De CTB-Faker Ransomware - Hoe te verwijderen

De CTB-Faker ransomware is een nieuwe ransomware variant die probeert om de CTB-Locker ransomware te imiteren. Helaas slaagt het niet in deze missie. De reden hiervoor is omdat het in de eerste plaats niet in staat is om data te coderen. Het CTB-Faker virus vergrendelt gewoon je data in een archief. Wel, dat staat ver af van de uitgebreide ransomwares zoals, bijvoorbeeld, de recent uitgebrachte Microsoft Decryptor ransomware,.

Over de CTB-Faker Ransomware

In plaats van je bestanden daadwerkelijk te coderen, verplaatst het CTB-Faker virus ze naar een met wachtwoord beschermd ZIP archief. Deze ransomware gebruikt WinRAR om alle bestanden met de volgende extensie in het C:Users.zip met wachtwoord beschermde ZIP archief te plaatsen. De extensies zijn:

[bl:]

.exe, .msi, .dll, .jpg, .jpeg, .bmp, .gif, .png, .psd, .mp3, .wav, .mp4, .avi, .zip, .rar, .iso, .7z, .cab, .dat, .data

[:bl]

Daarna worden er 2 bestanden aangemaakt: je persoonlijke bestanden werden gecodeerd.txt en index.html. Je persoonlijke bestanden werden gecodeerd.txt wordt op de C schijf geplaatst en in de Programma Data map van de schijf. Index.html zal ook in de Programma Data map van de C schijf geplaatst worden. Deze twee bestanden bevatten de losgeldbrief. De hackers achter de CTB-Faker malware beweren dat hun kwaadaardig programma een sterk codering algoritme is, namelijk SHA-512, en een unieke sleutel – RSA-4096 – werd aangemaakt voor het coderen van je persoonlijke bestanden. Er wordt gezegd dat deze bewaard wordt op een donkere server. Het bedrag van het losgeld is 50 USD. Deze cyber criminelen lijken niet gulzig te zijn. Wat meer is, ze geven je 7 dagen om te betaling over te maken, nadien wordt het bedrag verdubbelt. Het Bitcoin adres is 1NgrUc748vG5HerFoK3Tkkb1bHjS7T2w5J. De cyber criminelen vragen ook om de transactie ID naar [email protected] te mailen om de decoderingssleutel te krijgen. Deze e-mail kan ook gebruikt worden voor hulp en ondersteuning. Er wordt ook nog een alternatief BTC adres gegeven – 3MTTgd2BaPndUYkmGjiacaPLkuWsiPUzM3, en ook een alternatief e-mailadres – [email protected].

De CTB-Faker hackers dreigen ermee de sleutel te vernietigen, als je je niet aan de regels houdt in de losgeldbrief. Ze zeggen dat de enige manier om je data te herstellen hen te betalen is. Dit is echter verre van waar. Lees de volgende sectie om te weten te komen hoe je de bestanden kan herstellen zonder te maken te moeten hebben met criminelen.

Hoe wordt de CTB-Faker Ransomware verdeeld?

De CTB-Faker cryptomalware wordt verdeeld via porno sites. Om meer specifiek te zijn, via nep profiel pagina’s op deze sites, die wachtwoorden en links bevatten naar wachtwoord beschermde striptease video’s. Als je de voorziene link volgt, wordt het ZIP bestand gedownload. Momenteel bevind dit ZIP bestand zich op JottaCloud. Zodra het ZIP bestand uitgepakt is en uitgevoerd wordt, begint het CTB-Faker virus aan zijn vuil werkje.

Hoe bestanden decoderen die gecodeerd werden door de CTB-Faker Ransomware?

In feite kan je (of kon je afhankelijk of je geïnfecteerd bent of niet) verhinderen dat het CTB-Faker virus je data vergrendelt. Als je een pop-up krijgt (kreeg) met een nep grafische kaart fout bij het proberen te bekijken van de zogenaamde striptease video, is (was) de ransomware in het midden van zijn misdaad. Op dat moment moet je de computer uitschakelen, en het probleem is opgelost. Als je de originele installer van de CTB-Faker ransomware die je gedownload hebt, hebt kan je de volgende link volgen voor hulp – http://www.bleepingcomputer.com/forums/t/619672/ctb-faker-help-and-support-topic-your-personal-files-are-encryptedtxt/. De decoder zal binnen een aantal minuten vrijgegeven worden.

Als je je data onmiddellijk nodig hebt, maak dan een kopie van de originele installer en verwijder de CTB-Faker ransomware met één van de volgende krachtige automatische malware verwijdering tools: Spyhunter of Malwarebytes. Daarna kun je de back-up gebruiken. Als je geen back-up hebt van je data, controleer dan Shadow Volume Copies, als je de Shadow Volume Service gebruikt. Indien niet probeer dan data recovery tools zoals Recuva, R-Studio of PhotoRec, etc. Wees verstandig en maak regelmatig een back-up van je bestanden. Tenslotte kan je ook het CTB-Faker virus verwijderen aan de hand van onderstaande stap-voor-stap instructies, denk er gewoon aan dat automatisch verwijderen steeds voorrang heeft in zulke gevallen omdat het veel meer kan doen manuele verwijdering zelfs als je een ervaren gebruiker bent. Succes.

Hoe De CTB-Faker Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt

voor Windows 7 / Vista/ XP

• Start → Afsluiten → Herstarten → OK.
• Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
• Kies Veilige Modus met Opdracht Prompt.

voor Windows 8 / 10

• Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
• Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
• Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.

Systeembestanden en instellingen herstellen.

• Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
• Geef dan rstrui.exe in en druk opnieuw op Enter.
• Klik op “Volgende” in het venster dat verscheen.
• Selecteer één van de Herstelpunten die beschikbaar zijn voor dat CTB-Faker Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
• Om het Systeemherstel te starten klik je op “Ja”.

2. Complete verwijdering van De CTB-Faker Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan CTB-Faker Ransomware.

3. Herstel door De CTB-Faker Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert CTB-Faker Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.