Een nieuwe ransomware, genaamd Wana Decrypt0r 2.0 door malware hunters, is gemeld om bestanden te coderen op de door hen geïnfecteerde computers. Het ransomware-virus maakt gebruik van de .WNCRY-bestandsextensie en wordt in wezen gerapporteerd als een nieuwe versie van de WannaCry, ook wel bekend als de WCry-familie van ransomware virussen. De infectie laat een losgeld bericht zien, genaamd @[email protected] en verandert de wallpaper en voegt ook software toe met instructies om het losgeld te betalen. Als u een slachtoffer bent van deze ransomware-infectie, raden wij u aan om het volgende artikel grondig te lezen.
Overzicht bedreiging
| Naam |
Wanacry virus |
| Type | Ransomware |
| Korte omschrijving | Nieuwe versie van mei 2017 van de WannaCry ransomware virussen. Encrypteert dossiers en vraagt dan de slachtoffers om een heftige losprijs te betalen om de gecodeerde bestanden te herstellen. |
| Symptomen | Bestanden worden gecodeerd met de .WNCRY bestandsuitbreiding die eraan is toegevoegd. Daarnaast wordt een losgeld nota toegevoegd, genaamd @[email protected]. Voegt ook een lockscreen toe, genaamd “Wana Decrypt0r 2.0”. |
| Distributie methode | Via een Exploit kit, DLL bestand aanval, kwaadaardige JavaScript of een drive-by download van de malware zelf. |
| Opsporingstool |
Controleert u of uw systeem geïnfecteerd is met Wanacry virus
Downloaden
Malware Remover
|
UPDATE MEI 2017 We hebben mogelijke methodes samengevat waarmee u uw bestanden theoretisch kunt proberen te herstellen. We hebben ook nieuwe informatie opgenomen over hoe dit virus verspreidt. De instructies staan in het volgende artikel.
.WNCRY Virus – Hoe Wordt hetVerspreidt
Net als bij de vorige .wcry-variant, kan deze ransomware versie ook dezelfde methoden gebruiken om te verspreiden. Ze zijn verbonden met het gebruik van verschillende soorten gereedschappen die specifiek worden gebruikt om kwaadwillige bestanden en URL’s te verspreiden zonder te worden gedetecteerd:
- De ETERNALBLUE en DOUBLEPULSARE Exploits lekken door de ShadowBrokers in een lek, genaamd ‘Verloren Vertaling’, die in april 2017 is gebeurd
- Spamming software (spam bots, crawlers, enz.)
- Pre-geconfigureerde lijst van e-mailadressen van potentiële slachtoffers waarnaar spam mail kan worden verzonden.
- Intermediaire malware om de infectie te verspreiden.
- Een set C2-servers en distributiedomeinen voor commando en controle en de download van het .WNCRY bestand virus payload.
Hoewel de WanaCrypt0r 2.0 ransomware kan verspreiden via torrent websites, nep updates of andere nep-instellingen en executables die worden geüpload op verdachte hosts, kan het virus de voornaamste verspreidingsmethode via overtuigend gecreëerde e-mails zijn. Dergelijke e-mails hebben tot doel de slachtoffers te overtuigen om op een kwaadaardige e-mailbijlage te klikken en daarmee besmet te worden met het .WNCRY-bestands virus.
De bijlagen kunnen meestal.js, .exe of ander type uitvoerbare bestanden zijn, maar in sommige gevallen zijn ze ook gerelateerd aan kwaadaardige macro’s. Deze kwaadaardige macro’s kunnen worden geactiveerd zodra de gebruiker de inhoud van een document opent.
Hoe Werkt het .WNCRY Bestandsvirus
De hoofdactiviteit van het Wana Decrypt0r 2.0 ransomware virus na infectie is om een ingesloten bestand in de map te plaatsen waar het infectiebestand zich bevindt. Het bestand is een wachtwoord beveiligd .zip, genaamd wcry.zip. Het heeft de volgende inhoud:
- b.wnry
- c.wnry
- r.wnry
- s.wnry
- t.wnry
- u.wnry
- taskse.exe
- taskdl.exe
Het infectiedossier van Wana Decrypt0r 2.0 ransomware zal deze zipped bestanden uitpakken in een map en beginnen te verbinden met de downloadwebsite van de TOR-webbrowser. Van daaruit kan het .Wana Decrypt0r 2.0-virus verbinding maken met meerdere commando- en beheerservers:
- 57g7spgrzlojinas.onion
- xxlvbrloxvriy2c5.onion
- 76jdd2ir2embyv47.onion
- cwwnhwhlz52maqm7.onion
Een andere activiteit van het WanaCrypt0r .WNCRY infectie kan zijn om de schaduwvolume kopieën te verwijderen en alle kansen te verwijderen om uw bestanden terug te zetten via back-up op de geïnfecteerde computer. Dit wordt gedaan door de volgende administratieve Windows commando’s uit te voeren:
→ vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set boostatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Naast deze activiteit heeft WannaCry.WNCRY virus ook een programma, genaamd @[email protected], die een werkelijke timer heeft met geavanceerde instructies over het betalen van het losgeld. Dit programma heet “Wana Decrypt0r 2.0” en het bericht ziet eruit als volgt:
Nadat de timer op dit programma is afgelopen, kan het losgeld bedrag zich verdubbelen, volgens de scareware-berichten en de vorige versie, die ook deze software gebruikt.
Een andere actie die het programma gebruikt is dat het ook het behang op de computer van het slachtoffer verandert met het volgende bericht:
Ooops, your important files are encrypted.
If you see this text, but don’t see the ”Wana Decrypt0r” window,
then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named “@[email protected]” in any folder or restore from the antivirus quarantine.
Run and follow the instructions!
.WNCRY Bestandsvirus – Encryptieproces
Er kunnen twee encryptiealgoritmen worden gebruikt voor deze specifieke ransomware-infectie. Een daarvan staat bekend als AES (Advanced Encryption Standard) en kan gebruikt worden in 128-bit encryptie. Het is een van de sterkste codes en kan niet worden gedecodeerd, tenzij de criminelen een fout maken in de encryptiecode. Het kan een symmetrische sleutel genereren, FEK-code genoemd na versleuteling. Deze sleutel kan de enige methode zijn om de bestanden te decoderen, omdat daarmee het proces omgekeerd kan worden.
Daarnaast wordt ook een andere code, bekend als Rivers-Shamir-Adleman of RSA, gebruikt in combinatie met het AES-cijfer om unieke publieke en privé-sleutels voor elk van de bestanden te genereren. Dit maakt de decryptie van elk bestand afzonderlijk en heel moeilijk.
Voor het encryptieproces richt het .WNCRY-virus naar bestanden die veel gebruikt worden. Deze bestanden zijn meestal de volgende:
→ .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar
Verwijder de .WNCRY Virus
Om de Wanacry virus te verwijderen, is het raadzaam de instructies hierna te volgen. Ze zijn voor maximale effectiviteit ontwikkeld. Als u geen ervaring heeft met het handmatige verwijderen van malware, adviseren wij u om een geavanceerde anti-malware software te gebruiken om Wanacry virus automatisch te verwijderen.
Hoe Wanacry virus van je computer verwijderen? (handmatig)
Aandacht! Belangrijke mededeling m.b.t. Wanacry virus: de handmatige verwijdering van Wanacry virus vereist het aanbrengen van wijzigingen in de systeembestanden en registers. Dit kan dus schade aan je PC veroorzaken. Beschik je niet over de vereiste kennis? Geen probleem, je kunt dit doen door een malware remover te gebruiken.
Computer in veilige modus opstarten.
1. Voor Windows 7, XP en Vista.
2. Voor Windows 8, 8.1 en 10.Voor besturingssystemen Windows XP, Vista en 7:
1. Verwijder alle CDs en DVDs en start de computer opnieuw op via de “Start” menu
2. Kies één van de onderstaande opties:
– voor computers met één besturingssysteem: Druk meerdere malen op F8 tijdens het opstarten totdat het eerste scherm verschijnt. Als je het Windows-logo op het scherm ziet verschijnen, moet je de procedure nogmaals doorlopen.
– Voor computers met meerdere besturingssystemen: Gebruik de pijlen om het besturingssysteem dat je in veilige modus wil opstarten te selecteren. Druk meerdere malen op F8 tijdens het opstarten (zoals hierboven beschreven).
3. Als je het scherm “Advanced Boot Options” ziet verschijnen, gebruik de pijlen om “Safe Mode” te selecteren. Klik daarna op Enter om je keuze te bevestigen.
4. Log in als administrator.
Als je computer in veilige modus is, wordt de melding “Safe Mode” weergegeven in de hoeken van uw beeldscherm.
Stap 1: Open het Start Menu.
Stap 2: Houd “Shift” ingedrukt, klik op “Power” en daarna op “Restart”.
Stap 3: Nadat je computer opnieuw is opgestart, krijg je het onderstaande menu te zien. Klik dan op “Troubleshoot”.
Stap 4: Je zal het menu “Troubleshoot” zien. Daar moet je “Advanced options” kiezen.
Stap 5: In het menu “Advanced options” klik je op “Startup Settings”.
Stap 6: Klik op “Restart”.
Stap 7: Je zal een “Restart menu” zien verschijnen. Hier moet je “Safe Mode”. Dit doe je door het corresponderende cijfer van je toetsenboord te typen. Je computer zal opnieuw opstarten.
Automatisch verwijderen Wanacry virus door het downloaden van een geavanceerde anti-malware programma.
1. Wanacry virus wet Anti-Malware SpyHunter verwijderen
1. Om Wanacry virus te verwijderen moet je eerst SpyHunter installeren.Scan je computer met SpyHunter om de Wanacry virus te verwijderen.
Het is sterk aangeraden dat je eerst je computer scant en pas daarna je de volledige versie van SpyHunter bestelt. Zo ben je zeker dat SpyHunter de malware gedetecteerd heeft
Stap 2: Volg de downloadinstructies op je browser
Stap 3: Wacht tot de installatie voltooid is en totdat de laatste updates geïnstalleerd zijn.
Stap1: Nadat de update voltooid is, klik op “Scan Computer Now”.
Stap 2: Eens de scan is beëindigd zal je alle malwares in de bedreiging box zien. Wanacry virus moet ertussen zijn. Klik op “Fix Threats” om ze automatisch te verwijderen.
Stap 3: Nadat je alle malware hebt verwijderd is het aangeraden om je computer opnieuw op te starten.
Optioneel: Gebruiken van alternatieve anti-malware software
STOPZilla Anti MalwareStap 1: Download STOPZilla by clicking here.
Stap 2: Klik daarna op “Save file”. Als het bestand niet gedownload, is klik dan nogmaals op de downloadlink.
Stap 3: Start de installatie op.
Stap 4: Je ziet het installatievenster verschijnen. Klik op “Next”.
Stap 5: Selecteer “I accept the agreement” en klik op “Next”.
Stap 6: Controleer de gegevens en klik op “Install”.
Stap 7: Nadat de installatie is voltooid, klik op “Finish”.
2. Scan je computer met STOPZilla Anti Malware om alle bestanden van Wanacry virus automatisch te verwijderen.
Stap 1: Start STOPZilla op (tenzij je dat meteen na da installatie hebt gedaan).
Stap 2: Wacht tot de updates geïnstalleerd zijn en klik op “Scan Now”. Als de scan niet automatisch start, klik dan op “Scan Now”.
Step 3: Nadat alle bedreigingen verwijderd zijn, start je je PC opnieuw op.
