De GNL Locker is een ransomware Trojaan die erg lijkt op virussen zoals Locky, CryptoWall, TeslaCrypt, CryptoHasYou, om er maar een paar te noemen. In het ‘‘GNL’’ acroniem staat de ‘‘G’’ voor German, ‘‘N’’ – voor Netherlands en ‘‘L’’ – voor locker. Deze selectie van landen gebeurde niet zomaar willekeurig – het virus controleert het IP-adres en viseert specifiek Duitse en Nederlandse gebruikers. GNL Locker wordt beschouwd als een andere versie van de Hidden Tear open source cryptomalware.
Over de GNL Locker Ransomware
GNL Locker tast bijna alle versies van Windows OS aan en codeert allerlei bestanden: tekst, audio, video bestanden, archieven, etc. De data wordt gecodeerd met een RSA-2048 algoritme (met een sleutel van 2048 bits lang) en maakt gebruik van het unieke 32-tekens lange AES wachtwoord. Aan deze bestanden wordt de ‘‘.locked’’ extensie toegevoegd (bv. story.doc wordt story.locked). Het coderingsproces wordt verborgen onder het svchost.exe host proces. Als het voltooid is, wordt je bureaublad achtergrond vervangen met het UNLOCK_FILES_INSTRUCTIONS.PNG bestand, in elke map met gecodeerde bestanden verschijnt het UNLOCK_FILES_INSTRUCTIONS.TXT bestand, en de UNLOCK_FILES_INSTRUCTIONS.HTML pagina kan verschijnen als je de browser opent. De hackers vragen rond de 0.4 tot 0.6 BTC (Bitcoins), dat is tussen 150 en 250 USD. Ze dreigen ermee het losgeld te verdrievoudigen als het hen niet tegen een bepaalde datum bereikt. GNL Locker kan gebruik maken van een .bat bestand om bevelen te geven aan Windows kernel.
Hoe wordt de GNL Locker Ransomware verspreid?
De GNL Locker cryptomalware wordt verspreid via spam e-mails en hun kwaadaardige bijlagen. Deze bijlagen bevatten verdachte bestanden die geïnfecteerd zijn met het virus. De e-mails kunnen ook links naar schadelijke sites bevatten. Deze spam e-mails zijn meestal nep loterij lotjes, promoties, onverwachte transfers van geld naar PayPal accounts, etc. De andere manier waarop ransomwares zoals GNL Locker je systeem binnendringen is via systeem kwetsbaarheden waarvan exploit kits handig gebruik maken. Bijvoorbeeld, GNL Locker, kan net zoals de KimcilWare ransomware, de Macro functionaliteit uitbuiten.
Hoe Bestanden Die Gecodeerd Werden Door De GNL Locker Ransomware Decoderen
Op dit moment zijn er geen decodering tools beschikbaar. Maar, een geluk bij een ongeluk, schaduw volume kopieën worden niet vernietigd door GNL Locker en kunnen gebruikt worden om gecorrumpeerde bestanden te herstellen. Bovendien kan je ook data recovery tools zoals Photorec, Kaspersky virus-bestrijdende hulpmiddelen of R-Studio gebruiken.
Al bij al, is het ten stelligste aangeraden om back-up systemen zoals Google Drive, Elephant Drive te gebruiken of om je waardevolste data te bewaren op een externe schijf. Voor het verwijderen van het virus gebruik je best een professioneel anti-virus tool zoals SpyHunter, Malwarebytes of StopZilla. Het beste zou zijn dat je op voorhand zorg draagt voor je data en veiligheid en een betrouwbaar anti-malware programma installeert.
De Gnl Locker Ransomware snelkoppelingen
- Over de GNL Locker Ransomware
- Hoe wordt de GNL Locker Ransomware verspreid?
- Hoe Bestanden Die Gecodeerd Werden Door De GNL Locker Ransomware Decoderen
- Automatische tools Malware verwijderen
- Hoe De GNL Locker Ransomware verwijderen via het Systeemherstel?
- 1. Herstart je computer in Veilige Modus met Opdracht Prompt
- 2. Complete verwijdering van De GNL Locker Ransomware
- 3. Herstel door De GNL Locker Ransomware aangetaste bestanden met “Shadow Volume Copies”
Automatische tools Malware verwijderen
(Win)
Opmerking: Spyhunter proef levert detectie van parasieten zoals De Gnl Locker Ransomware en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Opmerking: Combo Cleaner proef levert detectie van parasieten zoals De Gnl Locker Ransomware en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar,
Hoe De GNL Locker Ransomware verwijderen via het Systeemherstel?
1. Herstart je computer in Veilige Modus met Opdracht Prompt
voor Windows 7 / Vista/ XP
- Start → Afsluiten → Herstarten → OK.
- Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
- Kies Veilige Modus met Opdracht Prompt.
voor Windows 8 / 10
- Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
- Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
- Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.
Systeembestanden en instellingen herstellen.
- Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
- Geef dan rstrui.exe in en druk opnieuw op Enter.
- Klik op “Volgende” in het venster dat verscheen.
- Selecteer één van de Herstelpunten die beschikbaar zijn voor dat GNL Locker Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
- Om het Systeemherstel te starten klik je op “Ja”.
2. Complete verwijdering van De GNL Locker Ransomware
Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan GNL Locker Ransomware.
3. Herstel door De GNL Locker Ransomware aangetaste bestanden met “Shadow Volume Copies”
Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert GNL Locker Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.
Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.
a) Native Windows Previous VersionsRechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.