Hoe verwijdert u de Pysa ransomware uit uw systeem?

Ook bekend als: Pysa virus
Verspreiding: Laag
Schadeniveau: Ernstig

Pysa ransomware verwijderingsinstructies

Wat is Pysa?

Pysa is een nieuwe variant van de Mespinoza ransomware, die bestanden versleutelt en de extensie ".pysa" toevoegt aan hun bestandsnamen. "1.jpg" wordt bijvoorbeeld hernoemd in "1.jpg.pysa", enzovoort. Er wordt ook een tekstbestand gemaakt met de naam "Readme.README.txt" met daarin een losgeldbericht met instructies voor het herstellen van de bestanden. Zoals de meeste programma's van dit type, versleutelt Pysa de bestanden met een sterk versleutelingsalgoritme. Daarom kunnen de slachtoffers de toegang tot hun bestanden niet terugkrijgen, tenzij ze deze decoderen met een specifieke decoderingstool en/of -sleutel.

Om de toegang tot hun gegevens te herstellen, worden de slachtoffers 'dringend verzocht' om contact op te nemen met de ontwikkelaars van Pysa via het e-mailadres [email protected] of [email protected] De cybercriminelen sturen vervolgens de instructies over het betalen van het losgeld. Slachtoffers mogen twee gecodeerde bestanden verzenden, die de criminelen zogenaamd gratis zullen decoderen. Doorgaans bieden de cybercriminelen deze testdecodering aan als 'bewijs' dat ze de tools hebben waarmee de aangetaste bestanden gedecodeerd kunnen worden. Merk op dat alleen de cybercriminelen die de ransomware hebben ontwikkeld (in dit geval Pysa) de geldige tools hebben. Hoe dan ook, ze kunnen niet worden vertrouwd: mensen die cybercriminelen vertrouwen en losgeld betalen, worden vaak opgelicht. Ze ontvangen geen ontsleutelingstools en -sleutels zoals beloofd. Meestal is de enige gratis en veilige manier om bestanden te herstellen vanaf een back-up. Merk op dat zelfs als de ransomware van het besturingssysteem wordt verwijderd, alle bestanden gecodeerd blijven. Verwijdering voorkomt enkel dat het verdere versleuteling veroorzaakt.

Schermafbeelding van een bericht waarin gebruikers worden aangemoedigd losgeld te betalen om hun gecompromitteerde gegevens te decoderen:

Pysa decryptie instructies (Readme.README.txt)

Pysa is slechts een van de vele ransomware-programma's. Enkele andere voorbeelden zijn: Bobelectron, Nbes en DMR64. Meestal zijn ze ontworpen om te voorkomen dat de slachtoffers toegang krijgen tot hun gegevens door middel van versleuteling met een sterk cryptografisch algoritme (symmetrisch of asymmetrisch) en om een losgeldbericht aan te maken en/of weer te geven. Over het algemeen hebben alleen de cybercriminelen de tools die bestanden kunnen versleutelen die versleuteld zijn met hun ransomware. Daarom is het onmogelijk om de bestanden te ontsleutelen, tenzij de ransomware niet is voltooid (bevat bugs, fouten enzovoort). Om data- en financiele verliezen veroorzaakt door programma's van dit type te voorkomen, moet u een back-up van de gegevens maken en deze op een externe server (zoals in de cloud) en/of een niet-aangesloten opslagapparaat bewaren.

Hoe besmette ransomware mijn computer?

Meestal wordt ransomware en andere soorten malware verspreid via spamcampagnes, dubieuze bronnen voor het downloaden van bestanden of software, trojans, valse (niet-officiële) software-updates en activeringstools. Cybercriminelen sturen vaak e-mails met daarin schadelijke bestanden of weblinks. Hun belangrijkste doel is om de ontvangers te misleiden zodat ze het bijgevoegde/gedownloade bestand te openen: het installeert vervolgens ransomware of andere malware. Enkele voorbeelden van bestanden die cybercriminelen bij hun e-mails voegen, zijn Microsoft Office, PDF-doPysamenten, JavaScript-bestanden, archieven zoals ZIP, RAR en uitvoerbare bestanden (.exe). Om schadelijke software te verspreiden via onbetrouwbare software of kanalen voor het downloaden van bestanden, uploaden cybercriminelen schadelijke bestanden en hopen ze dat iemand ze zal downloaden en openen (uitvoeren). Eénmaal geopend, infecteren de bestanden de systemen met malware. Voorbeelden van kanalen die worden gebruikt om deze software te verspreiden, zijn onder meer: niet-officiële websites, freeware download- en gratis bestandhostingsites, peer-to-peer-netwerken (bijv. EMule, torrent-clients), externe downloaders, enz. Trojans zijn schadelijke programma's die vaak kettinginfecties veroorzaken . Als een computer dus geïnfecteerd is met een trojan, dan zal deze waarschijnlijk extra malware installeren, zoals ransomware. Valse, niet-officiële tools voor software-updates infecteren de systemen vaak door malware te downloaden en te installeren (in plaats van geïnstalleerde programma's bij te werken of te repareren), of door bugs/gebreken van verouderde software die op het besturingssysteem is geïnstalleerd, te misbruiken. Onofficiële activeringstools worden ook gebruikt om malware te verspreiden. Mensen die proberen te vermijden dat ze moeten betalen voor activering van gelicentieerde/betaalde software met behulp van dergelijke tools, veroorzaken vaak de installatie van malware.

Samenvatting bedreiging:
Naam Pysa virus
Type bedreiging Ransomware, cryptovirus, bestandslocker
Extensie versleutelde bestanden .pysa
Bericht met de vraag om losgeld Readme.README.txt
Contactgegevens cybercriminelen [email protected], [email protected], [email protected], [email protected]
Detectienamen Avast (Win32:Trojan-gen), BitDefender (Gen:Variant.Ransom.Dee.1), ESET-NOD32 (A Variant Of Win32/Filecoder.NYO), Kaspersky (Trojan.Win32.Zudochka.dtr), volledige detectielijst (VirusTotal)
Symptomen U kunt bestanden op uw computer niet meer openen, bestanden hebben een andere extensie gekregen (zoals my.docx.locked). Er verschijnt een bericht op uw bureaublad waarin cybercriminelen u vragen om een losgeld te betalen (gewoonlijk in bitcoin) om uw bestanden te ontsleutelen.
Distributie methodes Besmette e-mailbijlagen (macros), torrentwebsites, kwaadaardige advertenties.
Schade Alle bestanden zijn gecodeerd en ze kunnen niet worden geopend zonder losgeld te betalen. Extra trojans, wachtwoordstelers en andere malware-infecties kunnen samen met een ransomware-infectie worden geïnstalleerd.
Verwijdering

Om Pysa virus verwijderen, adviseren onze malwareonderzoekers om uw computer te scannen met Malwarebytes.
▼ Malwarebytes Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Malwarebytes kopen. Beperkte proefperiode van 14 dagen beschikbaar.

Hoe beschermt u uzelf tegen besmettingen met ransomware?

Download of installeer geen software via externe downloaders, installatieprogramma's of de andere dubieuze kanalen die hierboven zijn genoemd. Gebruik officiële en betrouwbare websites en directe downloadlinks. De geïnstalleerde software of besturingssysteem moet worden bijgewerkt met de geïmplementeerde functies en/of tools die zijn ontworpen door de officiële softwareontwikkelaars. Bijlagen of weblinks in irrelevante e-mails die worden verzonden vanaf onbekende, verdachte adressen, mogen niet worden geopend. Cybercriminelen vermommen hun e-mails en bijlagen vaak als belangrijk, officieel, enzovoort. Activeer geen software of besturingssystemen via 'cracks' of niet-officiële activeringstools. Dit is illegaal en leidt vaak tot de installatie van malware. Scan het besturingssysteem regelmatig op bedreigingen met betrouwbare antispyware- of antivirussoftware en zorg ervoor dat deze up-to-date is. Als uw computer al besmet is met Pysa, dan raden we u aan om een scan uit te voeren met Malwarebytes om deze ransomware automatisch te verwijderen.

Tekst gepresenteerd in het tekstbestand van de Pysa ransomware ("Readme.README.txt"):

Hallo bedrijf,

Elke byte op elk type apparaat is versleuteld.
Probeer geen back-ups te gebruiken omdat deze ook gecodeerd zijn.

Neem contact met ons op om al uw gegevens terug te krijgen:

[email protected]
[email protected]
[email protected]
[email protected]
--------------

FAQ:

1.
Vraag: Hoe kan ik ervoor zorgen dat je me niet voor de gek houdt?
A: U kunt ons 2 bestanden sturen (max. 2mb).

2.
Vraag: Wat te doen om alle gegevens terug te krijgen?
A: Start de computer niet opnieuw op, verplaats geen bestanden en schrijf ons niet.

3.
Vraag: Wat moet ik mijn baas vertellen?
A: Bescherm uw systeem Amigo.

Screenshot van bestanden versleuteld door de Pysa (".pysa"-extensie):

Bestanden versleuteld door de Pysa ransomware (.pysa extensie)

Update 19 maart 2020 - Er is vastgesteld dat de Pysa-ransomware voornamelijk werd gebruikt voor grote bedrijven; onlangs is het echter begonnen zich te richten op netwerken van lokale overheidsinstanties (met name in Frankrijk). Het is nog steeds onduidelijk hoe deze malware zijn slachtoffers precies infecteert. Het achtergebleven bewijs suggereert verschillende mogelijke scenario's, meer informatie hierover is te vinden in een artikel van Catalin Cimpanu op zdnet.com.

Pysa ransomware verwijderen:

Pysa virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Malwarebytes is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van Pysa virus. Download het door op de knop hieronder te klikken:
Malwarebytes DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om het volledige product te kunnen gebruiken moet u een licentie van Malwarebytes kopen. Beperkte proefperiode van 14 dagen beschikbaar. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op start, klik op 'Sluit af', klik op 'Opnieuw opstarten' en klik op OK. Druk tijdens het opstarten van de computer meerdere malen op de F8-toets op uw toetsenbord totdat u het menu 'Windows opties' ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Veilige Modus met Netwerk

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 Veilige Modus met Netwerk

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met het Pysa virus. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Herstart je computer in veilige Modus met Commando-prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

systeemherstel via commando-prompt typ cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

systeemherstel via commando-prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

herstel systeembestanden en instellingen

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze Pysa ransomware je PC geïnfiltreerd had).

selecteer een herstelpunt

6. In het geopende venster klik 'Ja'.

systeemherstel uitvoeren

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van de Pysa ransomware te verwijderen.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze mPysaode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Pysa ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze mPysaode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Herstel bestanden veresleuteld door CryptoDefense

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt), herstart je computer met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Pysa, kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer screenshot

Om uw computer te beschermen tegen ransomware voor het versleutelen van bestanden, gebruikt u gerenommeerde antivirus- en antispywareprogramma's. Als een extra beveiligingsmPysaode kunt u de programma's HitmanPro.Alert en EasySync CryptoMonitor gebruiken, die groepsbeleidsobjecten kunstmatig in het register implementeren om malafide programma's zoals Pysa ransomware te blokkeren.

Merk op dat de Windows 10 Fall Creators Update een "gecontroleerde toegang tot mappen"-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen DoPysamenten, Afbeeldingen, Video's, Muziek en Bureaublad.

gecontroleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie over hoe u deze update kunt uitvoeren en voeg extra bescherming toe voor ransomware-infecties.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen - voordat gebruikersbestanden getroffen worden:

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Pysa ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/16594-pysa-ransomware

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Verwijderingsinstructies in andere talen
QR Code
Pysa virus QR code
Een QR code (Quick Response Code) is een code die door toestellen kan gelezen worden en die URL's en andere informatie bevat. Deze code kan gelezen worden met de camera van een smartphone of tablet. Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van Pysa virus op je mobiele toestel.
Door ons aanbevolen:

Maak vandaag nog komaf met Pysa virus

▼ VERWIJDER DEZE NU met Malwarebytes

Platform: Windows

Oordeel van de redactie over Malwarebytes:
Zeer goed!

[Terug naar boven]

De gratis scanner controleert of je computer besmet is. Om het volledige product te kunnen gebruiken moet u een licentie van Malwarebytes kopen. Beperkte proefperiode van 14 dagen beschikbaar.