De laatste tijd wordt ereen nieuwe ransomware (een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te “bevrijden“) zeer snel op internet verspreid. Het gaat namelijk om Crysis. Crysis versleutelt de bestanden van slachtoffers en wijzigt de extensies van de getroffen bestanden naar .CrySis. Deze ransomware gebruikt een combinatie van RSA-algorithme en AES-codes om de bestanden te versleutelen. Het losgeld bericht is een afbeelding als achtergrond van het bureaublad van de geïnfecteerde computer. Lees dit artikel om te weten hoe je deze ransomware moet verwijderen en hoe je je bestanden kan herstellen.
Overzicht bedreiging
| Naam |
Ransomware CrySis |
| Type | Ransomware |
| Korte omschrijving | Deze malware versleutelt de bestanden van de gebruikers en laat daarna de computer opnieuw opstarten met losgeldberichten die er als volgt uitzien:“# DECRYPT MY FILES #” |
| Symptomen | De gebruiker krijgt losgeldberichten met “instructies” te zien of een audiobericht te horen. Ze leiden hem allemaal naar een website waar men de bestanden kan ontsleutelen. |
| Verspreidingswijze | Met een exploit kit. |
| Detection Tool |
Controleer of uw systeem door Cerber is aangetast Ransomware CrySis
Downloaden
Malware Remover
|
| Gebruikerservaring | Neem deel aan onze forum en leer meer over de CERBER ransomware. |
Crysis Ransomware – Verspreiding
Crysis ransomware verspreidt zich op verschillende manieren. Een daarvan is met een spam e-mail met een malware bijlage. Als de gebruiker het bijgevoegde bestand opent, wordt de malware automatisch op zijn computer geïnstalleerd. Ook de body van de e-mail kan malware code bevatten. Je computer kan dus besmet raken door de e-mail te openen, ongeacht of je het bijgevoegde bestand hebt geopend of niet.
De ransomware verspreidt zich ook via de sociale netweken of de zogenaamde file-sharing sites. De malware bestanden worden vaak als nuttige bestanden voorgesteld, zoals een belangrijke update bijvoorbeeld. Ook door het bezoeken van onbetrouwbare websites en het klikken op doorverwijslinks kan je computer met deze ransomware geïnfecteerd worden.
Crysis Ransomware – Crysis Ransomware – Technische gegevens
De ransomware Crysis wordt door de onderzoekers als malware gekwalificeerd. Als je computer met Crysis wordt geïnfecteerd, zal hij een nieuw registerwaarde in het Windows-register maken om zijn permanente aanwezigheid op je computer te garanderen. Deze registerwaarden worden in het systeemregister aangemaakt.
Het exe-bestand kan verschillende namen hebben en kan willekeurig worden gecreëerd. Het werd meerdere keren gevonden in de onderstaande map onder de volgende naam:
%LOCALAPPDATA%\_Skanda.exe
Er worden meestal één of meerdere nieuwe registerwaarden in het Windows-register gecreëerd:
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell
en
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
De ransomware start automatisch op bij het opstarten van Windows.
Bijgevolg creëert de ransomware een bestand met willekeurige naam met een losgeld bericht en instructies hoe je het losgeld moet betalen. Het bericht ziet er altijd hetzelfde uit:
Opgelet! Je computer werd aangevallen door een virus-encoder! Al je bestanden zijn nu met een sterk cryptografisch algoritme versleuteld. Zonder de originele sleutel is herstel onmogelijk. Om de decoder en de originele sleutel te verkrijgen zal je ons moeten mailen op [email protected]. Zet “encryption“ als onderwerp van je e-mail bericht.
Stuur ons zo snel mogelijk een bericht, we willen niet uw en onze tijd niet verspillen met loze dreigementen.
Enkel serieuze berichten zullen worden beantwoord, alle andere worden genegeerd.
P.S. Enkel als je geen antwoord krijgt op het eerste e-mailadres binnen 48 uur stuur dan een mail naar het alternatieve e-mailadres: [email protected].
Het bureaublad van het besmette systeem wordt veranderd in een afbeelding met betaalinstructies.
De ontwikkelaars van de ransomware Crysis hebben twee verschillende e-mail adressen aangegeven. Een is geregistreerd als een domeinnaam in de Tsjechische Republiek en de andere in India, maar de oorsprong van de ransomware is nog steeds onbekend. De cybercriminelen vragen dat je contact met hen opneemt als je je bestanden wilt herstellen.
Contact opnemen met de ontwikkelaars van de ransomware en losgeld betalen wordt afgeraden. Er bestaat namelijk geen garantie dat je documenten zullen worden hersteld. Bovendien wordt het geld dat je betaalt ook geïnvesteerd in de in de ontwikkeling van een andere malware dus ons advies is: niet doen.
De ransomware Crysis treft verschillende bestanden. Een mogelijk doelwit van Crysis zijn bestanden met volgende extensies:
→.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps
Na versleuteling krijgen alle getroffen bestanden de extensie .CrySiS.
Deze ransomware (ook als vele andere) gebruikt een combinatie van RSA-algorithme en AES-codes om de bestanden te versleutelen omdat deze versleuteling als onbreekbaar wordt beschouwd.
De ransomware Crysis treft voornamelijk de volgende locaties:
- %UserProfile%\Local Settings\Application Data
- %localappdata%
- %WINDIR%\System32
- %TEMP%
- %userprofile%\downloads
Het is nog steeds onbekend of de Shadow Volume Copies van het besturingssysteem worden verwijderd, maar dat is in dit geval zeer waarschijnlijk. Nadat je de ransomware hebt verwijderd, raden wij je aan om het vierde hoofdstuk hieronder te lezen. We leggen daarin uit hoe je je bestanden kan herstellen.
Ransomware Crysis verwijderen en .Crysis gecodeerde bestanden herstellen
Als je computer met Crysis besmet is geraakt, moet je toch enige ervaring hebben in het verwijderen van malware. De ransomware kan zodanig je bestanden versleutelen zodat je ze niet meer kan herstellen. Het is daarom van cruciaal belang om snel te reageren en de hieronder beschreven instructies stipt op te volgen.
Hoe Ransomware CrySis van je computer verwijderen? (handmatig)
Aandacht! Belangrijke mededeling m.b.t. Ransomware CrySis: de handmatige verwijdering van Ransomware CrySis vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.
Computer in veilige modus opstarten.
1. Voor Windows 7, XP en Vista.
2. Voor Windows 8, 8.1 en 10.Voor besturingssystemen Windows XP, Vista en 7:
1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:
– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.
– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).
3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.
4. Log in als administrator.
Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.
Stap 1: Open het Start Menu.
Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.
Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.
Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.
Stap 6: Klik op “Restart”.
Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.
Automatisch verwijderen Ransomware CrySis door het downloaden van een geavanceerde anti-malware programma.
1. Ransomware CrySis wet Anti-Malware SpyHunter verwijderen
1. Om Ransomware CrySis te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de Ransomware CrySis te verwijderen.
Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft
Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.
Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.
Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Ransomware CrySis moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.
Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.
Optioneel: Gebruiken van alternatieve anti-malware software
STOPZilla Anti MalwareStap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.
Stap 3: Start de installatie op.
Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.
Stap 5: Selecteer “I accept the agreement” en klik op “Next”.
Stap 6: Controleer de gegevens en klik op “Install”.
Stap 7: Nadat de installatie is voltooid, klik op “Finish”.
2. Scan je computer met STOPZilla Anti Malware om alle bestanden van Ransomware CrySis automatisch te verwijderen.
Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).
Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.
Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.
