Locker Virus

Ook bekend als: Locker ransomware
Verspreiding: Laag
Schadeniveau: Ernstig

Locker ransomware verwijderingsinstructies

Wat is Locker?

Locker is een ransomware besmetting die de computers van gebruikers infiltreert via verscheidene bestanden gedownload van het internet - valse flash spelers, gekraakte versies van games (bijvoorbeeld TeamExtreme Minecraft). Na succesvolle infiltratie van de computer van het slachtoffer versleutelt deze malware alle bestanden van de gebruiker en vraagt een losgeld te betalen van 0.1 BTC (bitcoin) binnen de 72 uren om de versleutelde bestanden terug vrij te geven. Het losgeld wordt verhoogd tot 1.0 BTC wanneer het slachtoffer niet binnen de aangeduide tijdsspanne betaalt. De Locker ransomware versleutelt documenten (bijvoorbeeld .doc, .ppt, .docx) en afbeeldingsbestanden (.psd, raw, .jpg). Hoewel de crypto ransmoware niet nieuw is (en eerder wijde verspreid werd onder de namen cryptowall, ctb-locker, cryptolocker en vele andere) is deze variant toch uniek doordat cybercriminelen het instellen om te activeren op 00:00 25.05.2015 (lokale tijd), voor deze datum zouden slachtoffers zich zelfs niet bewust zijn dat de Locker ransomware aanwezig was op hun computers. Deze tactiek maakt het mogelijk voor cybercriminelen om hun kwaadaardige programma te verberegen voor antivirusmakers en malware-onderzoekers tot het laatste moment en dan een groot aantal slachtoffers te maken.

Zulk een verspreidingsmethode zorgt ervoor dat malware-onderzoek en antivirusdatabase-updates pas met oplossingen kunnen komen voor deze ransomware als de slachtoffers al hebben moeten betalen om hun bestanden terug te krijgen. Om het nog erger te maken verwijderen sommige varianten van de Locker ransomware ook de Schaduw Volume Kopieën van de bestanden van het slachtoffer om zo het herstellen van de bestanden onmogelijk te maken. De naam Locker ransomware verandert van versie, op het moment van onderzoek hadden cybercriminelen net versie v1.7, Locker V2.16, Locker v2.60, Locker v3.5.3, Locker v.3.49 en Locker V5.52, uitgegeven. De versienummers lijken willekeurig - het is niet duidelijk waarom de cybercriminelen beslisten hun slachtoffers allemaal andere nummers toe te kennen.

locker ransomware virus

Op het moment dat we dit artikel schreven waren er nog geen hulpmiddelen beschikbaar die de versleutelde bestanden konden ontsleutelen - het gebruiken van deze verwijderingsgids zal je helpen de Locker ransomware te elimineren maar de getroffen bestanden zullen versleuteld blijven. Voor het verwijderen van de Locker ransomware is het aanbevolen een backup te maken van je versleutelde bestanden en de inhoud van %PROGRAMDATA%\Digger, %PROGRAMDATA%\rkcl, %PROGRAMDATA%\tor, %PROGRAMDATA%\steg mappen. Je zou ook het unieke bitcoin wallet adres uit de Locker ransomware Betalings -tab moeten kopiëren of noteren. Deze informatie zou nuttig kunnen zijn als de malware onderzoekers een hulpmiddel zouden ontdekken om de bestanden versleuteld door de Locker ransomware te ontsleutelen. Ransowmare besmettingen zoals Locker vormen een goed argument om regelmatig backups te maken van je opgeslagen data.

Merk op dat het betalen van losgeld gelijkstaat met het sturen van je geld naar cybercriminelen - je zal hun kwaadaardige bedrijfsmodel ondersteunen en er is geen garantie dat de bestanden ooit ontsleuteld zullen raken. Om kwaadaardige computerbesmettingen zoals deze te vermijden zou je goed moeten opletten met het openen van e-mailberichten, het downloaden van bestanden vanaf P2P netwerken enz. Gebruik altijd legitieme antivirus en antimalware programma's.

Locker ‘Informatie’ tab:

locker virus informatie tab

Tekst getoond in de Informatie tab:

Al je persoonlijke bestanden op deze computer werden versleuteld door Locker. De versleuteling gebeurde met professionele software en je bestanden zoals: foto's, video's en cryptomunt portefeuilles werden niet beschadigd maar zijn slechts niet meer leesbaar momenteel. Je kan de complete lijst met versleutelde bestanden zien via de bestandstab. De versleutelde bestanden kunnen enkel ontgrendeld worden met een unieke 2048-bit RSA private sleutel die veilig opgeslagen wordt op onze server tot [DATUM]. Als de sleutel niet verkregen wordt voor dat moment zal deze vernietigd worden en zal je nooit je bestanden nog kunnen openen. Je private sleutel verkrijgen is gemakkelijk en kan via de betalingstab en het maken van een kleine betaling van 0.1 BTC op het portefeuille-adres dat werd gemaakt voor je. Als de betaling bevestigd wordt dan zal de ontgrendelingssleutel naar je computer gestuurd worden en zal de Locker software automatisch met de ontsleuteling beginnen. We hebben er absoluut geen belang bij je bestanden voor eeuwig versleuteld te houden. Je kan je computer veilig blijven gebruiken, nieuwe bestanden zullen niet worden versleuteld en geen malware zal geïnstalleerd worden. Wanneer de bestanden ontsleuteld zijn zal Locker zichzelf automatisch deïnstalleren.

Locker ‘Betalings’ tab:

locker virus betalingstab

Tekst getoond in de Betalingstab:

Bitcoins is een anonieme online betalingswijze, voor meer info zie bitcoin.com. Om je ontgrendelingssleutel te verkrijgen moet je 0.1 BTC naar het bitcoinadres hieronder sturen. We bevelen aan de bitcoins direct vanuit je portefeuille te versturen en ze niet op te slagen in een lokale portefeuille want die worden versleuteld door Locker. Bevestiging van de betaling duurt gewoonlijk één uur. Eens we de betaling ontvangen hebben dan zal de ontgrendelingssleutel automatis naar de Locker software gestuurd worden en zal het ontgrendelingsproces beginnen. Waarschuwing: elke poging om de Locker software te verwijderen of te beschadigen zal leiden tot de onmiddelijke vernietiging van je private sleutel op onze server!

Merk op dat er op het moment van schrijven geen manieren bestonden om je bestanden te ontsleutelen vanuit BytCryptor zonder het losgeld te betalen (probeer evtl je bestanden te herstellen vanuit Schaduwkopieën). Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de bestanden zullen versleuteld blijven. We zullen dit artikel bijwerken zodra er meer informatie is over het ontsleutelen van de getroffen bestanden.

Locker ransomware verwijdering:

Locker ransomware onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van Locker ransomware. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met Locker. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het BitCryptor te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de BitCryptor ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je  je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Locker kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma te gebruiken kan je hier vinden.

shadow explorer schermafbeelding

 Om je computer tegen ransomware die bestanden versleutelt, zoals deze, te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als Locker geblokkeerd worden.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch zonder dat de gebruiker moet ingrijpen:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Locker ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/9037-locker-virus