus verwijdering:
Stap 1
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Stap 2
Log in op het account dat besmet is met het CryptoDefense Virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.
Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.
Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":
1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.
2. 2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.
3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.
4. In het geopende venster klik "Volgende".
5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).
6. In het geopende venster klik "Ja".
7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Cryptobit virus te elimineren.
Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de CryptoDefense ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.
Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.
Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.
Andere programma's waarvan geweten is dat ze de Cryptodefense ransomware kunnen verwijderen:
Bron: https://www.pcrisk.com/removal-guides/7733-cryptodefense-virus
Uitmuntend!
▼ Toon discussie