Ryuk ransomware - Hoe te verwijderen

De Ryuk ransomware is een nieuw virus dat opgemerkt werd door het Malware Hunter Team ergens midden augustus 2018. Er werd gemeld dat dit, in het begin ongeïdentificeerde, virus in twee weken tijd 3 bedrijven aanviel uit de VS en Duitsland en 1 ervan was een zorginstelling, en ook andere slachtoffers, samen goed voor $640,000. Er wordt aangenomen dat de Ryuk ransomware ontworpen werd door de gevaarlijke Noord Koreaanse APT Lazarus Groep, vanwege alle gelijkenissen met de HERMES ransomware broncode.

Terwijl Ryuk voornamelijk werd ontworpen om banken en ziekenhuizen aan te vallen, is het nog steeds ook zeer gevaarlijk voor de normale computergebruiker en als je niet de nodige voorzorgsmaatregelen treft kan je opgescheept worden met het Ryuk virus dat je waardevolle bestanden versleuteld en een losgeld in ruil vraagt. Om je te helpen de infectie te vermijden en je computer te redden van de Ryuk ransomware, heeft het 2-viruses.com team instructies opgesteld over hoe het virus op de best mogelijke manieren te verwijderen, blijf dus verder lezen.

Wat is de Ryuk ransomware

De Ryuk ransomware is een crypto eisend virus dat alle persoonlijke bestanden van het slachtoffer blokkeert en ontoegankelijk maakt, tenzij de gebruikers de decoderingssleutel heeft, welke hij moet ‘kopen’ met de cryptomunten bij de hackers, die verantwoordelijk zijn voor het infecteren van de computer. Dit is typisch gedrag voor een ransomware en vind je ook terug bij virussen zoals FOX, ShutUpAndDance, PGPSnippet, Donut en ga zo maar door. Zoals we echter reeds eerder vermelden is het Ryuk virus niet gewoon een gemiddelde crypto infectie en heeft het veel meer in zijn mars dan op het eerste zicht lijkt.

Als eerste, wordt Ryuk beschouwd als de volgende baanbrekende virtuele aanval, vanwege de schade die het al aanrichtte in de paar weken dat het bestaat en vanwege zijn vermoedelijke relatie met de Lazarus Groep, welke achter de beruchte aanvallen zoals HERMES (wat de Koreaanse hackers ongeveer $60 miljoen dollar opbracht), WannaCry, SamSam en het 2014 Sony Pictures schandaal zat. Dit doet ontwerpers vermoeden dat de Ryuk ransomware probeert om het recente BitPaymer en Emotet multi-vector aanval pad te volgen met gerichte aanvallen op bedrijven en overheden.

Bovendien deelde het Malware Hunter Team na een grondige analyse de schokkende ontdekking dat het Ryuk virus de mogelijkheid heeft op 184 commando’s te stoppen, wat ongebruikelijk veel is voor een ransomware virus. Dit betekent dat het niet uitmaakt hoe overtuigd je cyberbeveiliging is, het Ryuk virus kan deze waarschijnlijk binnen enkele seconden uitschakelen. Bovendien gebruikt deze ransomware RSA-4096 en AES-256 codes om de versleuteling uit te voeren en deze combinatie van algoritmen is bijna niet te decoderen, wat bedrijven verplicht om enorme betalingen uit te voeren om hun belangrijke data terug te krijgen aangezien geen enkel beveiligingstool zal helpen. Het is ook belangrijk om te vermelden dat Ryuk geen extensie toevoegt aan de versleutelde bestanden. Meer technische gegevens vind je op Research.checkpoint.com.

Als we het hebben over de betaling, is Ryuk de recordhouder aangezien ze een totaal van 50 BTC (USD $320.000) vragen. Daarnaast levert het virus twee verschillende losgeldbrieven, welke doen vermoeden dat het, het losgeld kiest op basis van het doelwit aangezien het gevraagde losgeld in de andere losgeldbrief varieert van 15 BTC tot 35 BTC (niet meer dan USD $224.000) en veel korter en simpeler is. Onderzoekers kwamen ook te weten dat de ontwerpers van Ryuk proberen om hun ontvangen betalingen te maskeren door het geld te verdelen over meerdere crypto portefeuilles. Een andere reden waarom bedrijven besloten het risico te nemen en de hackers Bitcoins te betalen was waarschijnlijk de bewering in de langere losgeldbrief, welke stelde dat het uiteindelijke losgeld afhing van hoe snel je betaalde (elke dag verhoogt het oorspronkelijke bedrag met 0,5 BTC = USD $3200), en dat na 2 weken, indien er geen betaling werd uitgevoerd, alle versleutelde bestanden en decoderingssleutels voorgoed verwijderd worden.

Bekijk even de twee verschillende losgeldbrieven, die op het systeem van het slachtoffer worden geplaatst.

RyukReadMe.txt:

Heren!

Uw bedrijf loopt een ernstig risico.

Er is een beduidend lek in het beveiligingssysteem van uw bedrijf.

Wij konden je netwerk gemakkelijk binnendringen.

U zou God moeten danken dat u gehackt werd door ernstige mensen en niet een paar domme schoolkinderen of gevaarlijke punks.

Zij kunnen al je belangrijke data gewoon voor het plezier beschadigen.

Nu zijn je betstanden versleuteld met de krachtigste militaire algoritmen RSA4096 en AES-256.

Niemand kan u helpen om uw bestanden te herstellen zonder onze speciale decoder.

Photorec, RannohDecryptor etc. herstel tools

Zijn nutteloos en kunnen uw bestanden onherstelbaar beschadigen.

Als u uw bestanden wilt herstellen stuur dan een e-mail (contacten op het einde van het blad)

en voeg 2-3 versleutelde bestanden toe

(Elk kleiner dan 5 Mb, niet samengedrukt en je bestanden mogen geen waardevolle informatie bevatten

(databases, back-ups, grote Excel bladen, etc.)).

U zal gedoceerde voorbeelden en onze voorwaarden om de decoder te krijgen ontvangen.

Vergeet ook niet om de naam van uw bedrijf te vermelden in het onderwerp van uw e-mail.

U moet in Bitcoins voor het decoderen.

De uiteindelijke prijs is afhankelijk van hoe snel u ons schrijft.

Elke dag vertraging zal u een extra +0,5 BTC kosten

Niet persoonlijk het zijn gewoon zaken

Zodra we uw bitcoins ontvangen hebben zal u al uw gedecodeerde data terugkrijgen.

Bovendien zal u instructies krijgen over hoe het lek in uw beveiliging te dichten

en hoe u in de toekomst zulke problemen kunt voorkomen

+ willen we u speciale software aanbevelen die voor de meeste problemen zorgt voor hackers.

Aandacht! Nog een keer !

Hernoem de versleutelde bestanden niet.

Probeer niet om je data te decoderen met software van derden.

P.S. Denk eraan wij zijn geen scammers.

We hebben uw bestanden en informatie niet nodig.

Maar na 2 weken zullen al uw bestanden en sleutels automatisch worden verwijderd.

Stuur gewoon een verzoek onmiddellijk na de infectie.

Al uw data zal absoluut worden hersteld.

Uw garantie – de gedecodeerde voorbeelden.

Contact e-mails [email protected]

of [email protected]

BTC-wallet:

15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj

Ryuk

Geen enkel systeem is veilig

UNIEKE_ID_NIET_VERWIJDEREN.txt:

Alle bestanden op elke host in het netwerk werden versleuteld met een krachtig algoritme.

Back-ups werden of versleuteld of verwijdert of back-up schijven werden geformatteerd.

Shadow kopieën werden ook verwijdert, dus F8 of andere methodes kunnen versleutelde data beschadigen maar niet herstellen.

Alleen wij hebben decodering software voor uw situatie

Er is geen openbare decodering software beschikbaar.

NIET RESETTEN OF AFSLUITEN – bestanden kunnen beschadigd worden.

HERNOEM OF VERPLAATS de versleutelde en readme bestanden NIET.

VERWIJDER readme bestanden NIET.

Dit kan ervoor zorgen dat bepaalde bestanden niet hersteld kunnen worden.

Voor informatie (decoderen van uw bestanden) contacteert u ons op

[email protected]

of

[email protected]

BTC-wallet:

Ryuk

Geen enkel systeem is veilig

Ondanks het feit dat de berichten volledig verschillend zijn, is het in beide situaties toch dezelfde Ryuk ransomware.

Hoe wordt de Ryuk ransomware verspreid

Voor zover geweten is, verspreid de Ryuk ransomware bestanden genaamd horrible.exe en kIUAm.exe via Spam e-mails, net zoals de meeste ransomware. Dit maakt het gemakkelijk om bedrijven en hun werknemers aan te vallen, omdat hackers zorgvuldig sociaal ontworpen berichten schrijven die eruitzien als een alledaagse e-mail en de person vragen om de bijlage te openen of om te klikken op een hyperlink om toegang te krijgen tot iets dat start met de cv, factuur, medische bestanden, bankgegevens enz.

Nadat het kwaadaardige bestand werd geopend en het slachtoffer per ongeluk de Ryuk ransomware activeerde, komt de mogelijkheid om meer dan 180 processen te stoppen van pas en stopt het Ryuk virus elke antivirus of detectie voor een tijdje totdat het zich in het register en andere belangrijke mappen genesteld en de bestanden die het kan vinden versleuteld heeft. Onder deze versleutelde bestanden kunnen zich patiëntengegevens, klanten- en betalingsgegevens, wachtwoorden, logins, referenties, bedrijfsgeheimen en veel meer informatie bevinden, welke voor veel problemen kunnen zorgen mochten ze verwijdert of gelekt worden. Daarom is het zeer belangrijk dat je jezelf aanleert over Hoe spam aanbiedingen te herkennen om nooit in zo’n ransomware val te lopen.

Hoe het Ryuk virus uitschakelen

Als je het slachtoffer werd van het Ryuk virus, zou de eerste stap het aanschaffen van een gesofisticeerde malware verwijdering tool zoals SpyHunter of Reimage moeten zijn en de ransomware zo snel mogelijk verwijderen. Het hebben van zo’n gevaarlijke dreiging op je pc kan veel problemen veroorzaken en voor nog meer malware zorgen dan dat er al is. Hoewel de Ryuk ransomware veel programma’s kan beëindigen (inclusief beveiligingstools), is SpyHunter een echt krachtig beveiligingsproduct dat in staat zou moeten zijn om je te helpen als je het installeert en het internet uitschakelt zodat Ryuk geen toegang heeft tot zijn ontwerpers.

Automatische tools Malware verwijderen

Hoe de Ryuk ransomware verwijderen en bestanden herstellen

Als je geen automatisch verwijdering met een beveiligingsproduct probeert, kan je onze handmatige verwijderingsinstructies proberen, welke je uitleggen hoe je de Ryuk ransomware kunt verwijderen zonder een extra programma te gebruiken. Deze instructies omvatten ook bestand recovery tools en de optie om bestanden te herstellen vanop de Shadow Copies, de kans is echter zeer klein dat deze zullen werken, zeker omdat de AES-RSA-algoritme combinatie meestal niet kan worden gedecodeerd. Als deze technieken niet hielpen om je versleutelde gegevens te herstellen, laat dan gewoon de versleutelde bestanden op je pc staan voor later, als de cyberbeveiliging professionals een decoder ontwikkeld hebben.

Hoe Ryuk ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt

voor Windows 7 / Vista/ XP

• Start → Afsluiten → Herstarten → OK.
• Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
• Kies Veilige Modus met Opdracht Prompt.

voor Windows 8 / 10

• Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
• Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
• Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.

Systeembestanden en instellingen herstellen.

• Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
• Geef dan rstrui.exe in en druk opnieuw op Enter.
• Klik op “Volgende” in het venster dat verscheen.
• Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Ryuk ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
• Om het Systeemherstel te starten klik je op “Ja”.

2. Complete verwijdering van Ryuk ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Ryuk ransomware.

3. Herstel door Ryuk ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Ryuk ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.