qkG ransomware - Hoe te verwijderen

Het qkG ransomware virus is een nieuwe en unieke crypto-malware. Het wordt geactiveerd als mensen een kwaadaardig Word bestand downloaden en op de “Bewerken Inschakelen” knop klikken. Dit refereert naar de strategie van het verbergen van macro’s in schijnbaar onschadelijke .doc bestanden. Als je niet bekend bent met Macro virussen, kan dit uitgelegd worden als computer parasieten die verwerkt zitten in documenten en bestanden. Vaak worden, Word, PDF of spreadsheets gebruikt voor het dragen van kwaadaardige macro’s. Van zodra je bewerken inschakelt, worden deze VBA-macro’s. Nieuwe studies hebben echter aangetoond dat malware ook uitgevoerd kan worden zelfs als de macro’s uitgeschakeld zijn.

Deze qkG malware is volledig gebaseerd op het macro script. Meestal worden macro’s enkel gebruikt voor het verdelen-activatie proces. Dit is de klassieke techniek bij voorkeur van ransomware ontwerpers, maar het QkG crypto-virus breekt met deze standaard en functioneert volledig in VBA-macro’s, genaamd qkG. De ransomware is echter nog onder ontwikkeling, met nieuwe eigenschappen die op regelmatige basis worden toegevoegd. Onderzoekers detecteren verschillende versies van deze malware. Terwijl aangenomen wordt dat macro’s gevaarlijk zijn voor Windows besturingssystemen, hebben we uitgelegd dat ook Mac OSs kunnen lijden onder hun effecten.


qkG ransomware

Het qkG virus uitgelegd: verborgen macro’s, versleuteling van Word bestanden, zelfrealisatie en vele andere details

Het is een zeer interessante (en verontrustende) strategie die gebruikt wordt door de qkG ransomware. Het wijzigt normal.dot sjabloon en injecteert het virus (kwaadaardige macro) erin. Daarom zal, telkens het geïnfecteerde system Word opstart, het aangepaste sjabloon de codes van de ransomware uitvoeren en de bestanden die op dat moment geopend zijn versleutelen (QkG Filecoder: Self-Replicating, Document-Encrypting Ransomware). Verrassend is, dat als een person een geïnfecteerd document naar andere mensen stuurt, de computer van de ontvanger ook geïnfecteerd wordt met ransomware als het document geopend en bewerken ingeschakeld wordt. Dit is eerder een slimme truc om mensen het virus naar elkaar te laten transfereren.

Er zijn nog meer eigenaardige eigenschappen aan deze qkG bestand-codeerder. Als eerste, een van zijn versies versleuteld data enkel op een bepaalde dag van de week en op een specifiek tijdstip. Daarnaast is het zo, dat als deze ransomware verdeeld zou worden zoals het momenteel is, hackers niet in staat zouden zijn om bestanden te decoderen. De eerste versies van het qkG crypto-virus waren onvolledig. Waarom? Wel, ze hadden zelfs geen Bitcoin wallet adres voor slachtoffers om op te betalen.

Als het gaat over het versleutelen van bestanden, lijkt het erop dat het virus data versleuteld nadat de bestanden werden afgesloten. Voor het versleutelen van bestanden, selecteerden de ontwerpers van de ransomware de XOR-code. Beveligingsonderzoekers gaan van de veronderstelling uit dat de ransomware zijn oorsprong vind in Vietnam omdat een van de payloads “Tuyen bo chung Viet Nam – Hoa Ky – Infected.doc” was (File scan). Een andere variant werd geleverd via het 5 Rules for Snort.doc (VirusTotal scan).

Als mensen momenteel geïnfecteerd zouden worden met het QkG virus, zouden ze in staat zijn om bestanden te decoderen met een code “I’m QkG@PTM17! by TNA@MHT-TT2” (MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware). Er wordt niet verwacht dat versleutelde data specifieke extensies heeft, maar hun bestandsnamen kunnen veranderen.

Nuttige tips voor het bestrijden van crypto-virussen zoals deze qkG file-encoder

We moeten je wat manieren uitleggen voor het vermijden van crypto-malware. Ten eerste, download geen verdachte .doc bestanden. Als je zo’n betstand ontvangt van een onbekende bron, beschouw het dan onmiddellijk als gevaarlijk. Als je het opent en bewerken inschakelt, zal je toestaan dat ransomware op je apparaat komt, net zoals dat het geval is met de qkG infectie.

Terwijl de variant die we bespreken in dit artikel nog niet echt veel gebruikers besmet, wordt het snel ontwikkeld. Het zal niet lang meer duren voordat het eindproduct gebruikers bereikt en hun bestanden versleuteld. Als dit gebeurt, zullen beveiligingsonderzoekers mensen proberen te helpen hun data te herstellen.

Je kan immuun worden voor ransomware virussen door back-up opslag te gebruiken. Upload gewoon je waardevolle informatie naar deze hulpmiddelen. Dit heft tot resultaat dat je jezelf geen zorgen meer hoeft te maken over dat-versleutelende virussen zoals de qkG ransomware.

Om jezelf te beschermen tegen malware, denken we dat je moet beschikken over een anti-malware programma. Reimage herstel tool is gemakkelijk te gebruiken, efficiënt en snel. Het zal je helpen met het regelmatig uitvoeren van scans en de waarheid te weten te komen over de gezondheid van je besturingssysteem.

De tool is beschikbaar voor Windows, Mac en zelfs Android besturingssystemen. Reimage zal alle beschadigde Windows bestanden herstellen en alle bronnen van kwaadaardige activiteit vinden. Als je computer vaak te maken krijgt met virussen, garanderen we je dat deze situatie opgelost wordt zodra je Reimage koopt.

Hoe qkG ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat qkG ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van qkG ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan qkG ransomware.


3. Herstel door qkG ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert qkG ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

Bron: https://www.2-viruses.com/remove-qkg-ransomware

Removal guides in other languages

qkG ransomware (en) 
El ransomware qkG (es) 
Le ransomware qkG (fr) 
qkG ランサムウェア (jp) 
qkG Rnsomware (de)  Flag of Germany
Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.