.thor Files Virus – de laatste variant van Locky verwijderen

Een erg nieuwe variant van de Lockyransomware werd door malware onderzoekers gevonden nadat de variant met de .shit extensie verschenen was. De scheppers van het virus hebben besloten om het thema over de Noordse mythologie terug in hun ransomware projecten te brengen, want wij zien de .thor extensie toegevoegd aan de namen van de versleutelde bestanden. Om te zien hoe u het virus kunt verwijderen en uw bestanden kunt herstellen, leest maar het hele artikel.

Overzicht bedreiging

Naam	.thor files
Type	Ransomware, Cryptovirus
Korte omschrijving	De ransomware versleutelt uw gegevens en toont dan een losgeld nota met instructies over de betaling.
Symptomen	Versleutelde bestanden hebben de .thor extensie toegevoegd aan hen.
Verspreidingswijze	Spam Emails, E-mailbijlagen (.wsf, .js, .hta, .zip, .vbs, .bin), Google Docs
Opsporingstool	Controleert als uw systeem is geïnfecteerd door .thor files Downloaden Malware Remover

LockyRansomware – Verspreiding

De laatste malware variant van de Locky ransomware gebruikt Command en Control servers om zich te verspreiden. Spam e-mails zonder tekst (met “empty body”) houden bijlagen in die een downloader aan uw PC leveren. Vanaf dan voegt de downloader de ransomware aaneen en codeert uw data. De e-mailbijlagen zien er als gewone documenten uit, terwijl de naam, het adres en het e-mailadres van de afzender vals zijn maar gegevens van reële ondernemingen en hun medewerkers nadoen. De bijlagen zijn script holders of downloaders, en de gebruikte bestanden zijn van het type: .wsf, .js, .hta, .zip, .vbs and .bin .

Hierna een voorbeeld van een bestand dat opgespoord werd door Payload Security:\

Locky ransomware kon ook via sociale media en netwerken en file-sharing sites worden verspreid. Een platform informeerde over het leveren van kwaadaardige bestanden door Google Docs. Zorgt ervoor dat u nooit links, bijlagen en bestanden opent die verdacht zijn of van een onbekend oorsprong komen. Voordat u de bestanden opent, zorgt ervoor dat zij niet van een van de boven genoemde types zijn incl. .exe. Daarnaast scant hen altijd met een security tool, controleert ook de signatures en de grootte van de bestanden. U kunt ook het thema over de ransomware prevention tips op ons forum bezoeken.

LockyRansomware – Omschrijving

Locky ransomware gebruikt een nieuwe extensie aan de namen van de versleutelde bestanden, namelijk de .thor extensie. Men kan zeggen dat de cibercriminals van het cryptovirus naar zijn wortels terug gaan – d.w.z. de Noordse mythologie.

De meeste extensies welke gebruikt door de ransomware worden, zijn naar Thor, Odin, en Loki genoemd, die goden zijn in de Noordse mythologie. De oplichters konden maar de goden in de stijl van Marvel’s comics en movies bedoeld willen hebben. Wat zelfs interessanter is – Heimdallr is ook een Noordse god (zoon van Odin) en Heimdal Security is benoemd naar hem. Bespotten malware scheppers Heimdal Security? Of Anti-malware programma’s in het algemeen?

Het virus gebruikt C2 (Command and Control) servers om zijn payload bestanden te leveren als omschreven in de vorige paragraaf. De bestanden houden een kwaadaardig script in dat een .dll bestand naar uw computer downloadt. Zodra gestart, wordt uw computer systeem geïnfecteerd. U kunt sommige van de C2 servers hierna zien:

185.102.136.77:80/linuxsucks.php
91.200.14.124:80/linuxsucks.php
91.226.92.225:80/linuxsucks.php
77.123.14.137:221/linuxsucks.php
yptehqhsgdvwsxc.biz/linuxsucks.php
fvhnnhggmck.ru/linuxsucks.php
krtwpukq.su/linuxsucks.php
tdlqkewyjwakpru.ru/linuxsucks.php

Lockyransomware kan van veel download locaties worden gedownload, sommige daarvan zijn op de lijst hierna.

Lijst van payload download sites

http://alkanshop.com/zrwcx8om
http://bwocc.org/dkttu
http://circolorisveglio.com/dw2hheb
http://cz1321.com/zg4c4m
http://disneyrentalvillas.com/k2ars5j2
http://downtownlaoffice.com/ixmh1
http://duvalitatli.com/umx3btc1
http://executivegolfmanagement.com/qtzsegm6
http://firephonesex.com/bxuobuam
http://fjbszl.com/m4q1pmr5
http://fraildata.net/09rz1jcj
http://fraildata.net/4s1szk77
http://fraildata.net/9b8cba
http://getitsold.info/cndrdsu9
http://girlsoffire.com/d2k0b967
http://gruffcrimp.com/352gr0
http://gruffcrimp.com/5inrze
http://gruffcrimp.com/8vzak
http://gruffcrimp.com/bki56h
http://gunnisonkoa.com/d5cw6
http://gzxyz.net/zznej
http://hetaitop.com/pgq8e
http://iwebmediasavvy.com/eu7mq36w
http://jejui.com/j1ldsf
http://julianhand.com/hollu
http://jzmkj.net/y7tf2
http://kak-vernut-devushku.gq/rwlr9
http://kirijones.net/2b8fnrqm
http://kirijones.net/4v7574mp
http://kirijones.net/66wey
http://kirijones.net/a2r3pme
http://nightpeople.co.il/o8le7
http://onlysalz.com/xjo100
http://pblossom.com/t78u8
http://potchnoun.com/06p2vxua
http://potchnoun.com/38j2xn
http://potchnoun.com/8x2nt
http://privateclubmag.com/wyztr73
http://prodesc.net/x7nlxq
http://relentlesspt.com/faisexor
http://riyuegu.net/o69ecb
http://royallife.co.uk/mx5nck
http://ryanrandom.com/hwv97p8
http://sexybliss.co.uk/en8ds7nt
http://taiyuwanli.com/cpkd9
http://theleadershipdoc.com/wm1bv
http://turservice.xaker007.net/k92b92
http://ukdistributionservices.com/x1397
http://vowedbutea.net/2f1okfif
http://vowedbutea.net/5491o
http://vowedbutea.net/8jtnj8nt
http://vowedbutea.net/apupuyh3
http://xn--b1aajgfxm2a9g.xn--p1ai/dxd3v
http://yourrealestateconnection.us/rlfh0

Nadat het .DLL bestand is uitgevoerd, versleutelt het uw bestanden en toont een losgeld nota. Copies van de nota worden met de naam _WHAT_is verbreid in de directories met versleuteld bestanden. Een bestand is van het type .bmp en een ander is van het type .html en het image bestand zal als uw desktop background geïnstalleerd worden.

De ransom nota van het virus is dezelfde als de variant met de .shit extensie:

Als u het _WHAT_is.html bestand loadt, zal het zo eruit zien:

De tekst zegt het volgende:

!!! BELANGRIJKE INFORMATIE !!!
Al uw bestanden zijn met RSA-2048 en AES-128 cijfers versleuteld.
Meer informatie over de RSA en AES kan hier worden gevonden:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
U kunt uw bestanden decoderen alleen maar met een persoonlijke sleutel en een decrypt programma van onze geheime server.
Volgt een van de links hierna om uw persoonlijke sleutel te ontvangen:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Als al deze adressen niet beschikbaar zijn, volgt u de volgende stappen:
1. Download en installeer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na een succesvolle installatie, start de browser en wacht op de initialisatie.
3. Typt in de adresbalk: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Volgt de instructies op de site.
!!! Uw persoonlijke identificatie ID: 5DYGW6MQXIPQSSBB !!!

Het Locky virus brengt u naar de service met de instructies over de betaling als in vorige varianten. U krijgt toegang tot de service als u de naam van een versleuteld bestand indoet (dat bedoelt de beperking van de toegang tot de service). U kunt zien de site die verdekt is op het TOR network, op de afbeelding hierna:

De Lockyransomware heeft geen varianten welke werden gedecodeerd, en de code voor deze variant komt van dezelfde auteurs. Gebruikers die vroeger met een oudere variant van dit virus werden geïnfecteerd, meldden dat zij hun bestanden niet konden herstellen nadat zij het losgeld betaalden. Dus is er geen reden om met de cybercriminals contact op te nemen of het losgeld te betalen. Blijkbaar willen zij alleen maar andere ransomware virussen scheppen.
Bestandtypes die nu door de Locky ransomware gecodeerd worden, zijn meer dan 400 en hebben de volgende extensies:

→txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, m11, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

Alle bestanden welke zijn gecodeerd, hebben de extensie .thor toegevoegd aan hun namen en de namen worden tot toevallige symbolen gewijzigd. Het decoderingsalgoritme dat Locky zou gebruiken volgens de losgeldnota, is RSA-2048 met 128-bit AES cijfers, en het blijkt dat het klopt.

Het is bijna zeker dat het Locky cryptovirus Shadow Volume Copies van het Windows operating systeem wist met de volgende command string:

→vssadmin.exe delete shadows /all /Quiet

Leest verder om te zien hoe u deze ransomware verwijderen kunt en welke methoden u gebruiken kunt om te proberen sommige van uw bestanden te herstellen.

LockyRansomware verwijderen en .thor bestanden herstellen

Als uw computer werd geïnfecteerd met het Locky ransomware virus, zou u een beetje ervaring met het verwijderen van malware hebben. U zou zo snel mogelijk van deze ransomware vrijkomen, voordat het de mogelijkheid had om zich verder te verspreiden en meer computers te infecteren. U zou de ransomware verwijderen en de stap-voor-stap aanwijzingen volgen die u hierna vindt. Om te leren, op welke manier u uw gegevens kunt proberen te herstellen, zie de stap met de titel 2. Bestanden herstellen die door Locky gecodeerd zijn.

Aandacht! Belangrijke mededeling m.b.t. .thor files: de handmatige verwijdering van .thor files vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.

1. Computer in veilige modus opstarten om .thor files te isoleren en te verwijderen.

Computer in veilige modus opstarten.

1. Voor Windows 7, XP en Vista.

2. Voor Windows 8, 8.1 en 10.

Voor besturingssystemen Windows XP, Vista en 7:

1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:

– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.

– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).

3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.

4. Log in als administrator.

Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.

Stap 1: Open het Start Menu.

Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.

Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.

Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.

Stap 6: Klik op “Restart”.

Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.

2.Reparatie registry entries aangemaakt door .thor files op uw pc.

Sommige kwaadaardige scripts kan de registry entries van uw computer aan te passen aan verschillende instellingen te wijzigen. Dit is de reden waarom handmatig opruimen van uw Windows-register Database sterk aanbevolen. Omdat de tutorial over hoe dit te doen is een beetje lenghty, raden we na onze leerzaam artikel over de vaststelling van het register.

Automatisch verwijderen .thor files door het downloaden van een geavanceerde anti-malware programma.

1. .thor files met Anti-Malware SpyHunter verwijderen

1. .thor files wet Anti-Malware SpyHunter verwijderen

1. Om .thor files te verwijderen moet je eerst SpyHunter installeren.

Scan je computer met SpyHunter om de .thor files te verwijderen.

Stap 1:Klik op “Download” en je wordt doorgeleid naar de downloadpagina van SpyHunter.

Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft

Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.

Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.

Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. .thor files moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.

Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.

2. .thor files gecodeerde bestanden herstellen

.thor files gecodeerde bestanden herstellen.

De veiligheidsingenieurs raden gebruikers aan om geen losgeld te betalen en in de plaats daarvan via andere methoden hun bestanden te herstellen. Hieronder vind je enkele voorbeelden:

Eerst moet je controleren of er schaduwkopieën in Windows zijn. Dit kan je met deze software doen:

Shadow Explorer

Om uw gegevens te herstellen, uw eerste inzet is om opnieuw te controleren voor schaduwkopieën in Windows met behulp van deze software:

Technisch gezien kan je ook een netwerk sniffer (een computerprogramma dat verschillende soorten vertrouwelijke informatie zoals belangrijke wachtwoorden voor bestanden of netwerken, verzamelt).
Via een netwerk sniffer kan je aan de encryptiesleutel van de versleutelde bestanden komen. Een netwerk sniffer controleert de informatiestroom in een netwerk zoals het internetverkeer en de internet “packages”.

Optioneel: Gebruiken van alternatieve anti-malware software

STOPZilla Anti Malware

1. Download STOPZilla hier.
Stap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.