Hoe het Buran virus verwijderen?

Ook bekend als: Buran virus
Verspreiding: Laag
Schadeniveau: Ernstig

Buran ransomware verwijderingsinstructies

Wat is Buran?

Buran is voor het eerst ontdekt door malware-onderzoeker nao_sec en is een risicovolle ransomware die verspreid wordt met behulp van Rig Exploit Kit. Dit is een nieuwe variant van een andere ransomware-infectie genaamd Vega. Nadat het succesvol in het systeem geïnfiltreerd is, codeert Buran de meeste opgeslagen bestanden en voegt het bestandsnamen toe met de unieke ID van het slachtoffer (bijvoorbeeld, "sample.jpg" kan hernoemd worden naar een bestandsnaam zoals "sample.jpg.48E7EE9F-3B50-B177-0614-DF09178EE722"). Na een succesvolle codering, genereert Buran een tekstbestand ("!!! UW BESTANDEN WORDEN VERSLEUTELD !!!.TXT") en slaat dit op het bureaublad op. Dit bestand bevat een bericht met de vraag om losgeld.

Het bericht geeft aan dat de gegevens gecodeerd zijn en dat er een unieke decoderingssleutel nodig is om deze te herstellen. Helaas is deze informatie juist. Het type cryptografie-algoritme dat door Buran wordt gebruikt, is momenteel onbekend, maar er wordt voor elk slachtoffer een unieke decoderingssleutel gegenereerd. De slachtoffers hebben geen toegang tot hun sleutels, omdat ze worden opgeslagen op een externe server die bestuurd wordt door de cybercriminelen. Om de sleutels te ontvangen (of liever de decoderingstools met de ingesloten sleutels), moeten de gebruikers losgeld betalen. De kosten zijn niet gespecificeerd - deze details worden via e-mail verstrekt, maar het bedrag van het losgeld schommelt meestal tussen de 500 en de 1500 euro, te betalen in Bitcoins, Monero, Ethereum, DASH of een andere cryptocurrency. Ongeacht de kosten, u mag deze niet betalen. Onderzoek toont aan dat de cybercriminelen hun slachtoffers vaak negeren nadat ze de betaling hebben ingediend. Daarom geeft betalen geen positief resultaat en worden de gebruikers simpelweg opgelicht. Helaas zijn er geen tools die de Buran-codering kunnen kraken en die de gegevens gratis kunnen herstellen. De enige oplossing is om alles te herstellen vanaf een back-up, als er één is gemaakt.

Screenshot van een bericht waarin de gebruikers worden aangemoedigd om losgeld te betalen om zo hun gecompromitteerde gegevens te decoderen:

Buran decryptie instructies

Er zijn tientallen ransomware-infecties die overeenkomsten vertonen met Buran. De lijst met voorbeelden bevat (maar is niet beperkt tot) Luboversova148, Davda, Dodger, en Stone. Deze infecties zijn ontwikkeld door verschillende cybercriminelen, maar hun gedrag is vrijwel identiek - ze versleutelen allemaal de gebruikersgegevens en eisen losgeld. De enige grote verschillen zijn het losgeldbedrag en het gebruikte type coderingsalgoritme. Helaas maken ransomware-infecties vaak gebruik van RSA, AES en andere cryptografieën die unieke decoderingssleutels genereren. In dergelijke gevallen is een handmatige ontsleuteling zonder de betrokkenheid van de ontwikkelaars (niet aanbevolen) onmogelijk, tenzij het virus nog in ontwikkeling is of bepaalde bugs/fouten bevat. Ransomware zoals Buran is een goede reden voor het onderhouden van reguliere back-ups, maar bewaar deze op een externe server of een niet-aangesloten opslagapparaat, omdat lokaal opgeslagen back-ups gecodeerd worden samen met de reguliere gegevens. Bovendien adviseren wij u om meerdere back-upkopieën op verschillende locaties te bewaren, omdat er altijd een kans is dat de servers/hardware beschadigd kunnen worden.

Hoe besmette ransomware mijn computer?

Zoals hierboven vermeld, wordt Buran verspreid met behulp van de Rig Exploit Kit, maar deze ransomware-infecties worden ook vaak verspreid met behulp van email-spamcampagnes, externe software-downloadbronnen, valse software-updaters, cracks en trojans. Criminelen gebruiken spamcampagnes om honderdduizenden misleidende e-mails te verzenden die bestaan ​​uit kwaadaardige bijlagen (link en/of bestanden) en misleidende berichten die de ontvangers aanmoedigen om ze te openen. De criminelen stellen deze bijlagen vaak voor als belangrijke documenten, zoals bonnen, facturen en dergelijke. Dit zijn pogingen om een legitieme indruk te wekken en zo de kans te vergroten dat de ontvangers misleid worden om de bestanden te openen. Niet-officiële downloadbronnen (peer-to-peer [P2P] -netwerken, gratis websites voor het hosten van bestanden, freeware-downloadsites, enz.) worden ook op een vergelijkbare manier gebruikt. Criminelen gebruiken deze bronnen om malware te verspreiden door kwaadaardige uitvoerbare bestanden als legitieme software voor te stellen. Op deze manier worden de gebruikers misleid zodat ze zelf overgaan tot het downloaden/installeren van malware. Valse software-updaters infecteren meestal computers door misbruik te maken van oude softwarefouten of eenvoudigweg door malware te downloaden en te installeren in plaats van de updates. Hetzelfde geldt voor softwarecracks. In plaats van de betaalde functies in te schakelen, injecteren deze tools malware in het systeem. Trojans zijn schadelijke toepassingen die heimelijk in computers infiltreren om extra malware te downloaden/installeren.

Bedreigingsoverzicht:
Naam Buran virus
Bedreigingstype Ransomware, Cryptovirus, Bestandslocker
Versleutelde Bestandsextensie Unieke ID van het slachtoffer.
Losgeld-eisend bericht !!! UW BESTANDEN ZIJN VERSLEUTELD !!!.TXT
Cyber Crimineel Contact [email protected], [email protected], [email protected]
Detectie Namen Avast (FileRepMalware), DrWeb (Trojan.Encoder.28441), ESET-NOD32 (A Variant Of Generik.EJUVIDP), Kaspersky (UDS:DangerousObject.Multi.Generic), volledige detectielijst (VirusTotal)
Frauduleuze Procesnamen Inhibitins Allowance 1871 Signify Cntrt (de procesnaam kan variëren).
Symptomen U kunt bestanden die op uw computer zijn opgeslagen niet openen, eerder functionele bestanden hebben nu een andere extensie (bijvoorbeeld my.docx.locked). Er wordt een losgeldbericht op uw bureaublad weergegeven. Cybercriminelen eisen losgeld (meestal in bitcoins) om uw bestanden te ontgrendelen.
Extra Informatie Criminelen verspreiden deze ransomware met behulp van Rig Exploit Kit.
Verspreidingsmethoden Geïnfecteerde e-mailbijlagen (macro's), torrentwebsites, schadelijke advertenties.
Schade Alle bestanden zijn gecodeerd en kunnen niet worden geopend zonder losgeld te betalen. Extra wachtwoord-stelende trojans en malware-infecties kunnen samen met de ransomware-infectie geïnstalleerd worden.
Verwijdering

Om Buran virus verwijderen, adviseren onze malwareonderzoekers om uw computer te scannen met Spyhunter.
▼ Spyhunter Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om malware te verwijderen, moet u de volledige versie van Spyhunter aankopen.

Hoe uzelf te beschermen tegen ransomware-infecties?

De belangrijkste redenen voor computerinfecties zijn een gebrek aan kennis van deze bedreigingen en onzorgvuldig gedrag. De sleutel tot veiligheid is voorzichtigheid. Let daarom goed op wanneer u op het internet surft en wanneer u software downloadt/installeert/bijwerkt. Behandel alle ontvangen e-mailbijlagen zorgvuldig. Bestanden/links die niet relevant zijn of die u niet aangaan, mogen nooit worden geopend. Hetzelfde geldt voor bijlagen die werden verzonden vanaf verdachte/onherkenbare e-mailadressen. Download uw software alleen van officiële bronnen, met behulp van directe downloadlinks. Downloaders/installers van externe partijen mogen nooit gebruikt worden. Het is ook erg belangrijk om de geïnstalleerde applicaties en besturingssystemen up-to-date te houden, maar dit mag enkel via de geïmplementeerde functies of tools die worden aangeboden door de officiële ontwikkelaars. Geïnstalleerde applicaties kraken is illegaal - softwarepiraterij is een cybercriminaliteit en het risico op infecties is extreem hoog. Probeer daarom nooit om de geïnstalleerde software te kraken. Zorg er bovendien voor dat er altijd een gerenommeerde anti-virus/anti-spyware suite geïnstalleerd en actief is, aangezien deze tools malware kunnen detecteren en verwijderen voordat het systeem wordt beschadigd. Als uw computer al geïnfecteerd is met Buran, dan raden we u aan een scan uit te voeren met  Spyhunter om deze ransomware automatisch te verwijderen.

Tekst in het Buran ransomware tekstbestand ("!!! UW BESTANDEN ZIJN VERSLEUTELD !!!.TXT"):

!!! UW BESTANDEN ZIJN VERSLEUTELD !!!
Al uw bestanden, documenten, foto's, databases en andere belangrijke
bestanden zijn gecodeerd.
U kunt deze niet zelf decoderen! De enige methode
om uw bestanden te herstellen is door het kopen van een unieke privésleutel.
Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
Om zeker te zijn dat we de decryptor hebben en dat het werkt, kunt u een
email sturen naar [email protected] en decoderen wij één bestand gratis. Maar dit
bestand mag niet waardevol zijn!
Wilt u uw bestanden echt herstellen?
Schrijf een e-mail naar [email protected], [email protected]
Uw persoonlijke ID: -
Aandacht!
  * Wijzig de naam van de gecodeerde bestanden niet.
  * Probeer uw gegevens niet te decoderen met software van externen,
    het kan permanent gegevensverlies veroorzaken.
  * Decodering van uw bestanden met behulp van externen kan een
    verhoogde prijs veroorzaken (ze voegen hun kosten toe aan de onze) of u kunt
    het slachtoffer worden van een zwendel.

Een andere variant van het Buran ransomware tekstbestand ("!!! UW BESTANDEN ZIJN VERSLEUTELD !!!.TXT"):

Buran update tekstbestand voorbeeld 2

Tekst in dit bestand:

Al uw bestanden, documenten, foto's, databases en andere belangrijke
bestanden zijn gecodeerd.
U kunt deze niet zelf decoderen! De enige methode om uw bestanden
te herstellen is door het aankopen van een unieke privésleutel.
Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
Om zeker te zijn dat we de decryptor hebben en dat deze werkt, kunt u een e-mail
sturen naar [email protected] en decoderen wij één bestand gratis. Maar dit
bestand mag niet waardevol zijn!
Wilt u uw bestanden echt herstellen?
Schrijf een e-mail naar [email protected]
Uw persoonlijke ID: 1525CB79-46F7-C3A2-B2D8-B049C42D7257
Aandacht!
* Wijzig de naam van de gecodeerde bestanden niet.
* Probeer niet om uw gegevens te decoderen met software van externen,
het kan permanent gegevensverlies veroorzaken.
* Decodering van uw bestanden met behulp van externen kan een
verhoogde prijs veroorzaken (ze voegen hun kosten toe aan de onze) of u kunt
het slachtoffer worden van een zwendel.

Screenshot van het Buran ransomware proces ("Inhibitins Allowance 1871 Signify Cntrt") in Windows Taakbeheer:

Buran ransomware uitgevoerd onder Inhibitins Allowance 1871 Signify Cntrt name in Windows Taakbeheer

Screenshot van bestanden versleuteld door Buran (met de unieke ID van het slachtoffer als bestandsextensie):

Bestanden versleuteld door Buran

Buran ransomware verwijderen:

Buran virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van Buran virus. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op start, klik op 'Sluit af', klik op 'Opnieuw opstarten' en klik op OK. Druk tijdens het opstarten van de computer meerdere malen op de F8-toets op uw toetsenbord totdat u het menu 'Windows opties' ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige Modus met Netwerk

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 Veilige Modus met Netwerk

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met het Buran virus. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Herstart je computer in veilige Modus met Commando-prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

systeemherstel via commando-prompt typ cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

systeemherstel via commando-prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

herstel systeembestanden en instellingen

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze Buran ransomware je PC geïnfiltreerd had).

selecteer een herstelpunt

6. In het geopende venster klik 'Ja'.

systeemherstel uitvoeren

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van de Buran ransomware te verwijderen.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze mBuranode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Buran ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze mBuranode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Herstel bestanden veresleuteld door CryptoDefense

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt), herstart je computer met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Buran, kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer screenshot

Om uw computer te beschermen tegen ransomware voor het versleutelen van bestanden, gebruikt u gerenommeerde antivirus- en antispywareprogramma's. Als een extra beveiligingsmBuranode kunt u de programma's HitmanPro.Alert en EasySync CryptoMonitor gebruiken, die groepsbeleidsobjecten kunstmatig in het register implementeren om malafide programma's zoals Buran ransomware te blokkeren.

Merk op dat de Windows 10 Fall Creators Update een "gecontroleerde toegang tot mappen"-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

gecontroleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie over hoe u deze update kunt uitvoeren en voeg extra bescherming toe voor ransomware-infecties.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen - voordat gebruikersbestanden getroffen worden:

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Buran ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/15177-buran-ransomware

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Verwijderingsinstructies in andere talen
QR Code
Buran virus QR code
Een QR code (Quick Response Code) is een code die door toestellen kan gelezen worden en die URL's en andere informatie bevat. Deze code kan gelezen worden met de camera van een smartphone of tablet. Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van Buran virus op je mobiele toestel.
Door ons aanbevolen:

Maak vandaag nog komaf met Buran virus

▼ VERWIJDER DEZE NU met Spyhunter

Platform: Windows

Oordeel van de redactie over Spyhunter:
Zeer goed!

[Terug naar boven]

De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter.