PClock Ransomware - Hoe Te Verwijderen?

 

De PClock ransomware is niet de recentste ransomware dreiging die werd uitgebracht. Cyber beveiligingsexperten hebben echter recentelijk een nieuwe opstoot ervan gedetecteerd. De PClock cryptomalware noemt zichzelf CryptoLocker, hoewel, er werd vastgesteld dat het niets meer is dan een ransomware uit een andere familie die probeert zich voor te doen als iets dat het niet is. De eerste opstoot van de PClock crypto-locker deed zich voor in januari 2015 en het is heel die tijd actief gebleven. De nieuwe opstoot van dit bestand corrumperende virus dook op in november 2016. Het is over deze vernieuwde versie van PClock dat we het willen hebben in deze post.

Wat is er nieuw aan de PClock Ransomware?

De PClock file-encrypting malware wordt gedetecteerd als Ransom: Win32/WinPlock.B of WinPlock door Microsoft. Het is geschreven in Visual Basic en versleuteld een ongelooflijk aantal van 2630 bestandstypes. Ter vergelijking, de eerste versies van de crypto-malware richten zich op het versleutelen van meer dan 100 bestandstypes. Tussen de vergrendelde bestanden bevinden zich allerlei documenten, foto’s, video bestanden, etc. Bijna alle data die opgeslagen is op je pc kan gecompromitteerd worden. Sommige van de doelwit bestandstypes zijn de volgende:

*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx

Elk versleuteld bestand wordt geregistreerd in het enc_files.txt bestand, wat zich in de Profiel map bevindt.


pclock-ransomware-2-viruses


pclock-ransomware-2-2-viruses

De schermafbeeldingen van de PClock crypto rogueware zijn de volgende:


the-first-version-of-pclock-ransomware-2-viruses

Terwijl de eerste versie van de ransomware je 72 uren, of 3 dagen gaf om de hackers te contacteren om het losgeld te betalen, geeft deze nieuwe variant van PClock de betrokken gebruikers 120 uren, of 5 dagen. Het bedrag van het losgeld werd gehalveerd – nu vragen de misdadigers 0,55 BTC (bitcoins), wat momenteel overeenstemt met 412,29 USD. suppteam03@india.com en suppteam03@yandex.ru zijn de voorziene contact e-mails in de losgeldbrief.

De eerste versie van de PClock ransom malware toonde de volgende losgeldbrief:

De twee spreidende vectoren van de PClock Ransomware

Het PClock file-targeting virus is een Trojaan, die verspreid wordt via of nep spam e-mails of via Crimace trojan, een ander Trojaan virus, dat werkt als een drager voor malware dreigingen. Het onderwerp van de geïnfecteerde spam e-mail is meestal PLEASE READ YOUR FAX T6931. Deze spam e-mails, bevatten bijlagen die zogenaamd faxen zijn, genoemd Criminal case against you, waarvan het uitvoeren resulteert in het downloaden van de payload van de PClock encrypting Trojaan op je pc.

Zoals we je reeds informeerden, wordt de PClock crypto Trojaan ook verdeeld door de Crimace trojan, welke gedetecteerd wordt als TrojanDownloader:JS/Crimace.A. Een RAR archief, dat een WSF (Windows Script File) bestand bevat wordt tevens gedownload met andere niet nader gespecifieerde gratis software. Als het archief geopend werd en het WSF bestand werd uitgevoerd, start er een JavaScript. Deze code download en installeert de Crimace trojan, welke, op zijn beurt, de PClock malware download en installeert van op een verwijderde, geheime online server.

In het geval van een PClock Ransomware infectie

Er werd nog geen decoder uitgebracht voor deze recentste versie van het PClock ransomware virus. Desalniettemin moeten geïnfecteerde gebruikers hun versleutelde data kopiëren en de nodige acties ondernemen om het virus te verwijderen, voor ze de data herstellen. Gebruik software zoals Reimage, Spyhunter of Malwarebytes. We hebben ook handmatige verwijderingsinstructies aangemaakt, maar deze vereisen veel meer tijd, energie en kennis om te worden uitgevoerd. Bovendien zal je volledige computer systeem niet worden doorlopen en kan er dus niet gedetecteerde malware op blijven staan.

Verspil in het geval van de nieuwe versie van de PClock ransomware, geen tijd en geld met het zoeken naar een decodering tool. Van zodra er eentje ontwikkeld wordt door cyber beveiligingsexperten, zullen we je hiervan op de hoogte stellen door dit artikel bij te werken. Maak voor nu gebruik van je onaangetaste back-up of koop recovery software zoals Recuva, PhotoRec, R-Studio, Kaspersky recovery tools, etc. The Shadow kopieën worden verwijdert of uitgeschakeld door deze ransomware.



Automatische tools PClock Ransomware verwijderen

 
 
Opmerking: Reimage proef levert detectie van parasieten zoals PClock Ransomware en helpt bijde verwijdering ervan gratis.Je kunt gedetecteerde bestanden, processen en registervermeldingen verwijderen uzelf ofaanschaf van een volledige versie.  We might be affiliated with some of these programs. Full information is available in disclosure

Hoe PClock Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat PClock Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van PClock Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan PClock Ransomware.


3. Herstel door PClock Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert PClock Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

 

PClock Ransomware schermafbeeldingen

 
     
 
 
december 15, 2016 07:30, juli 21, 2017 13:38
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *