Princess Locker Ransomware - Hoe Te Verwijderen?

 

Er werd een meer vrouwelijke naam gekozen voor dit nieuwe crypto-ransomware virus. Deze keer is de vloer voor de Princess Locker welke je systeem eerder betreed als een duistere dame dan een echte dame. Het werd pas een paar dagen geleden opgemerkt door Michael Gillespie. Deze luxueuze hoogheid eist dat haar slachtoffers een verrassend bedrag aan bitcoins betalen. Hoeveel exact? Lees dit artikel verder en je zal genoeg te weten komen over dit virus.

Over de Princess Locker Ransomware

Het Princess Locker virus slaagt er in om computers te infecteren om een standaard manier, zonder belangrijke technologieën of methodes te gebruiken. Zijn strategie is de lading van deze variant te verspreiden en te hopen dat de mensen het op de één of andere manier downloaden. Nadat dit doel bereikt is en het zich wortelt op je systeem, scant Princess Locker voor bestanden om te versleutelen. Zodra deze scan voltooid is kan de ransomware bestanden ruineren met een AES codering. Dit virus voegt geen specifieke extensie toe aan gecorrumpeerde bestanden, maar eerder een boel toevoegingen die verschillend kunnen zij voor elk geïnfecteerd slachtoffer. Het Princess Locker virus slaagt er echter wel in om twee identieke uitvoeringsbestanden te maken voor zijn doelwit.

We refereren naar de losgeldbrief, die uitlegt wat je moet doen om je versleutelde bestanden te herstellen. Ze zullen !_HOW_TO_RESTORE_[extension].TXT en !_HOW_TO_RESTORE_[extension].html genoemd worden. Desalniettemin zijn deze meldingen niet erg informatief en zeggen ze gewoon dat je bestanden versleuteld werden. De losgeldbrief bevat meestal een gepersonaliseerd ID nummer dat gebruikt wordt om te bepalen welke gebruiker reageert op de aanval. Om meer details over het Princess Locker virus te krijgen moet je één van de opgesomde websites bezoeken. Het kan echter zijn dat je geen toegang hebt tot deze domeinen tenzij je de TOR browser download. Op de vermelde webpagina’s, moet je je ID nummer gebruiken om je aan te melden en de verdere instructies te zien.

Zodra je één van de opgesomde links bezoekt, wordt je omgeleid naar een domein waar je de taal moet selecteren. Aangezien dit scherm veel talen bevat betekent dit dat het Princess Locker virus een breed publiek over de hele wereld als doelwit heeft. Bovendien zal het bezochte domein je ook de mogelijkheid bieden om een geselecteerd uitvoeringsbestand te decoderen. De grootte van dit bestand mag niet meer dan 1 MB bedragen.

Hoe bestanden decoderen die versleutel werden door de Princess Locker Ransomware

Hoewel de ontwerpers van het Princess Locker virus veel moeite deden om een uitgebreide zwendel te genereren moet je niet denken dat ze hun woord zullen houden en je bestanden zullen decoderen. Bovendien vraagt deze ransomware een belachelijk bedrag aan bitcoins: 3 (ongeveer 1841.64 US Dollars). Je wordt ook op en klok gezet om te betalen en als deze nul bereikt voor je betaald hebt kan dit bedrag oplopen tot 6 bitcoins. Dit is wel een zeer hoge vergoeding en we dringen er op aan dat je dit niet betaald. Wacht tot echte beveiligingsonderzoekers erin slagen een decoder te vinden. Tot dan kan je proberen om te zien of het virus je Shadow Volume Copies verwijderde. Je kan ook universele decodering tools proberen. In onderstaande secties wordt verder ingegaan op de opgesomde mogelijkheden. Denk er in de toekomst aan om je bestanden steeds op te slaan op een back-up of op een USB stick.

Hoe wordt de Princess Locker Ransomware verdeeld?

Het Princess Locker virus verspreid zich waarschijnlijk net zoals andere ransomware. De lading van deze infectie kan zich verbergen onder onschuldig uitziende uitvoeringsbestanden. Als je een vreemde mail ontvangt, zorg er dan voor dat de bron betrouwbaar is. Soms maken criminelen echter meldingen over aankopen of belastingen die er echt betrouwbaar uitzien. Wees voorzichtig met het openen van deze berichten. Voor je een bijlage download of het aangegeven domein bezoekt, moet je weten dat dit kan leiden tot het Princess Locker ransomware virus. Als je deze infectie opmerkt op je systeem kan je proberen om het handmatig te verwijderen. Desalniettemin kan zulke actie soms meer schade aanrichten dan goed doen. Als je geen ervaren gebruiker bent voer dan een volledige systeemscan uit met tools zoals Reimage, Spyhunter of Hitman. Deze programma’s zullen je beveiligingsproblemen oplossen.

Hoe Princess Locker ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Princess Locker ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Princess Locker ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Princess Locker ransomware.


3. Herstel door Princess Locker ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Princess Locker ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

       
 

Over de auteur

 
oktober 18, 2016 07:19, oktober 18, 2016 07:19
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *