BlackRuby ransomware

Ook bekend als: BlackRuby virus
Verspreiding: Laag
Schadeniveau: Ernstig

BlackRuby ransomware verwijderingsinstructies

Wat is BlackRuby?

BlackRuby is een virus van het ransomware-type dat eerst ontdekt werd door MalwareHunterTeam. Onmiddellijk na de infiltratie versleutelt BlackRuby de meeste bewaarde bestanden en voegt er een "ENCRYPTED_[willekeurige_tekens_en_cijfers].BlackRuby" -patroon aan toe. Zo wordt bijvoorbeeld, "1.jpg" hernoemd naar "Encrypted_zIX2dFXFt9qNfifBu1mqkNVYTX79ZS48TWWU5BRm3Q.BlackRuby". Vanaf dan worden de bestanden onbruikbaar en kunnen gebruikers ze dus ook niet langer herkennen. Na een succesvolle versleuteling maakt BlackRuby een tekstbestand ("how-to-decrypt-files.txt") en plaatst het een kopie in elke bestaande map.

BlackRuby heeft een aantal interessante functies die ongebruikelijk zijn voor de meeste virussen van het ransomware-type. Eerst wordt het IP-adres van het slachtoffer gecontroleerd om zo de locatie te bepalen. Als de locatie Iran is, worden de bestanden niet gecodeerd. Bovendien infiltreert BlackRuby een XMRig-tool die wordt gebruikt om systeembronnen te exploiteren voor het minen van cryptocurrency (Monero), lees daar hier meer over. De systeemprestaties worden daardoor aanzienlijk verstoord. Het nieuwe tekstbestand informeert slachtoffers over de versleuteling en geeft verdere instructies over het herstellen van de bestanden. Er wordt gemeld dat voor decodering een unieke sleutel nodig is - helaas klopt dit. Hoewel het momenteel onbekend is of BlackRuby symmetrische of asymmetrische cryptografie gebruikt, is het decoderen van bestanden zonder de unieke sleutel onmogelijk. Criminelen verbergen deze sleutels op een externe server en daarom moeten slachtoffers voor het ontvangen ervan een losgeld van $650 betalen in Bitcoin. Bovendien negeren ontwikkelaars van ransomware hun slachtoffers vaak nadat het losgeld is betaald. Daarom levert betalen meestal geen positief resultaat op en dus worden gebruikers opgelicht. Ze verliezen niet enkel hun geld, ze ondersteunen enkel kwaadwillende cybercriminelen. Neem dus nooit contact op met deze mensen en betaal geen losgeld. Helaas zijn er geen tools die bestandsencryptie door BlackRuby ransomware ongedaan kunnen maken. Je mag je bestanden en je systeem dan ook alleen herstellen vanaf een back-up.

Screenshot van een bericht waarin gebruikers worden aangemoedigd om losgeld te betalen voor het ontsleutelen van hun data:

BlackRuby decryptie-instructies

Deze malware is virtueel identiek aan tientallen andere soorten ransomware-virussen, waaronder Payerranso, LOCKME, AAC en GANDCRAB. Hoewel deze virussen door verschillende cybercriminelen werde ontwikkeld gedragen ze zich identiek. Allemaal versleutelen ze bestanden en vragen ze om losgeld. Onderzoek toont aan dat virussen van het ransomware-type in de meeste gevallen slechts op twee belangrijke punten verschillen: 1) de kostprijs van het decoderen, en 2) het type coderingsalgoritme dat wordt gebruikt. Helaas gebruiken de meeste algoritmen (zoals RSA, AES enz.) unieke decoderingssleutels. Daarom is het onmogelijk bestanden te herstellen zonder hulp van de ontwikkelaars (en contact maken met deze mensen is niet aanbevolen). Dus tenzij de malware niet volledig is ontwikkeld of bepaalde bugs / gebreken vertoont (bijvoorbeeld de sleutel is hardcoded/lokaal opgeslagen). Virussen van het ransomware-type vormen een sterk argument voor het onderhouden van regelmatige gegevensback-ups. Houd er echter rekening mee dat back-upbestanden op een externe server of niet-aangesloten externe opslag moeten worden opgeslagen, anders worden ze net als andere bestanden gecodeerd.

Hoe besmette ransomware mijn computer?

Ransomware-type virussen worden op verschillende manieren verspreid, maar de meest populaire zijn: 1) spammails; 2) P2P [peer-to-peer]-netwerken; 3) niet-officiële downloadbronnen; 4) valse software-updatetools, en 5) Trojaanse paarden. Spammails bevatten vaak schadelijke bijlagen (zoals JavaScript-bestanden, MS Office-documenten enz.) die malware downloaden en installeren. P2P-netwerken (eMule, torrents enz.) en andere externe downloadbronnen (freeware-downloadwebsites, gratis websites voor het hosten van bestanden enz.) verspreiden malware door het als legitieme software te presenteren. Zo downloaden en installeren gebruikers per ongeluk malware. Valse software-updaters maken gebruik van verouderde software met niet-herstelde fouten om het systeem te infecteren. In sommige gevallen downloaden deze hulpprogramma's virussen in plaats van software-updates. Trojaanse paarden zijn de eenvoudigste vorm van malware - ze openen enkel "poorten" zodat andere virussen het systeem kunnen infiltreren.

Hoe bescherm je jezelf tegen besmettingen met ransomware?

De belangrijkste redenen voor computerinfecties zijn een gebrek aan kennis en onvoorzichtig gedrag. De sleutel tot computerveiligheid is voorzichtigheid. Daarom wees je best heel voorzichtig wanneer je op internet surft. Open nooit bestanden die werden ontvangen vanaf verdachte e-mailadressen. Het is sterk aanbevolen om applicaties alleen te downloaden uit officiële bronnen, met behulp van directe downloadlinks. Externe downloaders en installatieprogramma's bevatten vaak malafide apps (ze worden in 'pakket' aangeboden) en deze tools mogen dus niet worden gebruikt. Houd geïnstalleerde software up-to-date en gebruik een legitieme antivirus- en anti-spywaresoftware. Criminelen verspreiden immers malware via valse updaters. We raden je dan ook aan alleen de ingebouwde updatefunctionaliteit of officiële tools van de ontwikkelaar te gebruiken.

Tekst gepresenteerd in BlackRuby ransomware tekstbestand ("how-to-decrypt-files.txt"):

=== Identificatiecode ===
-
=== Identificatiecode ===


[Heeft u geen toegang tot uw bestanden?]

 

Gefeliciteerd, je maakt nu deel uit van onze #BlackRuby Ransomware. Het bereik van deze familie wordt elke dag groter en groter.
Onze gastheren verwelkomen onze aanwezigheid omdat we hen een karig souvenir uit het hart van de aarde zullen geven.

Deze keer zijn we te gast met een nieuw souvenir genaamd "Black Ruby". Een robijn in zwart, anders, mooi en briljant. Als je niet het geduld hebt of je een deel van deze kostbare steen haat, zijn we bereid om om je ervan te laten genieten voor de prijs die wij betaalden voor het jarenlang opdelven ervan (sic.).

 

Laten we nu een beetje met je praten zonder metaforen en literaire termen zodat je het belang begrijpt.
Het maakt niet uit of u een klein bedrijf bent of een grote organisatie beheert, het maakt niet uit of u een vaste gebruiker of een tijdelijke medewerker bent, het is belangrijk dat u een zwarte robijn hebt en om ervan af te komen, moet u terug naar de vorige situatie. Een stap is nodig. (sic.)

 

Wij hebben hiervoor voldoende kennis.

Wij zijn altijd uw steun en bewaker van uw informatie tijdens dit meerdaagse banket en zorgen ervoor dat niemand ter wereld het van u kan afpakken.
We hebben een tweezijdige samenwerking nodig bij het ontwikkelen van kennis over cyberbeveiliging. De achtergrond van deze samenwerking is een wederzijds vertrouwen, dat zal resulteren in vrede en rust, u moet $650 (USD) aan Bitcoins betalen voor het herstellen van uw systeem naar een eerdere toestand en u bent vrij om te kiezen om in deze situatie te blijven of terug te keren naar de normaliteit.

 

Vergeet niet dat uw slechts één kans hebt. Ondanks deze limiet kun je gouden situaties creëren. (sic.) Zorg ervoor dat we je kunnen helpen en weet dat het hebben van een zwarte robijn niet altijd rijkdom betekent. Jij en jouw systeem zijn arm, hebben een slechte kennis van cybersecurity en een gebrek aan beveiliging.


===============
[HOE BESTANDEN ONTSLEUTELEN]
1. Kopieer de "identificatiesleutel".
2. Verzend deze sleutel met twee gecodeerde bestanden (minder dan 5 MB) naar e-mailadres "[email protected]";.
3. We ontcijferen uw twee bestanden en sturen ze naar uw e-mail.
4. Nadat u de integriteit van de bestanden hebt gecontroleerd moet u $650 (USD) met bitcoin betalen en de transactiecode naar onze e-mail verzenden. Ons bitcoin-adres is "19S7k3zHphKiYr85T25FnqdxizHcgmjoj1".
5. U krijgt de "Black Ruby Decryptor" samen met de privésleutel van uw systeem.
6. Alles keert terug naar normaal en je bestanden worden vrijgegeven.
===============


[Wat is versleuteling?]

Versleuteling is een omkeerbare wijziging van informatie om veiligheidsredenen, maar biedt volledige toegang voor geautoriseerde gebruikers.
Om een ​​geautoriseerde gebruiker te worden en de wijziging absoluut omkeerbaar te houden (met andere woorden om een ​​mogelijkheid te hebben om uw bestanden te decoderen) moet u een "Persoonlijke identificatiesleutel" hebben. Het is ook vereist speciale decoderingssoftware (in uw geval "Black RubyDecryptor" -software) te gebruiken voor veilige en volledige decodering van al uw bestanden en gegevens.

 

[Alles is duidelijk voor mij, maar wat moet ik doen?]

De eerste stap is het lezen van deze instructies tot het einde. Uw bestanden zijn gecodeerd met de "Black Ruby Ransomware" -software; de instructies ("how-to-decrypt-files.txt") in de mappen met uw gecodeerde bestanden zijn geen virussen, zij zullen u helpen. Na het lezen van deze tekst gaan de meeste mensen op internet op zoek naar de woorden "Black Ruby Ransomware", waar ze veel ideeën, aanbevelingen en instructies vinden, het is noodzakelijk om te beseffen dat wij degenen zijn die het slot op uw bestanden plaatsten en wij zijn de enigen die de geheime sleutel hebben om ze te openen.

 

[Heb je advies?]

[*** Alle pogingen om uw bestanden terug te krijgen met de tools van derden kunnen dodelijk zijn voor uw gecodeerde bestanden ***]
Het grootste deel van dergelijke software wijzigt gegevens met de gecodeerde bestanden om deze te herstellen, maar in dit geval worden de bestanden beschadigd.
Eigenlijk is het onmogelijk om je bestanden te ontsleutelen, wanneer je een puzzel maakt maar sommige items verloren, kapot of niet op hun plaats gezet werden - de puzzelitems zullen nooit overeenkomen, en zo is dat ook als software van derden je bestanden volledig verpest (onomkeerbaa)r. U moet zich realiseren dat elk gebruik van software van derden om bestanden te ontsleutelen die zijn gecodeerd met de Black Ruby Ransomware-software fataal kan zijn voor uw bestanden.

 

Als u deze tekst op internet bekijkt en beseft dat er iets mis is met uw bestanden, maar u hebt geen instructies om uw bestanden te herstellen ontvangen, neem dan contact op met uw antivirus-leverancier.

Screenshot van bestanden versleuteld door BlackRuby ("ENCRYPTED_[willekeurige_tekens_en_cijfers].BlackRuby" bestandsnaam-patroon):

Bestanden versleuteld door BlackRuby

BlackRuby ransomware verwijdering:

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met Black Ruby Ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.


Download verwijdertool voor BlackRuby virus
1) Downloaden en installeren   2) Systeemscan uitvoeren   3) Veel plezier met je opgeschoonde computer!

De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Reimage.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik 'Ja'.

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van het Black Ruby ransomware te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Black Ruby ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan kan je je computer opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Black Ruby ransomware kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als Black Ruby geblokkeerd worden.

Merk op dat de Windows 10 Fall Creators Update een 'Gecontroleerde toegang tot mappen'-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

Gecontroleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie ove deze update en de manier waarop die je tegen ransomware kan beschermen.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Black Ruby ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/12266-blackruby-ransomware