R980 Ransomware - Hoe Te Verwijderen?

 

De R980 ransomware is één van de recentste (zo niet het recentste) bestand codering virus. Een uitvoerige analyse van deze cyber dreiging kan pas in de toekomst uitgevoerd worden. Momenteel, zullen we je bekend maken met de feiten die reeds geweten zijn over dit ransomware virus.

Over de R980 Ransomware

Momenteel wordt er nog gediscussieerd of het R980 virus een cryptomalware genoemd kan worden, daar sommige bronnen beweren dat het niets codeert. Er zijn echter meer beweringen dat deze ransomware effectief data codeert en hiervoor het asymmetrisch codering algoritme gebruikt, dat momenteel ook gebruikt wordt door de meest geavanceerde ransomwares (bv. Jager ransomware, etc.). Zijn losgeldbrief informeert je dat de data gecodeerd werd met AES-256 en RSA-4096 cijfers. Dit betekent dat er tijdens het coderingsproces twee sleutels gecreëerd. De ene sleutel is openbaar en wordt gebruikt voor het coderen. De andere is een private en wordt gebruikt voor het decoderen. Deze laatste wordt ver weg gestopt op de servers die onder controle staan van deze cyber criminelen. Voor deze sleutel moet je betalen. De losgeldbrief leest als volgt:

!!!! AANDACHT !!!! JE BESTANDEN WERDEN GECODEERD! !!!!

AL je documenten, foto’s, databases en andere belangrijke bestanden werden gecodeerd met AES – 256 en RSA4096. Je zal niet in staat zijn je bestanden te herstellen zonder de private sleutel op onze server. Een antivirus kan je bestanden niet herstellen.

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

HOE JE BESTANDEN TERUGKRIJGEN

: Om je bestanden te herstellen moet je .5 Bitcoins (BTC) betalen.

Hoe betalen?

    1. Als eerste moet je Bitcoins (BTC) kopen. Op de volgende sites kan je makkelijk Bitcoins kopen (als je reeds Bitcoins hebt kan je deze stap overslaan).

https://www.coinbase.com/

https://coincafe.com/

https://bitquick.co/

    1. Stuur .5 BTC aan het volgende Bitcoin adres – Je moet niet exact bovenstaand bedrag versturen. Dit is het minimum bedrag dat je dient te sturen om ons systeem de betaling te laten bevestigen.

BITCOIN ADRES: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr

  1. Zodra je een betaling uitgevoerd hebt aan bovenstaand Bitcoin adres zullen we je voorzien van een link naar een decoder, welke je bestanden zal herstellen.

Deze wordt aan een openbare e-mailaccount gestuurd die we voor je hebben aangemaakt:

https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe

Gelieve 24 uur te wachten tot je decoder arriveert.

Het heet ‘‘DECRYPTION_INSTRUCTIONS’’. Zoals je kan zien vragen de hackers achter het R980 file-encrypting virus voor 0.5 BTC (Bitcoins), wat op het moment van schrijven 327.69 USD is. Deze som moet in crypto munteenheid (d.w.z. Bitcoins) overgeschreven worden zodat de identiteit van deze cyber misdadigers verborgen blijft. Ze verklaren dat de sleutel 24uur na de betaling verstuurd wordt. De exacte bestand types, welke het doelwit vormen van de R980 crypto malware, worden niet gespecifieerd. Maar wij nemen aan dat die elk bestandsformaat kan zijn omdat ransomware een breed scala kunnen beschadigen.

Hoe wordt de R980 Ransomware verdeeld?

De R980 ransomware wordt toegewezen aan de categorie van Trojanen omdat het dezelfde methode gebruikt als deze virussen om een systeem te infiltreren. Dit is de spam e-mail campagne, welke het versturen van spam mails aan gebruikers omvat. Natuurlijk zijn deze mails geïnfecteerd. Dit of door de links die erin verwerkt zijn of door hun bijlagen. Het wordt daarom ook afgeraden om links van spam mail te volgen of om hun bijlagen te openen. Ze kunnen verleidelijk zijn en nieuwsgierigheid opwekken, maar laat je nooit overweldigen door hun vermommingen. De R980 crypto-malware kan ook door exploit kits op je computer geplaatst worden bij het bezoeken van dubieuze sites zoals bestand delen sites. Exploit kits (bv. Angler, Nuclear, Blackhole, etc.) houden zich schuil op deze sites en als ze bepaalde kwetsbaarheden ontdekken in je software, installeren ze de ransomware op je PC.

Hoe bestanden decoderen die gecodeerd werden door de R980 Ransomware?

Op dit moment kan niemand je decoder tools aanbieden die ontworpen werden door beveiligingsexperten om bestanden gecodeerd door de R980 encrypter te decoderen. Het aankopen van de door de hackers aangeboden decoderingssleutel is geen optie die je mag overwegen. Gebruik je back-up of controleer de Shadow Volume Copies. Gebruik professionele data recovery tools, als je alle opties die beschikbaar zijn voor het herstellen van je data ten volle benut hebt. Deze tools omvatten software by Kaspersky Lab, Recuva, R-Studio, PhotoRec, etc. Maak eerst wel een kopie van de geïnfecteerde schijf. En voer ten slotte de belangrijkste taak uit – de malware verwijderen met de volgende automatische malware verwijdering tools: Reimage, SpyHunter of Hitman. Deze tools zullen het verwijderingsproces van de R980 encoder aanzienlijk vergemakkelijken. Onder dit artikel kan je tevens manuele verwijderingsinstructies terugvinden.

Hoe R980 Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat R980 ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van R980 ransomware virus

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan R980 virus.


3. Herstel door R980 cryptomalware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert R980 crypto-malware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

       
 

Over de auteur

 
augustus 22, 2016 09:03, augustus 22, 2016 09:03
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *