Hoe vermijden dat gegevens versleuteld worden door de DoppelPaymer ransomware?

Ook bekend als: DoppelPaymer virus
Verspreiding: Laag
Schadeniveau: Ernstig

DoppelPaymer ransomware verwijderingsinstructies

Wat is DoppelPaymer?

DoppelPaymer is een ransomware-malware die ontworpen werd om te voorkomen dat de slachtoffers toegang krijgen tot hun bestanden door ze te coderen. Om hun bestanden weer te kunnen gebruiken, moeten de slachtoffers aan de cybercriminelen losgeld betalen. Onderzoek toont aan dat de cybercriminelen DoppelPaymer gebruiken voor gerichte aanvallen. Dit betekent dat ze zich richten op specifieke bedrijven en/of industrieën. Heel vaak proberen de cybercriminelen om in een heel netwerk te infiltreren (infecteren), d.w.z. in alle computers die in een bepaald bedrijf gebruikt worden. Deze ransomware voegt de ".locked" extensie toe aan de bestandsnaam van elk gecodeerd bestand, het verandert bijvoorbeeld "1.jpg" in "1.jpg.locked", enzovoort. Elk gecodeerd bestand krijgt zijn eigen losgeldbrief (.txt-bestand). Voor "1.jpg.locked" is dat bijvoorbeeld "1.jpg.readme2unlock.txt", enzovoort.

Alle losgeldeisen bevatten een identieke tekst: de slachtoffers mogen hun computers niet afsluiten of opnieuw opstarten, ze mogen versleutelde bestanden (of losgeldbrieven) niet hernoemen of verwijderen of ze mogen niet proberen om de bestanden te herstellen met behulp van software. Volgens de cybercriminelen kunnen dergelijke acties leiden tot permanent gegevensverlies. Om de instructies te krijgen over het ontsleutelen van de gegevens, moeten de slachtoffers de Tor-browser installeren en de link openen die in elke aangemaakte losgeldbrief staat. Er wordt vermeld dat de slachtoffers 7 dagen de tijd hebben om de link te gebruiken, daarna wordt deze ongeldig. Er wordt ook gesteld dat hoe sneller de slachtoffers contact zullen opnemen met de ontwikkelaars van DoppelPaymer, hoe lager de prijs van de decodering zal zijn. De bovengenoemde link opent een Tor-website waar de slachtoffers via een online chat contact kunnen opnemen met de cybercriminelen. Hieronder vindt u een screenshot van een Tor-website die gegenereerd werd toen de cybercriminelen zich op het bedrijf Ohio Gratings Inc. richtten. Meestal versleutelt malware zoals de DoppelPaymer ransomware de bestanden met sterke algoritmen en het is voor de slachtoffers zelf onmogelijk om de gegevens te decoderen zonder de tools die alleen de ontwikkelaars van de bepaalde ransomware hebben. Helaas: zelfs als de cybercriminelen die tools hebben, sturen ze ze meestal niet. Simpel gezegd, vaak worden de slachtoffers die het losgeld betalen simpelweg opgelicht. In de meeste gevallen is de enige (en gratis) manier om bestanden te herstellen zonder de tools te gebruiken die alleen de cybercriminelen hebben, om ze te herstellen vanaf een back-up die niet gecodeerd is, als deze bestaat. Bovendien blijven de gecodeerde bestanden gecodeerd, zelfs als de slachtoffers de ransomware van het systeem verwijderen. Het verwijderen van dergelijke malware voorkomt alleen dat het verdere coderingen veroorzaakt.

Screenshot van een bericht waarin de gebruikers worden aangemoedigd om losgeld te betalen om zo hun gecompromitteerde gegevens te decoderen:

DoppelPaymer decryptie instructies

Meer voorbeelden van ransomware-software zijn Nvram, Major en Lokf. In de meeste gevallen zijn ze ontworpen om de gegevens te versleutelen en om een losgeldbrief te maken of weer te geven met de instructies voor het betalen van een decoderingstool en/of sleutel. De twee belangrijkste (en meest voorkomende) verschillen zijn het losgeldbedrag en het cryptografisch algoritme (symmetrisch of asymmetrisch) dat de ransomware gebruikt om de gegevens te coderen. Helaas hebben de meeste van deze programma's sterke coderingen en is het onmogelijk om de bestanden te decoderen zonder de tools die alleen de ransoware-ontwikkelaars kunnen aanbieden. Het is enkel mogelijk om de bestanden zonder hun hulp te herstellen als het programma bugs, fouten enz. bevat. Daarom is het belangrijk om een back-up van alle gegevens te maken en deze op een externe server of een niet-aangesloten opslagapparaat te bewaren.

Hoe besmette ransomware mijn computer?

De meeste cybercriminelen verspreiden kwaadaardige programma's (inclusief ransomware) via spamcampagnes, trojans, valse software-updaters, onbetrouwbare downloadkanalen/tools voor software en onofficiële software 'cracking' (activatie) tools. Heel vaak sturen cybercriminelen e-mails met bijgevoegde bestanden die, indien geopend, schadelijke software installeren. Voorbeelden van bestanden die ze meestal bijvoegen zijn: Microsoft Office- en PDF-documenten, archiefbestanden zoals ZIP, RAR, uitvoerbare bestanden (.exe en andere) en JavaScript-bestanden. Het is vermeldenswaard dat ze dergelijke e-mails vermommen als belangrijk, officieel, enzovoort. Trojans infecteren de systemen door extra malware te installeren. Dit zijn kwaadaardige programma's die meestal ontworpen zijn om kettinginfecties te veroorzaken. Desondanks veroorzaken ze alleen schade als ze al geïnstalleerd zijn. Valse software-updaters zijn tools die malware installeren in plaats van fixes/updates of die bugs/fouten van verouderde software die op het besturingssysteem geïnstalleerd is te misbruiken. Onbetrouwbare software downloadkanalen/bronnen worden ook gebruikt als tools om malware te verspreiden. Enkele voorbeelden van onbetrouwbare downloadkanalen zijn: gratis bestandshosting en freeware downloadwebsites, peer-to-peer-netwerken (zoals torrent-clients, eMule, enz.), niet-officiële websites en externe downloaders. Ze bevatten vaak kwaadaardige bestanden die vermomd zijn als legitiem, onschadelijk. Door deze bestanden te downloaden en te openen, installeren de mensen zelf de schadelijke software. Niet-officiële activeringsprogramma's worden verondersteld om de betaalde activeringen van gelicentieerde software te omzeilen. Vaak worden deze tools echter ontworpen door cybercriminelen die ze gebruiken met als doel om kwaadaardige programma's te verspreiden. Eenvoudig gezegd: indien gebruikt kunnen deze tools de installatie van verschillende risicovolle malware veroorzaken.

Bedreigingsoverzicht:
Naam DoppelPaymer virus
Bedreigingstype Ransomware, Crypto Virus, Bestanden locker
Versleutelde Bestandsextensie .locked
Losgeld eisend bericht readme2unlock.txt tekstbestanden die worden toegewezen aan elk gecodeerd bestand en Tor-website.
Losgeldbedrag Het hangt ervan af hoe snel slachtoffers contact opnemen met cybercriminelen.
Cybercrimineel Contact [email protected] en online chat op de Tor website.
Detectie Namen Avast (Win32:MalwareX-gen [Trj]), BitDefender (Trojan.Agent.EFPT), ESET-NOD32 (A Variant Of Win32/Kryptik.GXEG), Kaspersky (Trojan.Win32.DelShad.ayr), Volledige Lijst met Detecties (VirusTotal)
Frauduleuze Procesnaam SpotLife WebAlbum Service Plugin
Symptomen Kan bestanden die op uw computer zijn opgeslagen niet openen, eerder functionele bestanden hebben nu een andere extensie (bijvoorbeeld my.docx.locked). Er wordt een losgeldbericht op uw bureaublad weergegeven. Cybercriminelen eisen losgeld (meestal in bitcoins) om uw bestanden te ontgrendelen.
Extra Informatie Het is bekend dat cybercriminelen DoppelPaymer gebruiken bij gerichte aanvallen.
Verspreidingsmethoden Geïnfecteerde e-mailbijlagen (macro's), torrentwebsites, schadelijke advertenties.
Schade Alle bestanden zijn gecodeerd en kunnen niet geopend worden zonder losgeld te betalen. Extra wachtwoord-stelende trojans en malware-infecties kunnen samen met de ransomware-infectie geïnstalleerd zijn.
Verwijdering

Om DoppelPaymer virus verwijderen, adviseren onze malwareonderzoekers om uw computer te scannen met Spyhunter.
▼ Spyhunter Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om malware te verwijderen, moet u de volledige versie van Spyhunter aankopen.

Hoe uzelf te beschermen tegen ransomware-infecties?

We raden u ten zeerste aan om geen bijlagen/links te openen in irrelevante e-mails, vooral niet als ze worden verzonden vanaf verdachte, onbekende adressen. Ook mag men software niet downloaden met behulp van externe downloaders, niet-officiële pagina's en andere bronnen die in de bovenstaande paragraaf zijn vermeld. De veiligste manier om te downloaden is om officiële websites te gebruiken met directe downloadlinks. De geïnstalleerde software moet altijd up-to-date zijn, maar deze moet juist worden bijgewerkt: met behulp van tools en/of functies die aangeboden (ontworpen) zijn door de officiële softwareontwikkelaars. Tools van externen mogen nooit worden gebruikt. Hetzelfde geldt voor software-activeringsprogramma's ('kraken'), bovendien is het niet legaal om ze te gebruiken. En tot slot adviseren we u om het besturingssysteem regelmatig te scannen met een gerenommeerde antivirus- of antispyware-software en deze actueel te houden. Als uw computer al geïnfecteerd is met DoppelPaymer, dan raden we u aan een scan uit te voeren met Spyhunter om deze ransomware automatisch te verwijderen.

Tekst in DoppelPaymer ransomware's tekstbestanden:

Uw netwerk is gepenetreerd.

Alle bestanden op elke host in het netwerk zijn gecodeerd met een sterk algoritme.

Back-ups werden gecodeerd of verwijderd of back-upschijven werden geformatteerd.
Schaduwkopieën zijn ook verwijderd, dus F8 of andere methoden kunnen de gecodeerde gegevens beschadigen maar niet herstellen.

We hebben een exclusief decryptiesoftware voor uw situatie
Er is geen decoderingssoftware beschikbaar voor het publiek.

NIET RESETTEN OF UITSCHAKELEN - bestanden kunnen beschadigd raken.
HERNOEM OF VERPLAATS de gecodeerde en leesmij-bestanden niet.
VERWIJDER de readme-bestanden NIET.
Gebruik GEEN herstelsoftware om gecodeerde bestanden te herstellen.
Dit kan ertoe leiden dat bepaalde bestanden niet hersteld kunnen worden.


Voor informatie (decoderen van uw bestanden) neem contact met ons op via uw persoonlijke pagina:

1. Download en installeer Tor Browser: hxxps: //www.torproject.org/download/
2. Start de browser na een succesvolle installatie en wacht op initialisatie.
3. Typ de adresbalk in:

*************

4. Volg de instructies op de site
5. U zou binnen 48 UUR contact moeten opnemen vanaf uw systemen geïnfecteerd zijn.
6. De bovenstaande link is 7 dagen geldig.
Als u ons binnen die periode niet contacteert,
dan gaan al uw lokale gegevens volledig verloren.
7. Vragen? e-mail: [email protected]
Als e-mail niet werkt - nieuwe die u op een tor-pagina kunt vinden.


Hoe sneller u in contact komt - hoe lager de prijs die u kunt verwachten.

GEGEVENS

-

Screenshot van de DoppelPaymer's Tor website (toen het beoogde bedrijf Ohio Gratings Inc was):

DoppelPaymer webpagina

Tekst op deze pagina:

DoppelPaymer
Ohio Gratings Inc. Uw netwerk is gepenetreerd.
Deze link en uw decoderingssleutel verlopen binnen de 14 dagen nadat uw systemen geïnfecteerd zijn.
Het delen van deze link of e-mail zal leiden tot de onomkeerbare verwijdering van de decoderingssleutels.

GEEN TIJD blijft voor speciale prijs.

Alle bestanden op elke host in het netwerk zijn gecodeerd met een sterk algoritme.
Back-ups werden gecodeerd of verwijderd of back-upschijven werden geformatteerd.
Er is geen werkende ontcijferingssoftware beschikbaar van andere bronnen.
Wijzig de naam van de gecodeerde of informatieve tekstbestanden niet. Verplaats de gecodeerde of informatieve tekstbestanden niet.
Dit kan ertoe leiden dat bepaalde bestanden niet hersteld kunnen worden.

We hebben ook al uw privégevoelige gegevens verzameld.
Dus als u besluit niet te betalen, dan delen we die.
Het kan uw zakelijke reputatie schaden.

Uw referentie-ID: 135
(we raden u aan om de referentie-ID als onderwerp te vermelden wanneer u contact met ons opneemt)
BTC-portemonnee voor betaling:
********************
u kunt de status hier controleren: hxxps: //www.blockchain.com/btc/address/17rJmFiKyYbNZmt9xiz8yTScX1QvWpt7pz
Contact e-mail: [email protected]
Gebruik de chat onderaan deze pagina om contact met ons op te nemen. U heeft 48 uur de tijd om dat te doen/om de prijs te bespreken.
We antwoorden niet onmiddellijk, het kan enkele uren duren voordat u het eerste antwoord ziet. Mogelijk moet u deze pagina ook vernieuwen in de browser.

Om de bestanden in uw netwerk te decoderen, moet u betalen voor de decoderingssoftware.
De prijs voor de decryptor is gebaseerd op de netwerkgrootte, het aantal werknemers, de jaarlijkse omzet. Neem gerust contact met ons op voor het bedrag in BTC dat betaald moet worden.

U moet 2 paar bestanden die uniek zijn voor u (somefile1.locked&somefile1.readme2unlock.txt en somefile2.locked&somefile2.readme2unlock.txt) inpakken in ZIP en naar ons verzenden .
En u heeft die 2 ontgrendeld en weet zeker dat het werkt.

Sommige gevoelige informatie is van de bestandsservers gestolen en wordt openbaar geüpload voor het geval dat u ons niet betaalt.

Neem binnen de 2 dagen nadat u de codering hebt opgemerkt contact met ons op. Als dit niet gebeurt, dan wordt de prijs na 2 dagen met 25% verhoogd.

De prijs zou in 1 week met 100% (dubbele prijs) verhoogd worden.

Uw sleutel zal binnen de twee weken volledig gewist worden.
Online chat

Screenshot van bestanden versleuteld door DoppelPaymer (".locked" extensie):

Bestanden versleuteld door DoppelPaymer

Kwaadaardig DoppelPaymer proces uitgevoerd in Taakbeheer als "SpotLife WebAlbum Service Plugin":

DoppelPaymer proces in Taakbeheer

DoppelPaymer ransomware verwijderen:

DoppelPaymer virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van DoppelPaymer virus. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op start, klik op 'Sluit af', klik op 'Opnieuw opstarten' en klik op OK. Druk tijdens het opstarten van de computer meerdere malen op de F8-toets op uw toetsenbord totdat u het menu 'Windows opties' ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige Modus met Netwerk

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 Veilige Modus met Netwerk

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met het DoppelPaymer virus. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Herstart je computer in veilige Modus met Commando-prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

systeemherstel via commando-prompt typ cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

systeemherstel via commando-prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

herstel systeembestanden en instellingen

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze DoppelPaymer ransomware je PC geïnfiltreerd had).

selecteer een herstelpunt

6. In het geopende venster klik 'Ja'.

systeemherstel uitvoeren

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van de DoppelPaymer ransomware te verwijderen.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze mDoppelPaymerode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de DoppelPaymer ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze mDoppelPaymerode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Herstel bestanden veresleuteld door CryptoDefense

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt), herstart je computer met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met DoppelPaymer, kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer screenshot

Om uw computer te beschermen tegen ransomware voor het versleutelen van bestanden, gebruikt u gerenommeerde antivirus- en antispywareprogramma's. Als een extra beveiligingsmDoppelPaymerode kunt u de programma's HitmanPro.Alert en EasySync CryptoMonitor gebruiken, die groepsbeleidsobjecten kunstmatig in het register implementeren om malafide programma's zoals DoppelPaymer ransomware te blokkeren.

Merk op dat de Windows 10 Fall Creators Update een "gecontroleerde toegang tot mappen"-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

gecontroleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie over hoe u deze update kunt uitvoeren en voeg extra bescherming toe voor ransomware-infecties.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen - voordat gebruikersbestanden getroffen worden:

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de DoppelPaymer ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/16325-doppelpaymer-ransomware

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Verwijderingsinstructies in andere talen
QR Code
DoppelPaymer virus QR code
Een QR code (Quick Response Code) is een code die door toestellen kan gelezen worden en die URL's en andere informatie bevat. Deze code kan gelezen worden met de camera van een smartphone of tablet. Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van DoppelPaymer virus op je mobiele toestel.
Door ons aanbevolen:

Maak vandaag nog komaf met DoppelPaymer virus

▼ VERWIJDER DEZE NU met Spyhunter

Platform: Windows

Oordeel van de redactie over Spyhunter:
Zeer goed!

[Terug naar boven]

De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter.