RYUK Ransomware

Ook bekend als: RYUK virus
Verspreiding: Laag
Schadeniveau: Ernstig

RYUK ransomware verwijderingsinstructies

Wat is RYUK?

RYUK is een gevaarlijk ransomware-virus dat in het systeem infiltreert en die de meeste opgeslagen gegevens versleutelt, waardoor ze onbruikbaar worden. Vanwege de overeenkomsten met Hermes ransomware, is het hoogstwaarschijnlijk dat de ontwikkelaars van deze twee virussen dezelfde zijn. Integenstelling tot de meeste andere virussen, geeft deze malware de versleutelde bestanden geen nieuwe naam en voegt deze geen extensie toe aan gecodeerde bestanden. Hij maakt echter wel een tekstbestand aan ("RyukReadMe.txt"), en laat dit kopiëren naar elke bestaande map.

Zoals gebruikelijk ontvangen de slachtoffers een tekstbestand dat hun informeert over de codering en hen aanmoedigt om losgeld te betalen als ze de gegevens willen terugzetten. Houd er rekening mee dat RSA-4096 en AES-256 coderingsalgoritmen worden gebruikt. Daarom krijgt elk slachtoffer verschillende unieke sleutels die nodig zijn om de gegevens te herstellen. Het probleem is dat cybercriminelen alle sleutels op een externe server verbergen. Omdat het onmogelijk is om de gegevens zonder deze sleutels te herstellen, is ieder slachtoffer gedwongen om het ​​losgeld te betalen in ruil voor het vrijgeven van de sleutels. De prijs hiervan ligt niet vast - alle informatie wordt via e-mail verstrekt. De hoogte van het losgeld is afhankelijk van het slachtoffer. Er wordt vermeld dat voor elke dag uitstel het slachtoffer 0,5 Bitcoin extra moet betalen (momenteel ongeveer 3200 euro). In vergelijking met andere ransomware-virussen is die prijs vrij hoog - die schommelt normaal tussen de 500 en 1500 euro, en stijgt meestal na verloop van tijd. RYUK is dan ook ontworpen om zich op grote bedrijven te richten en vele computers tegelijk te infecteren. Hoewel het betalen van duizenden euro's voor een gewone gebruiker veel lijkt, stemmen grote bedrijven er vaak mee in omdat de gecodeerde gegevens zeer waarschijnlijk waardevol zijn. Wat belangrijker is, is dat hoe laag of hoog het losgeld ook is, er steeds wordt aangeraden dit niet te betalen. De reden hiervoor is dat ontwikkelaars van ransomware zeer vaak hun slachtoffers negeren zodra de betalingen ontvangen zijn. Daarom levert betalen meestal geen positief resultaat en worden gebruikers opgelicht. Het wordt aangeraden om alle vragen om contact op te nemen met ontwikkelaars en losgeld te betalen te negeren. Helaas zijn er geen tools die RSA/AES-coderingen kunnen kraken en de gegevens gratis kunnen herstellen. De enige mogelijke oplossing is om alles te herstellen via een back-up.

Screenshot van een bericht waarin gebruikers aangemoedigd worden om losgeld te betalen om hun aangetaste gegevens te ontsleutelen:

RYUK ontsleutelingsinstructies

Er zijn verschillende virussen die lijken op RYUK. Bijvoorbeeld FOX, ShutUpAndDance, PGPSnippet, en Princess. Hoewel deze virussen door verschillende cybercriminelen ontwikkeld zijn, is hun gedrag volkomen identiek - ze versleutelen gegevens en eisen losgeld van de gebruiker. In de meeste gevallen vertonen ransomware-virussen slechts twee belangrijke verschillen, namelijk de hoogte van het gevraagde losgeld en het gebruikte type coderingsalgoritme. Helaas maken de meeste van deze virussen gebruik van algoritmen die unieke decryptiesleutels genereren. Daarom is het onmogelijk om de gegevens handmatig te herstellen (zonder dat de ontwikkelaars dit verstoren), tenzij het virus niet volledig ontwikkeld is en/of bepaalde bugs/fouten bevat. RYUK en andere soortgelijke virussen vormen een goed argument om regelmatig gegevensback-ups te maken. Onthoud dat u deze altijd moet bewaren op een externe server of een niet-aangesloten opslagapparaat. Als dat niet het geval is, zal de malware de gegevens waarschijnlijk samen met die van andere bestanden versleutelen.

Hoe besmette ransomware mijn computer?

Om ransomware te verspreiden maken ontwikkelaars vaak gebruik van trojans, spam-mails, peer-to-peer (P2P) -netwerken, onofficiële softwaredownloadbronnen en valse software-updaters. Trojans openen een "achterdeur" om andere virussen in het systeem te laten infiltreren. Spam-mails bevatten schadelijke bijlagen die, eenmaal geopend, virussen downloaden en installeren. P2P-netwerken en andere download/installatiebronnen van externe partijen (freeware-downloadwebsites, gratis bestandshostingsites, enz.) stellen malware voor als legitieme software, waardoor gebruikers overtuigd worden om zelf virussen te downloaden en te installeren. Valse updaters infecteren het systeem door verouderde software met fouten te exploiteren of door simpelweg malware te downloaden en te installeren in plaats van echte updates.

Bedreigingsoverzicht:
NaamRYUK virus
BedreigingstypeRansomware, cryptovirus, vergrendeling van bestanden
SymptomenU kunt geen bestanden meer openen die op uw computer zijn opgeslagen, eerder functionele bestanden hebben nu een andere extensie, bijvoorbeeld mijn.docx.locked. Een bericht met de vraag om losgeld wordt weergegeven op uw bureaublad. Cybercriminelen vragen om losgeld te betalen (meestal in bitcoins) om uw bestanden te ontgrendelen.
Verspreidings- methodenGeïnfecteerde e-mailbijlagen (macro's), torrent-websites, schadelijke advertenties.
SchadeAlle bestanden zijn gecodeerd en kunnen niet geopend worden zonder losgeld te betalen. Extra trojans voor het stelen van wachtwoorden en malware-infecties kunnen samen met de ransomware-infectie geïnstalleerd worden.
Verwijdering

Om RYUK virus verwijderen, adviseren onze malwareonderzoekers om uw computer te scannen met Spyhunter.
▼ Spyhunter Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om malware te verwijderen, moet u de volledige versie van Spyhunter aankopen.

Hoe uzelf te beschermen tegen besmettingen met ransomware?

Iedereen moet weten dat een gebrek aan kennis en roekeloos gedrag de belangrijkste redenen zijn voor computerbesmettingen - voorzichtigheid is de sleutel tot veiligheid. Daarom is het belangrijk om goed op te letten tijdens het surfen op het internet en bij het downloaden/installeren van software. We raden u aan om twee keer na te denken voordat u e-mailbijlagen opent. Irrelevante bestanden en bestanden die worden ontvangen van verdachte e-mailadressen mogen nooit worden geopend. Daarnaast mogen gebruikers alleen software downloaden van officiële bronnen, met behulp van directe downloadlinks. Externe downloaders/installatieprogramma's bevatten vaak valse apps en daarom mogen dergelijke tools niet worden gebruikt. Het is ook belangrijk om geïnstalleerde software up-to-date te houden. Dit moet u doen door middel van geïmplementeerde functies of met tools die alleen door de officiële ontwikkelaars aangeboden worden. Bovendien is een erkende anti-virus/anti-spyware installeren zeer belangrijk. De sleutel tot computerveiligheid is voorzichtigheid. Als uw computer al met RYUK geïnfecteerd is, raden we u aan een scan uit te voeren met  Spyhunter om deze ransomware automatisch te verwijderen.

Tekst getoond in het RYUK ransomware's tekstbestand ("RyukReadMe.txt"):

Geachte,

Uw bedrijf loopt een serieus risico.
Er zit een groot gat in het beveiligingssysteem van uw bedrijf.
We zijn gemakkelijk in uw netwerk binnengedrongen.
Je moet de Heer danken omdat u gehackt bent door serieuze mensen en niet door domme schooljongens of gevaarlijke punkers.
Ze kunnen al je belangrijke gegevens alleen al voor de lol beschadigen.

Nu worden uw bestanden versleuteld met de krachtigste militaire algoritmen RSA4096 en AES-256.
Niemand kan u helpen om deze bestanden te herstellen zonder onze speciale decoder.

Photorec, RannohDecryptor enz. Reparatietools
zijn nutteloos en kunnen uw bestanden onherstelbaar vernietigen.

Als u uw bestanden wilt herstellen, e-mail dan naar (contactpersonen staan ​​onderaan het blad)
en bevestig 2-3 gecodeerde bestanden
(Minder dan 5 MB elk, niet gearchiveerd en uw bestanden mogen geen waardevolle informatie bevatten
(Databases, back-ups, grote Excel-sheets, etc.)).
U ontvangt gedecodeerde voorbeelden en onze voorwaarden om de decoder te krijgen.
Vergeet alsjeblieft niet om de naam van je bedrijf te vermelden in het onderwerp van je e-mail.

U moet voor decryptie betalen in Bitcoins.
De uiteindelijke prijs hangt af van hoe snel u ons schrijft.
Elke dag vertraging kost u extra +0,5 BTC
Niets persoonlijks, gewoon zakelijk

Zodra we bitcoins krijgen, krijg je al je gedecodeerde gegevens terug.
Bovendien krijg je instructies hoe je het gat in de beveiliging kunt sluiten
en hoe dergelijke problemen in de toekomst voorkomen kunnen worden
+ we zullen u speciale software aanbevelen die de meeste problemen oplevert voor hackers.

Aandacht! Nogmaals!

Hernoem geen gecodeerde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van externe partijen.

P.S.: Vergeet niet dat we geen oplichters zijn.
We hebben uw bestanden en uw informatie niet nodig.
Maar na 2 weken worden al uw bestanden en sleutels automatisch verwijderd.
Stuur gewoon een verzoek onmiddellijk na de infectie.
Alle gegevens worden absoluut hersteld.
Uw ontvangt gedecodeerde stalen ter garantie.

contact e-mails
[email protected]tanota.com
of
[email protected]

BTC-portemonnee:
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj

Ryuk

Geen enkel systeem is veilig

Screenshot van bestanden versleuteld door RYUK (geen extensie):

bestanden versleuteld door RYUK

RYUK ransomware verwijdering:

RYUK virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van RYUK virus. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP and Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige Modus met netwerk

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 veilige modus met netwerk

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

Stap 2

Log in op het account dat besmet is met RYUK ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle gedetecteerde items.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Herstart uw computer in Veilige Modus met Command Prompt

2. Als de commando-prompt modus geladen is, typ dan de volgende regel: cd restore en druk op ENTER.

systeemherstel met command prompt typ cd restore

3. Type vervolgens deze regel: rstrui.exe en druk ENTER.

systeemherstel met command prompt rstrui.exe

4. In het geopende venster, klik 'Volgende'.

systeembestanden en instellingen herstellen

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze RYUK ransomware je PC geïnfiltreerd had).

selecteer een herstelpunt

6. In het geopende venster, klik 'Ja'.

systeemherstel uitvoeren

7. Na het herstellen van je computer naar een eerdere datum, download en scan je je PC met recommended malware removal software om enige achtergebleven delen van het RYUK ransomware te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de RYUK ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken all computers.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Bestanden terugzetten die zijn versleuteld met CryptoDefense

Als u uw computer niet kan starten in veilige modus met netwerk (of met commando-prompt), start je computer op met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die versleuteld werden met RYUK, kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt, kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als RYUK geblokkeerd worden.

Merk op dat de Windows 10 Fall Creators Update een "Gecontroleerde toegang tot mappen" -functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

Toegang via gecontroleerde mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie ove deze update en de manier waarop die je tegen ransomware kan beschermen.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventietoepassing

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen, voordat gebruikersbestanden getroffen worden:

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de RYUK ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware