Cry ransomware - Hoe te verwijderen?

 

Als je net in tranen wilt uitbarsten omdat je la je bestanden voor goed kwijt bent, moet je jezelf op de hoogte stellen van crypto-ransomware virussen en nuttige manieren om het opduiken van deze infecties te stoppen. Voorkomen is beter dan genezen en we stellen gebruikers dan ook voor om dit gezegde steeds in gedachte te houden. Het Cry virus is een ander lid van de bende genaamd “ransomware”. Deze variant komt zo uit het boekje en kan echt omschreven worden als een typische ransomware infectie. Zodra het op een appraat raakt, zal het Cry virus alles doen wat binnen zijn mogelijkheden ligt om onopgemerkt te blijven tot het versleutelingsproces voltooid is. We mogen niet vergeten dat het versleutelen steeds gebeurt met de hulp van sterke algoritmes, wat van het decoderen een ingewikkelde zaak maakt. Daarom is het beter dat je steeds zorgt dat je immuun bent voor dit type van virussen. Zelfs al stuur je de benodigde bitcoins voor een decoderingssleutel, kom je volgens beveiligingsrapporten nog vaak bedrogen uit. De ontvangen sleutels zijn niet in staat om je bestanden te decoderen of de misdadigers verdwijnen met de noorderzon nadat ze geld gekregen hebben.

Over de Cry Ransomware

Het Cry virus is niet helemaal een exact voorbeeld van een ransomware infectie maar het volgt eenzelfde routine. Nadat de lading van dit virus stiekem geïnstalleerd werd, slaagt dit klein uitvoeringsbestand erin om problemen te veroorzaken zonder dat het op tijd ontdekt wordt. Het stuurt verschillende info over de gebruiker naar de Command & Control server via UDP (dit is het signaal voor de misdadigers dat een nieuwe pc geïnfecteerd werd). De info over slachtoffers kan geüpload worden naar twee domeinen (Imgur.com en Pastee.org). Het virus kan zelfs je locatie te weten komen. Ook worden Windows Register Sleutels aangepast zodat het Cry virus samen met andere toepassingen opgestart wordt. Telkens je het apparaat start krijgt deze gemene lading de kans te starten met het versleutelingsproces. Voor het dit doet gaat het echter op zoek naar bestanden die geschikt zijn om te coderen. Het Cry virus richt zich op alle populaire types van documenten en zal al je waardevolle bestanden corrumperen.

Zodra de versleuteling voltooid is, is het Cry virus klaar om zijn aanwezigheid te onthullen. Deze ransomware doet veel moeite opdat slachtoffers deze infectie ernstig zouden nemen. Als eerste voegt het de .cry extensie toe aan elk gecodeerd bestand. Dit korte supplement identificeert de data die beïnvloed werd door een sterk algoritme (RSA-4096). Als je probeert om zo’n bestand te openen, zal je moeten vaststellen dat dit niet lukt. De Cry ransomware onthuld ook zijn aanwezigheid door een nieuwe map toe te voegen, genaamd “old_shortcuts” en er de versleutelde data in te plaatsen. De ontwerpers lijken echter een beetje onzeker en voegen nog twee extra bestanden toe aan je bureaublad. Een .txt bestand en een .html, welke je naar een onbekende site leiden (beiden genaamd: “!Recovery_[6 random characters]“. Er is ook een eigenaardige eigenschap aan het Cry virus: het doet zich voor afkomstig te zijn van: Central Security Treatment Organization. Deze organisatie bestaat niet en de mooie naam mag je niet misleiden tot het betalen van de gevraagde som van 625 dollar (1.1 Bitcoin). Me heeft ook gemerkt dat het Cry virus alle Shadow Volume Copies vernietigd.

Dit is de inhoud van de losgeldbrief (nadat je inlogde op een bepaalde site):

“Central Security Treatment Organization Department of pre-trial settlement

Waarschuwing! Al je bestanden werden versleuteld!

Je documenten, databases, project bestanden, audio en video inhoud en andere vitale bestanden werden versleuteld met een crypto algoritme van militaire standaard!!! Om de toegang tot je bestanden te herstellen moet je een vergoeding van $625 betalen voor het decoderen.

Enkel nadat deze volledig betaald werd zal je voorzien worden van speciale software voor het decoderen van je data.

Belangrijk

Als je niet binnen de 4d 4u betaald, zal de vergoeding verhoogd worden naar $1250 Aandacht: probeer niet zelf je bestanden te decoderen! Dit is onmogelijk en kan er toe leiden dat de versleutelde data gecorrumpeerd wordt en dus niet meer hersteld kan worden! Als je de verhoogde vergoeding niet betaald binnen de periode van 4d 4u, wordt je unieke decoderingssleutel geblokkeerd en kan hij niet meer hersteld worden!”

Hoe bestanden decoderen die versleuteld werden met de Cry Ransomware?

Ransomware virussen bestaan reeds jaren maar het decoderen van de versleutelde bestanden blijft een delicate opdracht. Meestal moeten IT specialisten de nieuwe varianten eerst grondig analyseren en kunnen ze pas daarna voor gratis decoderingssleutels zorgen. We raden dus aan dat je wacht tot ze het Cry virus kraken en je de mogelijkheid bieden om 625 dollar te besparen. In feite dreigen de misdadigers er mee dit bedrag te verhogen naar 1250 dollars als je niet binnen de 100 uur betaald. Zorg ervoor dat je in de toekomst een back-up maakt van je bestanden en bewaar deze op USB sticks of op voorziene opslag plaatsen. Je kan hier steeds je bestanden ophalen. Aangezien het Cry virus je aanbiedt om 1 bestand te decodeen moet je hiervan gebruik maken. Misschien is het hebben van twee versies van dat bestand een voordeel voor de IT specialisten bij het decoderen.

Hoe wordt de Cry Ransomware verdeeld?

De Cry ransomware kan verdeeld worden door de meest ordinaire technieken. Je kan een vreemde mail in je postvak in zien en denken dat hij ongevaarlijk is. In werkelijkheid kan je, indien je hem opent en de bijlage download, een ransomware virus verwelkomen op je pc. Daarnaast kan de Cry ransomware ook geïmplementeerd worden als je klikt op willekeurige pop-ups, advertenties of webpagina’s met pornografische, gok of andere dubieuze inhoud bezoekt.

Twijfel niet en verwijder het Cry virus van je apparaat met geavanceerde tools die andere gebruikers reeds geholpen hebben met het herstellen van hun systeem na een ransomware aanval. Reimage, Spyhunter of Hitman worden erkent als zeer geschikt voor deze taak. Meer informatie over het decoderen/handmatig verwijderen vind je hieronder.


Automatische tools Cry ransomware verwijderen

 

Andere hulpmiddelen

 
  0   0
    Spyhunter
  0   0
    Malwarebytes Anti-Malware
 
Opmerking: Reimage proef levert detectie van parasieten zoals Cry ransomware en helpt bijde verwijdering ervan gratis.Je kunt gedetecteerde bestanden, processen en registervermeldingen verwijderen uzelf ofaanschaf van een volledige versie.  We might be affiliated with some of these programs. Full information is available in disclosure

Hoe Cry ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Cry virus je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Cry ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Cry virus.


3. Herstel door Cry ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Cry virus om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

           
september 20, 2016 07:30, september 20, 2016 07:30
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *