Ransomware Locky verwijderen en .locky gecodeerde bestanden herstellen

locky-senosrstechforum-ransomwareDe laatste tijd wordt er een nieuwe ransomware (een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te “bevrijden“) zeer snel op internet verspreid. Het gaat namelijk om Locky. Locky versleutelt de bestanden van slachtoffers en wijzigt hun namen in een wartaal reeks van 32 cijfers en tekens, gevolgd door de .locky extensie. De beoogde bestanden zijn meestal documenten. Lees dit artikel om te weten hoe je Locky ransomware moet verwijderen en hoe je je bestanden kan herstellen.

Overzicht bedreiging

Naam Locky
Type Ransomware
Korte omschrijving De ransomware maakt gebruik van 128-bit AES-codes om bestanden te versleutelen met een asymmetrisch algoritme en vraagt losgeld om je bestanden te “bevrijden”.
Symptomen De bestanden zijn versleuteld en de gebruiker heeft er geen toegang toe. De ransomware creëert een .txt bestand met losgeld bericht.
Verspreidingswijze Spam e-mail berichten, e-mailbijlagen, file-sharing sites.
Detectietool Controleer of je systeem door Locky is aangetast

Downloaden

Malware Remover

Gebruikerservaring Neem deel aan onze forum en leer meer over de Discuss Locky Ransomware.

Locky Ransomware – Verspreiging

Locky ransomware verspreidt zich op verschillende manieren. Een daarvan is met een spam e-mail met een malware bijlage. Als de gebruiker het bijgevoegde bestand opent, wordt de malware automatisch op zijn computer geïnstalleerd. Ook de body van de e-mail kan malware code bevatten. Je computer kan dus besmet raken door de e-mail te openen, ongeacht of je het bijgevoegde bestand hebt geopend of niet.

Lees meer over de Locky’s Spam Email Campaigns

De ransomware verspreidt zich ook via de sociale netweken of de zogenaamde file-sharing sites. De malware bestanden worden vaak als nuttige bestanden voorgesteld, zoals een belangrijke update bijvoorbeeld. Ook door het bezoeken van onbetrouwbare websites en het klikken op doorverwijslinks kan je computer met deze ransomware geïnfecteerd worden.

Locky Ransomware – Technische gegevens

De ransomware Locky wordt door de onderzoekers als malware gekwalificeerd. Als je computer met Locky wordt geïnfecteerd, zal hij een nieuwe registerwaarde in het Windows-register maken om zijn permanente aanwezigheid op je computer te garanderen. Deze registerwaarden worden in het systeemregister aangemaakt:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/

en

HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell

Volgens de website VirusTotal werd Locky door meerdere veiligheidsprogramma’s gespot en bijgevolg in hun definities opgenomen.

stf-locky-ransomware-virustotal-virus-total-detections-anti-malware-anti-virus-programs

De ransomware creëert minstens één bestand met de naam _Locky_recover_instructions.txt met een losgeld bericht en instructies hoe je het losgeld moet betalen. Het bericht ziet er als volgt uit:

!!! BELANGRIJKE INFORMATIE!!!
Al je bestanden zijn versleuteld met RSA-2048 en AES-128-versleutelingen
Meer info over RSA en AES kan u hier vinden:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decoderen van al je bestanden is alleen mogelijk met de privé-sleutel en decodeerprogramma, welke zich op onze geheime server bevinden
Bezoek een van de volgende links om je privé-sleutel te ontvangen:
1. hxxp: //6dtxgqam4crv6rr6.tor2web(.)org/[combinatie van letters en cijfers] 2. hxxp: //6dtxgqam4crv6rr6.onion(.)to/[combinatie van letters en cijfers] 3. hxxp: //6dtxgqam4crv6rr6.onion(.)cab/[combinatie van letters en cijfers] 4. hxxp: //6dtxgqam4crv6rr6.onion(.)link/[combinatie van letters en cijfers] Als de links niet beschikbaar zijn, volg de stappen hieronder:
1. Download en instaleer Tor Browser: https://www.torproject.org/download/download-easy(.)html
2. Start je browser op en wacht tot de initialisatie is voltooid
3. Typ het volgende in de adresbalk: 6dtxgqam4crv6rr6(.)onion / [combinatie van letters en cijfers] 4. Volg de instructies op de site.
!!! Je persoonlijke identificatiedocument: [combinatie van letters en cijfers] !!!

Reddit gebruikers hebben op enkele links van het losgeld bericht geklikt en ze hebben kunnen zien hoe de betaalsite eruitziet:

stf-locky-ransomware-tor2web-main-ransom-decrypt-website-page-info

Op deze website bevindt zich mogelijk de software Locky Decrypter en een engagement dat Locky je bestanden zou “bevrijden” nadat je hebt betaald. Contact opnemen met de ontwikkelaars van de ransomware wordt afgeraden. Er bestaat namelijk geen garantie dat je documenten zullen worden hersteld. Bovendien wordt het geld dat je betaalt ook geïnvesteerd in de in de ontwikkeling van een andere malware dus ons advies is: niet doen.

De ransomware Locky treft voornamelijk doc en tekst bestanden. Bestanden met volgende extensies kunnen een potentieel doelwit van Locky zijn:

→ .doc, .docm, .log, .pap, .info, .gdoc, .asp, .jsp, .json, .xhtml, .txt, .xls, .xlsx, .xml, .docx, .html, .js, .mdb, .odt, .asc, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .php, .ppt, .pptx, .sql

Deze lijst is niet limitatief, de ransomware kan namelijk op zoek gaan naar bestanden met andere extensies. Na de versleuteling krijgen de geïnfecteerde bestanden een .locky extensie. Volgens het losgeld bericht is het versleutelingsalgoritme van de ransomware een combinatie van AES-128-versleuteling. Deze codering zorgt voor een sterke en ingewikkelde versleuteling.

Lees meer over AES-128 Encryption

Locky treft voornamelijk mappen met documenten zoals:

  • C:\Users\[UserName]\Documents
  • Desktop\MyDocs\Downloads
  • C:\Documents and Settings\Users\My Documents

Het is nog steeds onbekend of de Shadow Volume Copies van het besturingssysteem worden verwijderd, maar dat is in dit geval zeer waarschijnlijk. Nadat je de ransomware hebt verwijderd, raden wij je aan om het derde hoofdstuk hieronder te lezen. We leggen daarin uit hoe je je bestanden kan herstellen.

Ransomware Locky verwijderen en .locky gecodeerde bestanden herstellen

Als je computer met Locky besmet is geraakt, moet je toch enige ervaring hebben in het verwijderen van malware. De ransomware kan zodanig je bestanden versleutelen zodat je ze niet meer kan herstellen. Het is daarom van cruciaal belang om snel te reageren en de hieronder beschreven instructies stipt op te volgen.

Hoe Locky van je computer verwijderen? (handmatig)

Aandacht! Belangrijke mededeling m.b.t. Locky: de handmatige verwijdering van Locky vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.

1. Computer in veilige modus opstarten om Locky te isoleren en te verwijderen.

Computer in veilige modus opstarten.

1. Voor Windows 7, XP en Vista. 2. Voor Windows 8, 8.1 en 10.

Voor besturingssystemen Windows XP, Vista en 7:

1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:

voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.

donload_now_140

Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).

donload_now_140

3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.

4. Log in als administrator.

donload_now_140

Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.

Stap 1: Open het Start Menu.

donload_now_140

Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.

donload_now_140

Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.

donload_now_140

Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.

donload_now_140

Stap 6: Klik op “Restart”.
donload_now_140

Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.

2. Reparatie registry entries aangemaakt door Locky op uw pc.
Sommige kwaadaardige scripts kan de registry entries van uw computer aan te passen aan verschillende instellingen te wijzigen. Dit is de reden waarom handmatig opruimen van uw Windows-register Database sterk aanbevolen. Omdat de tutorial over hoe dit te doen is een beetje lenghty, raden we na onze leerzaam artikel over de vaststelling van het register.

Automatisch verwijderen Locky door het downloaden van een geavanceerde anti-malware programma.

1. Locky met Anti-Malware SpyHunter verwijderen

1. Locky wet Anti-Malware SpyHunter verwijderen

1. Om Locky te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de Locky te verwijderen.
Stap 1:Klik op “Download” en je wordt doorgeleid naar de downloadpagina van SpyHunter.
donload_now_140

Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft

Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.

pets-by-myway-ads-virus

Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.

pets-by-myway-ads-virus

Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Locky moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.

pets-by-myway-ads-virus

Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.

2. Locky gecodeerde bestanden herstellen

Locky gecodeerde bestanden herstellen.

De veiligheidsingenieurs raden gebruikers aan om geen losgeld te betalen en in de plaats daarvan via andere methoden hun bestanden te herstellen. Hieronder vind je enkele voorbeelden:

Eerst moet je controleren of er schaduwkopieën in Windows zijn. Dit kan je met deze software doen:

Shadow Explorer

Om uw gegevens te herstellen, uw eerste inzet is om opnieuw te controleren voor schaduwkopieën in Windows met behulp van deze software:

Technisch gezien kan je ook een netwerk sniffer (een computerprogramma dat verschillende soorten vertrouwelijke informatie zoals belangrijke wachtwoorden voor bestanden of netwerken, verzamelt).
Via een netwerk sniffer kan je aan de encryptiesleutel van de versleutelde bestanden komen. Een netwerk sniffer controleert de informatiestroom in een netwerk zoals het internetverkeer en de internet “packages”.

Optioneel: Gebruiken van alternatieve anti-malware software

Optioneel: Gebruiken van alternatieve anti-malware software

STOPZilla Anti Malware
1. Download STOPZilla hier.
Stap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.

pets-by-myway-ads-virus

Stap 3: Start de installatie op.

Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.

pets-by-myway-ads-virus

Stap 5: Selecteer “I accept the agreement” en klik op “Next”.

pets-by-myway-ads-virus

Stap 6: Controleer de gegevens en klik op “Install”.

pets-by-myway-ads-virus

Stap 7: Nadat de installatie is voltooid, klik op “Finish”.

2. Scan je computer met STOPZilla Anti Malware om alle bestanden van Locky automatisch te verwijderen.

Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).

Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.

pets-by-myway-ads-virus

Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.

Avatar

Berta Bilbao

Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

More Posts - Website

Latest Stories

*/ ?>

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.