GoldenEye Ransomware

Ook bekend als: GoldenEye virus
Verspreiding: Laag
Schadeniveau: <strong>Ernstig</strong>

Beschrijving Verwijdering Preventie

GoldenEye ransomware verwijderingsinstructions

Wat is GoldenEye?

GoldenEye is een combinatie van de Petya en MISCHA virussen van het ransomware-type. Net zoals Petya en MISCHA wordt ook GoldenEye verspreid als een spambericht. De mail bevat een valse jobaanbieding in het Duits en twee bestanden in bijlage. Eén is een valse CV, de andere een kwaadaardig MS Excel bestand. Als het Excel-bestand wordt geopend vraagt een pop-up of macro's mogen ingeschakeld worden. Als de gebruiker hierin toestemt wordt een uitvoerbaar bestand geladen door het Excel-bestand en wordt de ransomware geïnstalleerd.

Het verschil tussen MISCHA en Petya is dat MISCHA enkel bepaalde bestanden versleutelt terwijl Petya de harde schijf zelf versleutelt (waardoor de computer niet langer kan gebruikt worden). GoldenEye doet beide. Pety ransomware werd ontworpen om het systeem te infiltreren en poogt het MBR (Master Boot Record) van he systeem te overschrijven. Hiervoor heeft Petya beheersrechten nodig. Als de gebruiker deze weigert dan wordt de versleuteling gestopt. Als de rechten wel gegeven worden dan wijzigt Petya het MBR met een custom boot loader. Petya start de computer automatisch opnieuw op, het vertoont een vals check disk (CHKDSK) scrherm en versleutelt op de achtergrond de harde schijf. Dan vertoont het een bericht met de vraag om losgeld in ASCII Text Art. Het bericht wordt tijdelijk vertoond wanneer de computer wordt opgestart. MISCHA probeert niet het MBR te wijzigen maar juist enkel een aantal bestanden te versleutelen. Dit gedrag is erg gebruikelijk bij ransomware-virussen. GoldenEye voert de acties uit in omgekeerde volgorde. Het versleutelt data en probeert vervolgens het MBR te wijzigen. Zo wordt het slachtoffers onmogelijk gemaakt de versleuteling te stoppen door de rechten te weigeren. Volgend op een succesvolle versleuteling toont GoldenEye ook een gelijkaardig bericht met de vraag om losgeld. Bijkomend creëert GoldenEye een tekstbestand ("YOUR_FILES_ARE_ENCRYPTED.txt" met daarin een identiek bericht) en plaatst dit in bepaalde mappen (zoals het Bureaublad, Mijn Documenten enz.). Verder voegt GoldenEye aan elk versleuteld bestand 8 tekens toe in de naam (zo wordt "sample.jpg" bv. willekeurig hernoemd naar "sample.jpg.g8k3jmol"). Het bericht met de vraag om losgeld specifieert een bedrag van 1.31034193 Bitcoins (ongeveer $1000) voor de ontsleuteling. Om de betaling te verzenden moeten slachtoffers de opgegeven instructies versturen naar GoldenEye's Tor website (de opgegeven link in het losgeldbericht). Merk op dat betalen niet automatisch leidt tot het ontsleutelen van de bestanden. Onderzoek bewijst dat cybercriminelen hun slachtoffers vaak negeren zelfs nadat die betalen. Je zou dus nooit mogen pogen contact op te nemen met deze mensen of het losgeld betalen. Er zijn geen tools beschikbaar die de bestanden versleuteld door GoldenEye kunnen ontsleutelen. Onderzoekers hebben echter wel een tool ontworpen die de bestanden versleuteld door Petya kan ontcijferen. Als de situatie niet zou veranderen dan kunnen gebruikers best hun probleem oplossen door het herstellen van hun bestanden uit een backup. Als GoldenEye ook het MBR gewijzigd heeft dan zal een herstel uit backup onmogelijk zijn.

Scrhermafbeelding van een doodshoofd (getekend met ASCII Text Art) dat getoond wordt na de versleuteling:

GoldenEye decryptie instructies

Er bestaan honderden virussen van het ransomware-type. Voorbeelden zijn onder andere Dharma, CTB-Locker, *.osiris, ASN1, Cerber en vele andere. Ze versleutelen allemaal bestanden en vragen vervolgens om losgeld. Er zijn slechts twee belangrijke verschillen. 1) grootte van het losgeld en 2) het gebruikte versleutelingsalgoritme (symmetrisch/assymetrisch). Onderzoek bewijst ook dat deze virussen vaak verspreid worden via spamberichten (kwaadaardige bijlages), peer-to-peer netwerken (en andere externe downloadbronnen zoals freeware websites, bestandshosting-sites enz.), onofficiële downloadbronnen en trojans. Om deze redenen moet je oplettend zijn met het openen van bestanden ontvangen vanaf verdacht mailadressen en met het downloaden van software uit officieuze bronnen. Cybercriminelen zijn in staat om softwarefouten op te sporen en te misbruiken. Hou dus je geïnstalleerde applicaties bijgewerkt en gebruik nooit updaters van derden. Ook het gebruik van legitieme antispyware en antivirussoftware is essentieel.

GoldenEye ransomware vraagt beheersrechten:

GoldenEye vraagt beheersrechten vb. 1 GoldenEye vraagt beheersrechten (voorbeeld 2)

Scrhermafbeelding van het GoldenEye tekstbestand (YOUR_FILES_ARE_ENCRYPTED.txt):

GoldenEye tekstbestand

Tekst getoond in het GoldenEye tekstbestand:

Je werd slachtoffer van de GOLDENEYE RANSOMWARE!

De bestanden op je computer werden vergrendeld met een versleutelingsalgoritme van militaire kwaliteit. Er is geen manier om je data te herstellen zonder speciale sleutel. Je kan deze sleutel op de darknet-pagina getoond in stap 2 aankopen.

Om je sleutel te kopen en je data te herstellen, gelieve deze drie eenvoudige stappen te volgen:

1. Download de Tor Browser op "hxxps://www.torproject.org/". Als je hulp nodig hebt, google dan "onion pagina's bezoeken".

2. Bezoek één van deze pagina's met de Tor Browser: hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Voer hier je persoonlijke decryptiecode in: oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Schermafbeelding van een foutbericht dat wordt getoond voor het herstarten van de computer:

GoldenEye valse foutmelding

Valse CHKDSK die wordt getoond tijdens de versleuteling:

GoldenEye valse checkdisk taak

Tekst op dit scherm:

Bestandssysteem C: wordt hersteld

Het bestandssysteem is van het type NTFS

Eén van je schijven vertoont een fout en moet hersteld worden. Dit kan enkele uren duren. Het is aanbevolen het herstelproces te laten voltooien.

SLUIT JE COMPUTER NIET AF! DIT PROCES AFBREKEN KAN LEIDEN TOT HET VERNIETIGEN VAN AL JE DATA! ZORG ERVOOR DAT DE STROOMKABEL AANGEKOPPELD IS! 

CHKDSK HERSTELT SECTOR - of -

Schermafbeelding na de versleuteming:

GoldenEye scherm na versleuteling

GoldenEye's boodschap met de vraag om losgeld:

GoldenEye's vraag om losgeld

Tekst getoond in dit scherm:

Je werd slachtoffer van de GOLDENEYE RANSOMWARE!

De bestanden op je computer werden vergrendeld met een versleutelingsalgoritme van militaire kwaliteit. Er is geen manier om je data te herstellen zonder speciale sleutel. Je kan deze sleutel op de darknet-pagina getoond in stap 2 aankopen.

Om je sleutel te kopen en je data te herstellen, gelieve deze drie eenvoudige stappen te volgen:

1. Download de Tor Browser op "hxxps://www.torproject.org/". Als je hulp nodig hebt, google dan "onion pagina's bezoeken".

2. Bezoek één van deze pagina's met de Tor Browser: hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Voer hier je persoonlijke decryptiecode in: -

Als je reeds een sleutel kocht, geef deze dan hieronder in.

Scrhermafbeelding van de GoldenEye website (Betaling Stap 1):

GoldenEye website (Betaling stap 1)

Tekst getoond op deze pagina:

Stap 1: Voer je persoonlijke ID in

Eerst moet je je persoonlijke identificatiecode invoeren. Deze code bevat belangrijke informatie voor het ontsleutelingsproces. Het is belangrijk dat je ze exact invoert zoals getoond op de versleutelde computer. De code bevat een checksum die typfouten voorkomt en een succesvolle ontsleuteling mogelijk maakt.

De persoonlijke ID telt 96 tekens en je vindt deze terug in de bestanden genaamd "YOUR_FILES_ARE_ENCRYPTED.TXT", de ransomware maakte deze aan op verschillende locaties (bv. bureaublad, documenten) op deze computer.

Scrhermafbeelding van de GoldenEye website (Betaling - Stap 2):

GoldenEye website (Betaling stap 2)

Tekst getoond op deze pagina:

Stap 2: Bitcoins aankopen

Je decryptiesleutel kun je enkel kopen met Bitcoins. Bitcoin is een digitale munteenheid die je kunt omruilen tegen gelijk welke normale munteenheid. Er zijn verschillende wisseplatformen te vinden op internet, meestal gespecialiseerd in één enkele munteenheid. Kopen van bitcoins is eenvoudig en het wordt steeds makkelijker.

Je moet het onderstaande bedrag kopen om succesvol te kunnen betalen. Voeg iets extra toe om zeker te zijn, 2% is meestal voldoende. Als je al bitcoins bezit kun je deze stap overslaan.
Eis: 1.31034193 Bitcoins
Deze wisselmarkten zijn aanbevolen
http://www.bitcoin.de - SNELLE overboekingen!
http://www.btcdirect.eu - Sofort Banking, Giropay, Bank Wire, Mastercard en Visa
http://www.localbitcoins.com - Bank Wire and Cash
http://www.coincafe.com - Direct in NYC, Bank Wire en Mail Cash, Bank Wire en Credit Card
Je hebt niet echt een Bitcoin-Wallet nodig, je kunt het aangekochte bedrag meteen naar het betalingsadres versturen. Als je het juiste aantal Bitcoins kocht en verzond klik je op 'Volgende' voor de volgende stap.

Scrhermafbeelding van GoldenEye website (Betaling - Stap 3):

GoldenEye website (Betaling stap 3)

Tekst getoond op deze pagina:

Stap 3: Voer een bitcoin-transactie uit

Nu moet je de Bitcoins die je kocht naar het betalingsadres verzenden. Als je je Bitcoins op een marktplaats kocht of een wisselbeurs zoek dan of je een 'Withdraw'-knop ziet en voer daarop de gegevens in. Als je reeds Bitcoins bezit dan stuur je het juiste bedrag naar het hieronder gegenereerde adres, rechtstreeks uit je gebruikte wallet.

Als je problemen hebt met de transactie, contacteer dan onze Support.

Address: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ
Eis: 1.31034193 Bitcoins
Na de betalingstransactie moet je op onze handmatige bevestiging wachten. Meestal gebeurt dit binnen enkele uren. Soms kan het ook iets langer duren. Vernieuw deze pagina regelmatig om te kijken of de betaling werd bevestigd.

Scrhermafbeelding van de GoldenEye website (FAQ):

GoldenEye website (FAQ)

Schermafbeelding van de GoldenEye website (Support):

GoldenEye website (Support)

Schermafbeelding van bestanden versleuteld door GoldenEye (".[8_willekeurige_tekens]" extensie):

GoldenEye decryptie-instructies

GoldenEye ransomware verwijdering:

Snelmenu: Snelle oplossing om GoldenEye virus te verwijderen

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanùceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstartinstellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met *.aesir Ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.


DOWNLOAD
GoldenEye virus opruimer

Met het downloaden van software gepubliceerd op deze website verklaart U zich akkoord met ons privacy beleid en de algemene gebruiksvoorwaarden. SpyHunter’s gratis scanner is bedoeld om malware te kunnen detecteren. Om de gevonden besmettingen te verwijderen zal je een volledige versie van dit product moeten kopen. Meer informatie over SpyHunter. Als je SpyHunter wil verwijderen, volg dan deze instructies. Alle door ons aanbevolen producten zijn zorgvuldig getest en goedgekeurd door onze technisch deskundigen als zijnde een van de meest efficiënte manieren om deze bedreiging te verwijderen.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik "Volgende".

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik "Ja".

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het Rackcrypt ransomware te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de *.aesir ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan kan je je computer opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met *.aesir ransomware kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als *.aesir geblokkeerd worden.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools die GoldenEye ransomware kunnen verwijderen:

Onze malware verwijderingsgidsen zijn gratis. Maar als je ons wil steunen mag je ons altijd een donatie sturen.