FacebookTwitterLinkedIn

CryptoWall Virus

Ook bekend als: CryptoWall ransomware
Schadeniveau: Medium

CryptoWall virus verwijderingsinstructies

Wat is CryptoWall?

CryptoWall is een ransomware virus dat het besturingssysteem van gebruiker infiltreert via besmette e-mailberichten en valse downloads, bijvoorbeeld frauduleuze videospelers of valse flash updates. Na succesvolle infiltratie versleutelt dit kwaadaardige programma bestanden die opgeslagen zijn op de computer van de gebruiker (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, enz.) en het vraagt om een losgeld te betalen van $500 (in Bitcoins) om deze bestanden te ontsleutelen. De cybercriminelen die verantwoordelijk zijn voor het ontwikkelen van dit frauduleuze programma hebben ervoor gezorgd dat het werkt op alle versies van Windows (Windows XP, Windows Vista, Windows 7 en Windows 8). De CryptoWall ransomware creëert de bestanden DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en DECRYPT_INSTRUCTION.url in elke map die versleutelde bestanden bevat.

Deze bestanden bevatten instructies over hoe gebruikers hun bestanden kunnen ontsleutelen. Die instructies omvatten het gebruik van de Tor browser (een anonieme web browser). Cybercriminelen gebruiken Tor om hun identiteit verborgen te houden. PC gebruikers zouden moeten weten dat alhoewel het niet moeilijk is de besmetting zelf te verwijderen, het ontsleutelen van de bestanden (die versleuteld werden met de RSA 2048 versleuteling) die getroffen werden door dit kwaadaardige programma onmogelijk is zonder het betalen van het losgeld. Op het moment van onderzoek waren er geen programma's of hulpmiddelen beschikbaar om de bestanden die versleuteld werden door CryptoWall te ontsleutelen. Merk op dat de private sleutel die kan gebruikt worden om de bestanden te ontsleutelen opgeslagen staat op de CryptoWall command-and-control servers die beheerd worden door cybercriminelen. De ideale oplossing zou zijn het ransomware virus te verwijderen en vervolgens je data te herstellen vanaf een backup.

Schermafbeelding van een bericht dat getoond wordt in DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en de DECRYPT_INSTRUCTION.url bestanden:

cryptowall decrypt instructies

Ransomware besmettingen zoals CryptoWall (bijvoorbeeld CryptoDefense, CryptorBit en Cryptolocker) zouden een goede reden moeten zijn om steeds een backup te maken van je opgeslagen data. Merk op dat het betalen van het losgeld dat door deze ransomware gevraagd wordt gelijk staat aan het sturen van geld naar cybercriminelen. Op die manier zou je hun kwaadaardige zakenmodel steunen en er zijn bovendien geen garanties dat de bestanden ooit ontsleuteld zullen worden. Om te vermijden dat je computer besmet raakt met zulke ransomware besmettingen zouden gebruikers erg voorzichtig moeten zijn met het openen van e-mailberichten. Cybercriminelen gebruiken aanlokkelijke onderwerpregels om PC gebruikers te verleiden de besmette bijlages van deze e-mails te openen, zoals bijvoorbeeld "UPS Uitzondering Notificatie". Recent onderzoek toont ook aan dat cybercriminelen P2P-netwerken en valse downloads gebruiken die gebundeld worden met ransomware om zo CryptoWall te verspreiden

Boodschap die getoond wordt in de DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en DECRYPT_INSTRUCTION.url bestanden:

Wat is er met je bestanden gebeurd?

 

Al je bestanden werden beschermd met een sterke versleuteling met RSA-2048 via CryptoWall. Meer informatie over de encryptie-sleutels die RSA-2048 gebruiken kan je hier vinden: en.wikipedia.org/wiki/RSA_(crypto system)

 

Wat betekent dit?

 

Dit betekent dat de structuur en data in deze bestanden onherroepelijk gewijzigd werden. Je zal er niet meer mee kunnen werken, ze kunnen lezen of zien. Het is hetzelfde als ze voor altijd kwijt zijn maar met onze hulp kan je ze herstellen.

 

Hoe kon dit gebeuren?

 

Speciaal voor jou genereerde onze server een geheim sleutelpaar RSA-2048 - publiek en privaat. Al je bestanden werden versleuteld met de publieke sleutel die verzonden werd naar je computer via het internet. Het ontsleutelen van je bestanden is enkel mogelijk met de hulp van de private sleutel en het ontsleutelingsprogramma dat zich op onze geheime server bevindt.

 

Wat moet ik doen?

 

Helaas, als je niet de nodige stappen zet binnen de opgegeven tijd dan zullen de voorwaarden voor het bekomen van de private sleutel gewijzigd worden. Als je waarde hecht aan je data dan suggereren we je tijd niet te verliezen met het zoeken naar oplossingen want deze bestaan niet. Voor meer specifieke instructies bezoek je je persoonlijke pagina die je kan bereiken via de onderstaande adressen:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Als deze adressen niet bereikbaar zijn volg dan deze stappen:

 

1. Download en installeer de tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Na succesvolle installatie open je de browser en wacht je tot deze is opgestart.
3. Typ in de adresbalk: kpai7ycr7jxqkilp.onion/3koe
4. Volg de instructies op de site.

Schermafbeelding van een besmet e-mailbericht dat gebruikt wordt om CryptoWall te verspreiden:

cryptowall verspreiding via UPS spam emails

Tekst die getoond wordt in de besmette e-mailberichten:

Van: UPS Quantum View [auto-notify (at) ups.com]
Onderwerp: UPS Uitzondering Notificatie, Tracking Nummer 1Z522A9A6892487822

Ontdek meer over UPS: Bezoek ups.com
Op verzoek van de verzender laten we je weten dat de aflevering van het volgende pakket opnieuw werd ingepland.

Belangrijke afleveringsinformatie

Tracking Nummer: 1Z522A9A6892487822
Nieuwe afleverdatum: 14-April-2014
Reden van de uitzondering: De klant was niet aanwezig op de eerste poging tot afleveren. Een tweede poging zal ondernomen worden op de volgende werkdag.
Detail van de verzending: 1Z522A9A6892487822

Schermafbeelding van de pagina ter betaling van het CryptoWall losgeld:

cryptowall website captcha protection

cryptowall decrypt page

 Boodschap die getoond wordt op de CryptoWall pagina ter betaling van het losgeld:

Ontsleutelingsdienst
Je bestanden werden versleuteld.
Om de sleutel te verkrijgen zodat je je bestanden kan ontsleutelen moet je 500 USD/EUR betalen. Als de betaling niet wordt uitgevoerd voor [datum] dan zal de prijs voor het ontsleutelen van de bestanden 2 maal verhoogd worden en 1000 USD/EUR per dag bedragen. Tijd vooraleer het bedrag verhoogd wordt: [timer die aftelt]

 

We presenteren je een speciale software - CryptoWall Decrypter - die toelaat de bestanden te ontsleutelen en je de controle over je versleutelde bestanden terug te geven. Hoe kan je de CryptoWall decrypter kopen?

 

1. Je moet een Bitcoin portefeuille registreren
2. Bitcoins kopen - hoewel het niet gemakkelijk is bit coins te kopen wordt dit elke dag eenvoudiger.
3. Zend 1.22 BTC naar het volgende Bitcoin adres: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Voer het transactie ID in en selecteer het bedrag.
5. Controleer de betalingsinformatie en klik op "Betalen".

Merk op dat op het moment dat we dit artikel schreven er geen hulpmiddelen bestonden die de bestanden versleuteld door CryptoWall konden ontsleutelen zonder het losgeld te betalen. Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel aanpassen zodra er meer info is over het ontsleutelen van de getroffen bestanden.

CryptoWall virus verwijdering:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige modus met netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige modus met netwerk

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met het CryptoDefense Virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

 

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Start je computer in Veilige modus met Commando Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

Systeemherstel via commando prompt typ cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

Systeemherstel via commando prompt rstrui.exe

4. In het geopende venster klik "Volgende".

Herstel systeembestanden en instellingen

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

Selecteer een herstelpunt

6. In het geopende venster klik "Ja".

Voer systeemherstel uit

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het CryptoWall virus te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de CryptoWall ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Herstel bestanden versleuteld door CryptoWall

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Andere programma's waarvan geweten is dat ze de CryptoWall ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

QR Code
CryptoWall ransomware QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van CryptoWall ransomware op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.