'Je persoonlijke bestanden werden versleuteld' Virus

Ook bekend als: Critroni ransomware of Critroni.A
Verspreiding: Laag
Schadeniveau: Ernstig

'Je persoonlijke bestanden werden versleuteld' virus verwijderingsinstructies

Wat is 'Je persoonlijke bestanden werden versleuteld' (Critroni ransomware)?

Het Critroni ransomware virus infiltreert de besturingssystemen van gebruikers via besmette e-mailberichten en valse downloads (bijvoorbeeld frauduleuze videospelers of valse Flash updates). Na succesvolle infiltratie versleutelt dit kwaadaardige programma bestanden die opgeslagen staan op computers (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, enz.) en vraagt 300$ losgeld te betalen (in Bitcoins) om deze te ontsleutelen (versleutelde documenten krijgen een .ctbl bestandsextensie). De cybercriminelen die verantwoordelijk zijn voor dit frauduleuze programma zorgen ervoor dat het op alle versies van het Windows besturingssysteem  werkt (Windows XP, Windows Vista, Windows 7 en Windows 8). De Critroni ransomware creëert AllFilesAreLocked.bmp DecryptAllFiles.txt en [seven random letters].html files binnen elke folder die versleutelde bestanden bevat.

Deze bestanden bevatten instructies over hoe gebruikers hun bestanden kunnen ontsleutelen en over het gebruik van de Tor browser (een anonieme web browser). Cybercriminelen gebruiken Tor om hun identiteit te verbergen. PC-gebruikers zouden zich ervan bewust moeten zijn dat hoewel de besmetting zelf niet moeilijk te verwijderen is, het ontsleuten van de bestanden (versleuteld met RSA 2048 encryption) die zijn getroffen door dit kwaadaardige programma onmogelijk is zonder het losgeld te betalen. Op het moment van onderzoek waren er geen hulpmiddelen of oplossingen beschikbaar om de bestanden die versleuteld werden door Critroni te ontsleutelen. Merk op dat de private sleutel die nodig is voor het ontsleutelen van de bestanden opgeslagen staat op de Critroni command-and-control servers, die worden beheerd door cybercriminelen. Daarom is de beste oplossing het verwijderen van dit ransomware virus en je data te herstellen vanaf een backup..

Je persoonlijke bestanden werden versleuteld (citroni) ransomware

Ransomware besmettingen zoals Critroni (waaronder CryptoWall, CryptoDefense, CryptorBit en Cryptolocker) vormen een goed argument om regelmatig backups van je opgeslagen data te maken. Merk op dat het betalen van het gevraagde losgeld gelijk staat aan geld sturen naar cyber criminelen. Je zal hun kwaadaardige business model ermee steunen en er is geen garantie dat je bestanden ooit zullen ontsleuteld worden. Om computer besmettingen met ransomware zoals deze te voorkomen wees je best erg voorzichtig met het openen van e-mailberichten want cyber criminelen gebruiken verscheidene aanlokkelijke onderwerpregels om PC gebruikers te misleiden en hen de e-mailbijlagen te laten openen (bijvoorbeeld "UPS Exception Notification" of "FedEx Delivery Failure Notification").

Onderzoek toont aan dat cyber criminelen ook P2P netwerken en valse downloads gebruiken om ransomware te bundelen en zo Critroni te verspreiden. Momenteel wordt de "Je persoonlijke bestanden werden versleuteld" ransomware dreiging geleverd in het Engels en het Russisch en de landen waar deze talen gesproken worden staan dan ook bovenaan in de lijst landen waar de cyber criminelen zich op richten om deze malware te verspreiden.

Bericht dat wordt getoond in de AllFilesAreLocked.bmp DecryptAllFiles.txt en [7 random letters].html bestanden:

Je documenten, foto's, databases en andere belangrijke bestanden werden versleuteld met een erg sterke encryptie en een unieke sleutel die werd gemaakt voor deze computer. Een private ontsleutelingssleutel werd opgeslagen op een geheime internet server en niemand kan je bestanden ontsleutelen tot je betaalt en de private sleutel bekomt. Als je het hoofdscherm ziet met de kluis volg dan de instructies daarop. Indien niet lijkt het erop dat jij of je antivirus het versleutelingsprogramma verwijderd hebt. Dit is je laatste kans om de bestanden te ontsleutelen.

1. Typ volgend adres over in je internet browser: http://torproject.org
   Het opent de Tor site.

2. Klik op 'Download Tor', en dan op 'DOWNLOAD Tor Browser Bundle',
   installeer het en voer het uit.

3. Nu heb je de Tor Browser. In het Tor Browser open je hxxp://zaxseiufetlkwpeu.onion
   Merk op dat deze server enkel via de Tor Browser bereikbaar is.
   Probeer binnen het uur opnieuw als de site niet bereikbaar is.

4. Kopieer en kleef de volgende publieke sleutel in het formulier op de server en zorg ervoor dat je hierbij geen fouten maakt.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Follow the instructions on the server.

Schermafbeelding van een besmet email bericht gebruikt in de 'Je persoonlijke bestanden werden versleuteld' ransomware verspreiding:

Your personal files are encrypted (citroni) ransomware distribution using spam emails

Tekst getoond in de besmette e-mailberichten:

Onderwerp: UPS notificatie
Van: United Parcel Service (0511notify (at) ups.com)

 Beste klant,

 

   Dit is een mail ter opvolging van de levering van een pakket (volgnummer 0p2uYq5RIho). Het pakket uit de hierbovenvermelde zending werd niet geaccepteerd op het afleveradres. Contacteer aub je lokale UPS kantoor en print de afleveringssticker uit die je kan vinden in de bijlage van deze e-mail. Merk op dat in het geval je je lokale UPS kantoor niet contacteert het pakket binnen de 21 dagen teug naar de afzender zal gestuurd worden.

 

Blij je van dienst te zijn,

 

 

    UPS.com

    This is automatically generated delivery status email, please do to reply to it.

Schermafbeelding van het AllFilesAreLocked.bmp bestand:

citroni allfilesarelocked bmp

Schermafbeelding van het DecryptAllFiles.txt bestand:

citroni decryptallfiles txt

Schermafbeelding van het [seven random letters].html bestand:

citroni decrypt html file

'Je persoonlijke bestanden werden versleuteld' ransomware betalingspagina:

citroni ransomware payment page

 Bericht dat wordt getoond op de 'Je persoonlijke bestanden werden versleuteld' ransomware betalingspagina:

Betaling nodig.
Server accepteert enkel betalingen in Bitcoin (BTC).
1. Betaal een bedrag van 0.2 BTC (about of 24 USD) op het volgende adres - Bitcoin wallet address.
2. Transactie zal na 15-30 minutes bevestigd worden.
Ontsleuteling zal automatisch starten. Sluit je computer niet af, voer geen antivrusprogramma's uit, schakel je internet verbinding niet uit. Je hier niet aan houden tijdens het ontsleutelen kan leiden tot schade aan je bestanden. Als je geen Bitcoins hebt klik dan op 'Omwisselen'.

Critroni valuta wissel pagina:

citroni ransomware exchange currency to bitcoins page

Opmerking: op het moment van schrijven waren er geen bekende hulpmiddelen beschikbaar om de bestanden versleuteld door Critroni te ontsleutelen zonder het losgeld te betalen. Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer info beschikbaar is over hoe de getroffen bestanden te ontsleutelen.

Critroni virus verwijdering:

Critroni ransomware of Critroni.A onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van Critroni ransomware of Critroni.A. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop.  In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met het Critroni Virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Critroni virus te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Critroni ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Restoring files encrypted by CryptoDefense

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Andere programma's waarvan geweten is dat ze de Critroni ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus