Smash! Ransomware - Hoe Te Verwijderen?

 

De Smash! Ransomware is een nieuw kwaadaardig programma gedetecteerd door het MalwareHunterTeam. Het gebruikt de beelden van Super Mario Bros, een platform video spelletje van Nintendo, namelijk het beeld van de Super Mushroom, die een mes vasthoudt. Hoewel het zichzelf een ransomware noem en werkt op een ransomware-achtige manier, kan het niet beschouwd worden als één van de meest gevaarlijke cyber dreigingen die ransomware virussen zijn. Smash! virus kan hoogstens nog steeds een ontwerpversie genoemd worden. Het zou niet correct zijn om het een crypto-locker, crypto-malware bestand versleutel virus te noemen, omdat het noch bestanden versleuteld noch ze vergrendelt. In zijn huidige versie kan de Smash! malware een scherm vergrendeler genoemd worden.

Hoe werkt de Smash! Ransomware?

Zodra de payload van Smash! Ransomware gedownload werd op de computer, krijgt het slachtoffer zes welkom pop-up schermen te zien, welke na elkaar verschijnen. Deze pop-up berichten bevatten de volgende begroeting:


smash ransomware

Welkom

Hi en welkom bij

Welkom

Smash! Ransomware

Welkom

Ik dacht dat ik hier helemaal alleen ging liggen.

Welkom

Maar nu…

Welkom

Ben jij hier!:)

WeHSnX

Dus welkom in de HEL. Betaal of je bestanden sterven!

Al deze pop-ups hebben een OK knop in de rechter benedenhoek. Als je op de OK knop op de laatste pop-up klikt, zal je een ander pop-up bericht te zien krijgen, wat een soort van losgeldbrief is. Dit is de volgende pop-up:

Zoals je kan zien aan het venster wordt er je gevraagd een zeven-cijferige code in te geven om zogenaamd verlost te worden van het virus. Er bevindt zich boven het code veld ook de File Kill Timer, naast de afbeelding van de Super Mushroom. Maar vreemd genoeg krijg je geen instructies over hoe de betaling uit te voeren. Geen bitcoin adres, geen contact e-mail, niets.


smash-ransomware-2

Daarnaast zijn ook veel functies van het Smash! virus niet gecodeerd. Dit kan gezegd worden van de functie van de Now don’t kill my files! knop, welke niet actief is. Deze functie is leeg:

private void Button1_Click(object sender, EventArgs e)

{

}

Als de voortgang balk 100% bereikt, wordt er een ander pop-up venster geopend. Dit scherm bevat een andere timer, welke zogenaamd aangeeft hoeveel bestanden er verwijdert werden. Deze pop-up is de volgende:

Terwijl er in werkelijkheid geen enkel bestand wordt verwijdert. Het is gewoon een nep waarschuwing. Toch heeft deze malware toepassing enkele kwaadaardige eigenschappen. Het Smash! virus kan bepaalde programma’s blokkeren: Regedit (de Windows Register Editor), het Taakbeheer en de CMD (Command) Prompt. Weer zal het virus pop-up berichten tonen als je probeert om bovenstaande toepassingen op te starten. Deze pop-ups zeggen het volgende:

Taskmgr niet beschikbaar.

Geen TaakBeheer voor jou.

Regedit niet beschikbaar.

Geen Register Editor voor jou.

Hoe de Smash! Ransomware verwijderen?

Het is niet moeilijk om de Smash! Ransomware aan te pakken. Je kan gewoon je pc herstarten omdat het virus geen autostart functie heeft om geladen te worden als je de pc herstart. Desalniettemin blijven de kwaadaardige elementen van het programma op je systeem. Dus moet je ze verwijderen. De tools, die je systeem kunnen zuiveren zijn de volgende: Reimage of Spyhunter. Dit zijn de top malware verwijdering tools, dus, de meest aanbevolen software. Het handmatig verwijderen van de ransomware kan uitgevoerd worden door middel van de handleiding, die je onderaan deze post vindt.

Hoe wordt de Smash! Ransomware verspreid?

Het is nog niet duidelijk hoe de Smash! malware wordt verdeeld. Het is echter zeer waarschijnlijk dat deze malware verdeeld wordt via interactie met spam e-mails, kwaadaardige advertenties en het bezoeken van geïnfecteerde domeinen. Hoe kan je weten welke mails te openen en welke niet, welke advertenties te volgen en welke niet en welke sites je kan bezoeken en welke niet? Dit behoeft geen uitgebreide uitleg. Spam e-mails moet je regelmatig naar de prullenmand verwijzen, advertenties dien je te negeren en sites zoals torrents, porno en gratis spelletjes mijd je beter. Kan je niet aan de verleiding weerstaan? Dan moet je de gevolgen dragen.

Hoe Smash! Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Smash! Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Smash! Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Smash! Ransomware.


3. Herstel door Smash! Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Smash! Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

 

Smash! Ransomware schermafbeeldingen

 
     
 

Over de auteur

 
december 5, 2016 07:27, juli 12, 2017 15:51
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *