ODIN ransomware - Hoe te verwijderen

De ODIN Ransomware is een andere variant van de Locky ransomware die nu al een paar maanden computers infecteert. Dit laatste virus kent veel succes en het infecteert computers reeds sinds februari 2016. Het lijkt erop dat cyber criminelen hier niet willen stoppen, dus brengen ze er een nieuwe versie van uit.

De naam van de nieuwe ransomware komt van de .odin extensie die het gebruikt om gecorrumpeerde bestanden te benoemen. Terwijl het verwijderen van ODIN niet zo ingewikkeld is, kan het decoderen van de bestanden een hele uitdaging zijn. Om je bestanden te herstellen zal je eerst de ODIN Ransomware moeten verwijderen.

Over de ODIN Ransomware

De ODIN Ransomware gebruikt RSA-2048 en AES-128 codering algoritmes om je persoonlijke bestanden te vergrendelen. Het is zeer moeilijk om bestanden te ontgrendelen die op deze manier versleuteld werden. Om het nog wat erger te maken, is de ODIN ransomware ingesteld om een breed gamma aan extensies te versleutelen. Zodra het programma erin slaagt de bestanden te detecteren, vergrendelt het deze en maakt het drie bestanden aan die de situatie kenbaar maken aan het slachtoffer. Deze bestanden noemen: _[2_digit_number]_HOWDO_text.html, _HOWDO_text.bmp, and _HOWDO_text.html.

Het komt erop neer dat deze berichten beweren dat je een private sleutel, welke natuurlijk niet gratis is, moet krijgen om je bestanden te ontgrendelen. Net zoals het Locky virus en andere versies van dit vervelende programma, vraagt de ODIN ransomware gebruikers om de TOR browser te downloaden en installeren om de betaling uit te voeren. Overweeg deze optie zelfs niet, omdat je enkel je geld zal verliezen en het probleem waarschijnlijk zal blijven bestaan. In plaats hiervan moet je de ODIN Ransomware verwijderen met Spyhunter of een ander anti-malware programma. Volg daarna de instructies onder dit artikel en probeer je data te herstellen.

De distributiemethodes van de ODIN ransomware

Net zoals zijn voorgangers neemt de ODIN ransomware computers over via spam berichten. Ondanks dat gebruikers vaak gewaarschuwd worden om geen bijlagen van hun spam mails te openen, lijkt het erop dat deze techniek nog steeds werkt. Sommige gebruikers hebben gemeld dat ze een geïnfecteerd bestand ontvangen hebben met de naam “Receipt [willekeurige cijfers]”. Zodra je op dit bestand klikt, maak je de weg vrij voor de infectie om je systeem over te nemen.

Zoals je wel begrijpt, kan je ODIN en andere ransomware van deze familie vrij gemakkelijk vermijden. Je moet gewoon voorzichtiger zijn met welke mailbijlagen je opent. Het loont steeds de moeite om jezelf, de manieren waarop computer virussen zich verspreiden en hoe deze te vermijden, aan te leren. Wees voorzichtig als je online bent, want je weet nooit welke infectie je systeem wil binnendringen.

Hoe bestanden decoderen die versleuteld werden door de ODIN Ransomware

Het eerste wat je moet doen voor je probeert de bestanden te decoderen, is de ODIN Ransowmare verwijderen. We raden je ten stelligste aan dit automatisch te doen met de hulp van een anti-malware programma, zoals Spyhunter of Malwarebytes. Volg daarna onderstaande stappen en probeer de bestanden te ontgrendelen.

UPDATE oktober 2016: de ODIN Ransomware is extreem actief geworden eind september. Zijn voornaamste doelwit is Europa, echter, ook Azië, Afrika en Noord Amerika hebben af te rekenen gehad met aanvallen. De brandweer van Honolulu heeft melding gemaakt van 20 computers die gehackt werden nadat een werknemer een e-mail opende die de ODIN Ransomware infectie bevatte. Gelukkig had de infectie zich niet verspreid naat het noodoproep systeem zodat de brandweer verder kon blijven functioneren. De IT sector had echter zijn handen vol aan het verwijderen van de ODIN Ransomware uit het netwerk. Het heeft een ganse dag geduurd voor ze erin slaagden ODIN bestanden, die de interne administratie en communicatie volledig lam legden, te ontgrendelen. De bestanden werden hersteld van op een back-up, wat nog maar eens bewijst hoe belangrijk het is om regelmatig een back-up te maken.

De recente aanvallen toonden aan dat de ODIN Ransomware niet langer WSF of JS bestanden gebruikt om het uitvoeringsbestand van het virus te downloaden. In plaats van een uitvoeringsbestand, wordt er nu een DLL bestnd gebruikt om het ODIN script in te zetten. Deze kleine wijziging bleek een enorme kopzorg te zijn voor beveiligingsexperten.

Hoe ODIN ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt

voor Windows 7 / Vista/ XP

• Start → Afsluiten → Herstarten → OK.
• Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
• Kies Veilige Modus met Opdracht Prompt.

voor Windows 8 / 10

• Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
• Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
• Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.

Systeembestanden en instellingen herstellen.

• Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
• Geef dan rstrui.exe in en druk opnieuw op Enter.
• Klik op “Volgende” in het venster dat verscheen.
• Selecteer één van de Herstelpunten die beschikbaar zijn voor dat ODIN ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
• Om het Systeemherstel te starten klik je op “Ja”.

2. Complete verwijdering van ODIN ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan ODIN ransomware.

3. Herstel door ODIN ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert ODIN ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.