Zyklon Locker - Hoe te verwijderen?

 

De Zyklon Locker is een ransomware virus genoemd naar een chemisch wapen dat gebruikt werd in WW II. Het werd ontdekt door de malware analiste Katja Hahn, het lijkt op GNL Locker (lees de volgende paragraaf) en het wordt beschouwd als een gemodifieerde versie van deze crypto-malware.

Over de Zyklon Locker Ransomware

Zodra Zyklon Locker je computer systeem infiltreert, plaatst het een .bat bestand, genaamd freepalistine.bat, in de %AppData% map. Dit uitvoeringsbestand begint de data die gecodeerd dient te worden te scannen. Alle types van bestanden kunnen gecodeerd worden: tekst, audio, video bestanden, afbeeldingen, etc. NAS (network-aangehechte opslag) kan ook gecompromitteerd worden. De Zyklon Locker codeert dat met een AES-512 code en voegt de .locked (net zoals GNL Locker) of .zyklon extensie toe aan de gecodeerde bestanden. Dan creëert het een UNLOCK_FILES_INSTRUCTIONS.txt bestand in elke map met gecodeerde data, UNLOCK_FILES_INSTRUCTIONS.png bestand vervangt je bureaublad achtergrond en de UNLOCK_FILES_INSTRUCTIONS.html wordt geladen wanneer je de browser opstart. De bestanden bevatten de losgeldbrief met verdere instructies. Nogmaals deze bestanden zijn tevens een kenmerk van GNL Locker. Het gevraagde losgeld bedraagt op dit moment ongeveer 0.6 BTC (Bitcoins) wat overeenstemt met 250 USD. Er wordt gezegd dat deze compensatie voor het herstellen van de data verdriedubbelt wordt (de derde overeenkomst met GNL Locker), als de betaling niet uitgevoerd werd voor de gegeven datum. Het heropstarten van he computer haalt ook niets uit omdat het registerwaarden toevoegt aan Windows Start up en start telkens Windows start.

Hoe wordt de Zyklon Locker Ransomware Verspreid?

De Zyklon Locker ransomware Trojaan gebruikt spam e-mails met kwaadaardige links en andere kwaadaardige bijlagen om je computer binnen te sluipen. Deze e-mails doen zich voor als officiële brieven van officiële bedrijven (bv. DHL, FedEx, etc.). Ze kunnen zelfs het loge en andere tekenen van “authenticiteit” bevatten. Maar het zijn neppe dit kan je zien aan de plaats waarin ze terechtkomen, en dat is de spam map. Ten tweede, exploit kits, zoals de Nuclear exploit kit, Angler exploit kit, Neutrino exploit kit, worden gebruikt bij hackers om gebruikers te injecteren met malware, voornamelijk ransomware.

Hoe bestanden decoderen die gecodeerd werden door de Zyklon Locker Ransomware?

Helaas bestaat er nog geen decodering tool op dit moment. Het lijkt er ook op dat het Zyklon Locker virus Volume Schaduw Kopieën, het is dus duidelijk dat de VSS (the Volume Shadow Copy Service) hier nutteloos is. Desondanks kan je data recovery software zoals PhotoRec, R-studio, etc. gebruiken. Als preventie moet je een back-up maken van je data op een externe opslag en een krachtige anti-malware installeren. Professionele malware verwijdering tools zoals Reimage, SpyHunter, Malwarebytes of StopZilla kunnen ook gebruikt worden om de Zyklon Locker ransomware te verwijderen. Volg de hieronder staande handleiding voor het verwijderen van Zyklon Locker.


Automatische tools Zyklon Locker verwijderen

 

Andere hulpmiddelen

 
  0   0
    Spyhunter
  0   0
    Malwarebytes’ Anti-Malware
 
Opmerking: Reimage proef levert detectie van parasieten zoals Zyklon Locker en helpt bijde verwijdering ervan gratis.Je kunt gedetecteerde bestanden, processen en registervermeldingen verwijderen uzelf ofaanschaf van een volledige versie.  We might be affiliated with some of these programs. Full information is available in disclosure

Hoe Zyklon Locker verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Zyklon Locker je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Zyklon Locker

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Zyklon Locker.


3. Herstel door Zyklon Locker aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Zyklon Locker om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

       

About the author

 
juli 22, 2016 07:40, juli 22, 2016 07:40
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *