Our priority
Your Security

Como remover Troldesh

A família de Troldesh notório de ransomware vírus aumentou apenas com uma nova variante. A nova variante de cripto-ransomware criptografa os arquivos do usuário adicionando um. Extensão de arquivo Better_call_saul atrás deles. É relatado por pesquisadores em Nyxbone para utilizar uma poderosa cifra de criptografia AES-256. O ransomware também é relatado para mudar o papel de parede com uma nota de resgate escrita nas línguas tanto russo e inglês também. Os usuários que foram afetados por este vírus â €”codificador, imediatamente deve removê-lo, em vez de pagar o resgate e tentar restaurar os arquivos usando uma das soluções alternativas neste artigo.

Ameaça Troldesh Resumo Ransomware â €”como é que ele infectar um método Troldesh pode usar com sucesso infectar usuários é através de URLs maliciosos. Tais ligações web podem redirecionar para páginas da web que contêm JavaScript malicioso ou um Kit de explorar. Tais ligações web podem ser vistas em vários locais pelos usuários finais, por exemplo:

Download ferramenta de remoçãoremover Troldesh
  • Em comentários de spam nas seções de comentário de sites diferentes.
  • Caracterizado como uma resposta ou um tópico em um fórum não tão bem protegido.
  • Automaticamente, pop-up no computador como resultado de ter um filhote (programa potencialmente indesejado) instalado no computador.
  • Redirecionar como resultado clicando em um anúncio malicioso (malvertising)

Outro método de distribuição que pode ser utilizado por Troldesh está distribuindo diretamente o .exe do malware. Para que isso aconteça, obscurecimento de processo é acreditado para ser usado no executável para escondê-lo do escudo em tempo real de qualquer antivírus que podem ser instalados para as definições mais recentes no computador da vítima. Esses arquivos geralmente podem ser espalhados através de:

  • Mal-intencionado e-mails como anexos, que são geralmente em. zip ou. rar arquivos.
  • Pose como correções, patches, keygens, rachaduras e outros.
  • Fingir ser uma instalação de um software legítimo em um site de terceiros.

Até agora, uma coisa pode ter a certeza. Os investigadores relataram que esta variante de Troldesh usa os seguintes hosts para realizar campanhas maciças de spam:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 fonte: Nyxbone(@mosh)

E isto não é a única má notícia sobre como este ransomware se espalha. Especialistas acreditam que ter algo em comum com uma botnet muito perigoso, chamado Kelihos que é conhecido para envio de campanhas de phishing. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”atividade maliciosa

O ransomware cai os seguintes arquivos após a infecção:

  • schet1074.15.03.16.doc-1.1 MB
  • CSRSS.exe-1.8 MB
  • 025074DE.exe – 114,3 KB
  • E8B6CE19.exe-1.0 MB

Fonte: Nyxbone(@mosh)

Depois de largar a sua carga, o ransomware modifica as entradas do registro de computadores infectados para alterar as configurações diferentes:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion fonte: Nyxbone(@mosh)

Download ferramenta de remoçãoremover Troldesh

O ransomware também cria arquivos adicionais no computador infectado em locais diferentes:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe –
C:Users{username}AppDataLocalTemp25074DE.exe –
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Depois de fazer, então, o ransomware executa um comando de chamada de seu criptografador. Sua relatada para procurar e criptografar os seguintes tipos de arquivos:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, baía, ptx, pfx, indd, nrw, p12, bd, reforços, torrent, kwm, pwm, cofre, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, filhote, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, GMD, dbf, guia, asc, frm, opt, myd, myi, db, onetoc2, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pote, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, ponto, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mós, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, como, asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, laço, jsf, vb, vbs, vtm, vtml, edml, cru, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3G2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, classe, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, criptografado, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, UFC, mxl, epf, vrp, grs, geo, elf, lgf, lgp, log, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Download ferramenta de remoçãoremover Troldesh

Depois de fazer isso, os arquivos são mexidos com um algoritmo de criptografia AES-256. Os arquivos de criptografia são geralmente com o .better_call_saul, por exemplo:

Arquivo Original:
Novo texto Document.txt
Criptografada do arquivo:
{ID aleatório alfa numérico} – i-{RANDOM alfa numérico ID} =. .Better_call_saul {aleatório alfa numérico ID}

Este ransomware, altera o papel de parede do computador infectado para a imagem a seguir:

O ransomware também pode se comunicar com os atacantes para enviar-lhes a chave de descriptografia, juntamente com outras informações do sistema. Os endereços IP relatados dos atacantes são relatados por especialistas Nyxbone a ser o seguinte:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 fonte: Nyxbone(@mosh)

Além de todos aqueles que, depois de criptografar os arquivos, o ransomware adiciona vários arquivos “README. txt” com números de seqüência, por exemplo, “README1.txt”, “README2.txt”, “README3.txt”, “README4.txt” no Desktop do usuário ou pastas criptografadas. O texto do readme é em Russo e inglês. A versão em inglês do resgate é o seguinte:

Troldesh Ransomware – conclusão, remoção e restauração de arquivo

A linha inferior é que esta variante da família Troldesh é um pouco mais sofisticada do que das variantes de Troldesh .xtbl e .crypt).

Se você deseja remover Troldesh ransomware, você pode seguir as instruções de remoção manual abaixo ou baixar um programa Antimalware avançadas. Vai certificar-se de que seu computador está livre de quaisquer objetos modificados por Troldesh Ransomware e protegê-lo de tais ameaças no futuro também.

No caso de você desejar restaurar seus arquivos, aconselhamos a tentar usar Kaspersky`s Rannoh Decryptor que tem sido relatado com sucesso descriptografar arquivos criptografados de .crypt pela variante Troldesh CryptXXX. Caso contrário, você pode encontrar outras alternativas menos eficazes da etapa “3. Restaure arquivos criptografados por Troldesh”abaixo.

Excluir manualmente o Troldesh do seu computador

Nota! Notificação substancial sobre a ameaça de Troldesh : remoção Manual de Troldesh requer a interferência com o sistema de arquivos e registros. Assim, pode causar danos ao seu PC. Mesmo que suas habilidades de computador não estão em um nível, profissional don’ se preocupe. Você pode fazer a remoção sozinho só em 5 minutos, usando uma ferramenta de remoção de malware.

Para os mais recentes sistemas operacionais de Windows

Guia de remoção manual Troldesh

Passo 1. Desinstalar Troldesh e relacionados a programas

Windows XP

  1. Abra o menu iniciar e clique em painel de controle
  2. Escolha Adicionar ou remover programas
  3. Selecione o aplicativo indesejado
  4. Clique em remover

Windows 7 e Vista

  1. Clique em Iniciar e selecione Painel de controle
  2. Ir para desinstalar um programa
  3. Botão direito do mouse sobre o software suspeito
  4. Selecione desinstalar

Windows 8

  1. Mover o cursor para o canto inferior esquerdo
  2. Botão direito do mouse e abra o painel de controle
  3. Selecione desinstalar um programa
  4. Excluir aplicativos indesejados

control-panel-uninstall Como remover Troldesh

Passo 2. Remover Troldesh do seu navegador

Remover Troldesh de Internet Explorer

  1. Abra o IE e clique no ícone de engrenagem
    ie-settings Como remover Troldesh
  2. Selecione Gerenciar Complementos
    ie-manage-addons Como remover Troldesh
  3. Remover extensões indesejadas
  4. Alterar sua página inicial: ícone de engrenagem → opções da Internet (guia geral)
    ie-internet-options Como remover Troldesh
  5. Redefinir o seu navegador: ícone de engrenagem → opções da Internet (guia Avançado)
  6. Clique em redefinir, a caixa de seleção e clique em redefinir novamente
    ie-reset Como remover Troldesh

Apagar Troldesh do Mozilla Firefox

  1. Abrir o Mozilla e clicar no menu
    ff-settings-menu Como remover Troldesh
  2. Escolha Add-ons e ir para extensões
  3. Selecione o complemento não desejado e clique em remover
    ff-extensions Como remover Troldesh
  4. Reiniciar Mozilla: Alt + H → informações de solução de problemas
    ff-troubleshooting Como remover Troldesh
  5. Clique em Reset Firefox, confirmá-la e clique em concluir
    ff-troubleshooting Como remover Troldesh

Desinstalar Troldesh de Google Chrome

  1. Abra Google Chrome e clique no menu
    chrome-menu-tools Como remover Troldesh
  2. Selecione as extensões de ferramentas →
  3. Escolha o complemento e clique em ícone lixeira
    chrome-extensions Como remover Troldesh
  4. Alterar o seu mecanismo de pesquisa: configurações de Menu →
  5. Clique em gerenciar os motores de busca em busca
    chrome-manage-search Como remover Troldesh
  6. Exclua o provedor de pesquisa indesejáveis
    chrome-search-engines Como remover Troldesh
  7. Redefinir o seu navegador: configurações → Redefinir configurações do navegador
    chrome-reset Como remover Troldesh
  8. Clique em Redefinir para confirmar sua ação

Leave a comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*

Pode usar estas etiquetas HTML e atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>