MISCHA Ransomware

Ook bekend als: MISCHA virus
Verspreiding: Laag
Schadeniveau: Ernstig

MISCHA ransomware verwijderingsinstructies

Wat is MISCHA?

Ontwikkeld door de makers van Petya is Mischa een andere ransomware die de computer van slachtoffers infiltreert en achteraf de bestanden versleuteld. Dit virus wordt verspreid via kwaadaardige e-mailbijlages die gewoonlijk verkleed worden als sollicitatieformulieren. De bestanden worden versleuteld met een assymetrisch algoritme, hierdoor worden twee sleutels gegenereerd tijdens de versleuteling, een publieke (voor het versleutelen) en een private (voor het ontsleutelen). Mischa voegt een extensie toe aan de namen van versleutelde bestanden, meestal één van deze extensies: .cRh8, .3P7m, .aRpt, .eQTz or.3RNu. Deze ransomware creëert ook .txt en .html bestanden (beide genaamd YOUR_FILES_ARE_ENCRYPTED) en plaatst deze in elke map die versleutelde bestanden bevat.

Beide txt en html bestanden bevatten exact hetzelfde bericht waarin gesteld wordt dat de slachtoffers enkel door het betalen van een losgeld hun versleutelde bestanden kunnen laten ontsleutelen. De vermelde private sleutel wordt opgeslagen op een server op afstand gecontroleerd door de cybercriminelen waardoor slachtoffers deze dus zogezegd moeten kopen. Onderzoeksresultaten tonen aan dat eens de gebruiker een besmette e-mailbijlage opent en beheersrechten geeft de Petya ransomware wordt geïnstalleerd. Als de gebruiker deze toestemming weigert te geven wordt de Mischa ransomware geïnstalleerd (die de computer van het slachtoffer volledig vergrendelt). Mischa gedraagt zich net als elke andere ransomware. Mischa vraagt een losgeld van 1.9404 Bitcoin (~$882.88). In vergelijking met andere virussen is dit een hoog losgeld, meestal varieert het tussen 0.5 en 1.5 Bitcoin. Jammer genoeg zijn er momenteel geen tools beschikbaar die bestanden versleuteld door deze ransomware kan ontsleutelen. Daardoor kunnen slachtoffers enkel hun systeem/bestanden herstellen uit een backup.

Schermafbeelding van een bericht waarin gebruiker worden aangemoedigd de ontwikkelaars van de MISCHA ransomware te contacteren om hun getroffen data te laten ontsleutelen:

MISCHA ontsleuteling instructies

Mischa lijkt sterk op Samsam, Locky, Cerber en tientallen andere virussen. Wees je ervan bewust dat elke ransomware ontworpen werd om de bestanden van de slachtoffers te versleutelen en om een losgeld te vragen. Het enige verschil tussen deze virussen is de grootte van het losgeld en het soort algoritme dat gebruikt wordt voor versleuteling. Niettemin bewijzen onderzoeksresultaten dat een grote meerderheid van de cybercriminelen de berichten van slachtoffers negeren nadat ze het losgeld ontvangen hebben. Betaling is dus geen garantie op het terugkrijgen van je bestanden. Om deze redenen zou je nooit mogen proberen de cybercriminelen te contacteren of het losgeld te betalen. Het is de moeite waard te vermelden dat bijna alle ransomware-virussen verspreid worden via peer to peer netwerken (bvb. Torrent), kwaadaardige e-mailbijlages, valse software updates en trojans. Daardoor moeten gebruikers erg oplettend zijn met het downloaden van bestanden uit bronnen van derden en het openen van bijlages verzonder uit onbekende of verdachte e-mailadressen. Daarnaast moeten gebruikers altijd hun software bijgewerkt houden. Legitieme antivirus en antispyware software is ook een must.

Schermafbeelding van YOUR_FILES_ARE_ENCRYPTED.txt bestand:

MISCHA creëert html bestand

Tekst getoond in dit bestand:

Je werd slachtoffer van de MISCHA RANSOMWARE!
De bestanden op je computer werden versleuteld met een encryptie van militaire kwaliteit.

Er is geen enkele manier om jet data te herstellen zonder een speciale sleutel. Je kan deze sleutel kopen op de darknet-pagina die we tonen in stap 2.
Om de sleutel te kopen en je data te herstellen volg deze drie eenvoudige stappen:
1. Download de Tor Browser op "hxxps://www.torproject.org/". Als je hulp nodig hebt, google dan "access onion page".
2. Bezoek één van de volgende pagina's met deTor Browser:
hxxp://mischapuk6hyrn72.onion/cSAH2A
hxxp://mischa5xyix2mrhd.onion/cSAH2A
3. Geef hier je persoonlijke ontcijferingscode:
dcSAH2A1hBYo7jv9mnsEd3JD9HN9wuxa73CoKaZRLQDLLCiFkB7MJfSpWAyD5QFbDef3ksUf7rttpD43BeJrMoyHL4908fD1

Janus Cybercrime geaffilieerde website (De cybercriminelen verantwoordelijk voor de ontwikkeling van Petya en MISCHA bieden nu ransomware 'as a service' aan):

Ransomware MISCHA partner Janus

Tekst getoond op deze pagina:

Profiteer van PETYA & MISCHA!
Hoge graad van besmetting:
PETYA wordt gebundeld met z'n kleine broertje MISCHA. Omdat Pety niet werkt zonder beheersrechten wordt Mischa gestart als die niet worden verkregen.
PETYA doet een low-level versleuteling van de schijf, een compleet nieuwe techniek in ransomware. MISCHA werkt als een traditionele op bestanden gebaseerde ransomware. Bewezen eerlijk.
Als professionele cybercriminelen weten we dat je niemand meer kan vertrouwen. Daarom hebben we een betalingssysteem ontwikkeld op basis van Multisig-adressen waardoor niemand (noch wij) van je kunnen stelen.
GRATIS CRYPTIONGDIENST
We leveren je FUD crypted binarys en dat 24/7. Niet nodig om rotte crypters te kopen of je geld te verspillen aan duurdere cryptingdiensten. Voor onze verspreiders met het hoogste volume leveren we een private stub. Dit betekent een nog stabielere besmettingsgraad.
EENVOUDIG BEHEER:
Administratief beheer live met de laatste besmettingen, het instellen van de losgeldprijs of het hercrypten van je binary kan gedaan worden via een eenvoudige en overzichtelijke webinterface. We hebben ook ook ervaren supportmedewerkers die je zullen helpen met elk probleem. Omdat dit project nog in beta is staan we open voor bugreports of feature-aanvragen.
BETALING DELEN
Jouw deel van de betaling wordt gegenereerd via volgende tabel. Hoe meer volume je in een week genereert des te groter word je winstaandeel. Vb. als je een volume van 125 BTC genereert dan krijg je 106.25 BTC betaald. Dat is momenteel 45,000 USD! Een volume over 100 BTC verkrijgen is met de juiste technieken niet moeilijk!

 MISCHA's website betalingssstappen:

MISCHA ransomware betaling stap 1 MISCHA ransomware betaling stap 3

Tekst getoond op deze pagina's:

Stap 1: Voer je persoonlijke identificatiecode in

Eerst moet je je persoonlijke identificatiecode ingeven. Deze code bevat belangrijke informatie over het ontsleutelingsproces. Het is belangrijk dat je ze exact ingeeft zoals getoond op de versleutelde computer. De code bevat een checksum zodat typefouten vermeden worden en een succesvolle versleuteling gegarandeerd is.

Je kan deze kopiëren uit de bestanden in de mappen met versleutelde bestanden.
Stap 3: Doe een bitcoin transactie
Nu moet je de gekochte Bitcoins naar het betalingsadres sturen. Als je je Bitcoins gekocht hebt op een beurs of marktplaats zoek dan naar de sectie "Uitbetalen" en voer onderstaande gegevens in. Als je al eigenaar bent van de Bitcoins stuur dan het juiste bedrag naar het onderstaande betalingsadres rechtstreeks vanuit je gebruikt wallet.
Als je problemen ondervindt met de transactie contacteer dan onze support.
Adres:
-
Vraag:
1.94040000 Bitcoins
Na betaling van de betalingstransactie moet je wachten tot we deze manueel bevestigen. Dit duurt gewoonlijk enkele uren, in zeldzame gevallen zal het meer tijd kosten. Vernieuw deze pagina om te kijken of je betaling bevestigd werd.

MISCHA's website FAQ:

MISCHA ransomware web FAQ

Tekst getoond op deze pagina:

FAQ - Frequent gestelde vragen:
Waarom wordt het besmettingsscherm getoond voor windows start?
Ons systeem gebruikt een sterke fysieke low-level encryptie die al je schijven en USB-datasystemen versleutelt. Windows herstelprogramma's of andere diagnostische programma's kunnen de data niet herstellen.

Wat gebeurt er als ik mijn computer opnieuw installeer?

Al je data zal vernietigd worden en je zal een nieuwe Windows-licentie moeten kopen. Niemand kan je data herstellen zonder je persoonlijke decryptie-sleutel.

Welke versleutelingsalgoritmes worden gebruikt? Het RSA (cryptosysteem) 4096 bit en Advanced Encryption Standard (AES) 256 worden gebruikt. Beide zijn erg veilig en kunnen niet aangevallen of gekraakt worden.
Wat kan ik doen?
Volg de decryptiewizard op deze pagina. Deze zal je helpen bij het maken van de betaling en het ontcijferen van je computer. In sommige gevallen zal je persoonlijke data op het darknet gepubliceerd worden als je niet betaalt!

MISCHA's web ondersteuning:

MISCHA ransomware web ondersteuning

Text getoond op deze pagina:

Als je problemen hebt met de betaling of het ontsleutelingsprices dan kan je ons een bericht sturen. Schrijf je bericht in het Engels, onze Russische medewerkers zijn niet altijd beschikbaar.

MISCHA ransomware verwijdering:

MISCHA virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Reimage is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van MISCHA virus. Download het door op de knop hieronder te klikken:
▼ DOWNLOAD Reimage De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Reimage. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanùceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstartinstellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met Mischa Ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Rackcrypt ransomware te elimineren. 

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Mischa ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan kan je  je computer opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Mischa ransomware kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als Mischa geblokkeerd worden.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Mischa ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/10020-mischa-ransomware