Our priority
Your Security

Hvordan fjerner Troldesh

Den berygtede Troldesh familie af ransomware virus er kun steget med en ny variant. Den nye variant af crypto-ransomware krypterer brugerfiler tilføjer en. Better_call_saul fil forlængelse efter dem. Det er rapporteret af forskere ved Nyxbone at udnytte en stærk AES-256 kryptering cifferliste. Ransomware er også rapporteret at ændre tapet med en løsesum notat skrevet på både russisk og engelsk sprog. Brugere, der er blevet berørt af denne virus â €”encoder, bør straks fjerne det, istedet for betaler løsesum og forsøge at gendanne filerne ved hjælp af en af de alternative løsninger i denne artikel.

Trussel summariske Troldesh Ransomware â €”hvordan gør det inficerer en metode Troldesh kan bruge til at kunne inficere brugere er via ondsindede URL’er. Sådanne hyperlinks kan omdirigere til websider, der indeholder ondsindet JavaScript eller en udnytte Kit. Sådanne weblinks kan ses i forskellige steder af slutbrugere, for eksempel:

Download værktøj til fjernelse affjerne Troldesh
  • På spam-kommentarer i kommentar sektioner af forskellige websteder.
  • Præsenteret som et svar eller et emne i en ikke så godt sikret forum.
  • Automatisk pop-up på computeren som følge af at have en hvalp (potentielt uønsket Program) installeret på computeren.
  • Omdirigere som følge af at klikke på et ondsindet annonce (malvertising)

En anden metode til distribution, som kan anvendes af Troldesh er af direkte spredning .exe af malware. Dette skal ske, menes proces formørkelse skal anvendes på den eksekverbare fil til at skjule det fra skjoldet realtid i hvilken som helst antivirus, der er installeret til de nyeste definitioner på ofrets computer. Sådanne filer kan normalt spredes:

  • Ondsindede e-mails som vedhæftede filer, som er normalt i zip eller rar arkiver.
  • Udgøre som løser, patches, keygens, revner og andre.
  • Foregive at være en opsætning af en legitim software på en tredjeparts websted.

Hidtil har kan én ting være visse. Forskere har rapporteret, at denne variant af Troldesh bruger følgende værter til at foretage massive spam-kampagner:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 kilde: Nyxbone(@mosh)

Og dette er ikke den eneste dårlige nyhed om hvordan denne ransomware spreder. Eksperter mener, at det at have noget til fælles med en meget farlig botnet, kaldet Kelihos, der er kendt for at sende phishing kampagner. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”ondsindet aktivitet

Ransomware dråber følgende filer efter infektion:

  • schet1074.15.03.16.doc-1,1 MB
  • CSRSS.exe-1,8 MB
  • 025074DE.exe – 114.3 KB
  • E8B6CE19.exe-1.0 MB

Kilde: Nyxbone(@mosh)

Efter dropper sin nyttelast, ændrer ransomware registreringsdatabaseposter af inficerede computere til at ændre forskellige indstillinger:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion kilde: Nyxbone(@mosh)

Download værktøj til fjernelse affjerne Troldesh

Ransomware skaber også yderligere filer i den inficerede computer på forskellige steder:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe-
C:Users{username}AppDataLocalTemp25074DE.exe-
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Efter at gøre, så udfører ransomware en call-kommandoen til sin krypteringsforetagendet. Dens rapporterede at scanne og kryptere de følgende filtyper:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, an der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kwm, pwm, safe, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, CSV-, PDF-, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, tværfaglige, dbf, tab, asc, frm, opt, myd, myi, db, onetoc2, en, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, dot, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, MTV, htc, ssi, som asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, rå, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl sln, js, json, inc, sql, java, klasse, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, kryptisk, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geo, elf, lgf, lgp, log, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Download værktøj til fjernelse affjerne Troldesh

Efter gør indeværende, er filerne krypteret med en AES-256 krypteringsalgoritme. De enciphered filer er normalt med .better_call_saul, for eksempel:

oprindelige fil:
Ny tekst Document.txt
Krypteret fil:
{TILFÆLDIGE alfa numerisk ID} – i-{tilfældige alfa numerisk ID} =. {TILFÆLDIGE alfa numerisk ID} .better_call_saul

Denne ransomware ændrer tapet på den inficerede computer til følgende billede:

Ransomware kan også kommunikere med hackere at sende til dem dekrypteringsnøgle sammen med andre systemoplysninger. Angriberne rapporterede IP-adresser er rapporteret af Nyxbone eksperter at være følgende:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 kilde: Nyxbone(@mosh)

Ud over alle disse, efter kryptere filer, tilføjer ransomware flere “README.txt” filer med sekvensnumre, for eksempel “README1.txt”, “README2.txt”, “README3.txt”, “README4.txt” på skrivebordet på bruger- eller krypterede mapper. Readme tekst findes i russisk og engelsk. Den engelske version af løsesum notat er følgende:

Troldesh Ransomware – konklusion, fjernelse og fil restaurering

Den nederste linje er, at denne variant af familien Troldesh er en smule mere sofistikeret end de varianter af .xtbl og .crypt Troldesh).

Hvis du vil fjerne Troldesh ransomware, kan du følge instruktionerne til manuel fjernelse nedenfor eller downloade en avanceret anti-malware program. Det vil sørge for din computer er fri for de objekter, som ændret ved Troldesh Ransomware og beskytte dig mod sådanne trusler i fremtiden så godt.

Hvis du ønsker at gendanne dine filer, anbefaler vi at forsøge at bruge Kaspersky`s Rannoh Decryptor, som er blevet rapporteret til succes dekryptere .crypt krypterede filer af Troldesh varianten CryptXXX. Ellers kan du finde andre, mindre effektive alternativer fra trin “3. Gendanne filer krypteret af Troldesh”nedenfor.

Manuelt slette Troldesh fra din computer

Bemærk! Omfattende meddelelse om Troldesh trussel: manuel fjernelse af Troldesh kræver indblanding med systemfiler og registre. Således kan det forårsage skade på din PC. Selv hvis din computerfærdigheder ikke er på et professionelt niveau, don’ t bekymre dig. Du kan gøre fjernelse selv kun i 5 minutter, ved hjælp af en malware afsked værktøj.

For nyere Windows operativsystemer

Manual Troldesh fjernelse Guide

Trin 1. Afinstallere Troldesh og relaterede programmer

Windows XP

  1. Åbn Start-menuen og klik på Kontrolpanel
  2. Vælge Tilføj eller fjern programmer
  3. Vælg det uønskede program
  4. Klik på Fjern

Windows 7 og Vista

  1. Klik på Start og vælg Control Panel
  2. Gå til at afinstallere et program
  3. Højreklik på den mistænkelige software
  4. Vælg Afinstaller

Windows 8

  1. Flyt markøren til det nederste venstre hjørne
  2. Højreklik og Åbn Kontrolpanel
  3. Vælg Fjern et program
  4. Slet uønskede program

control-panel-uninstall Hvordan fjerner Troldesh

Trin 2. Fjern Troldesh fra din browsere

Fjern Troldesh fra Internet Explorer

  1. Åbn IE, og klik på tandhjulsikonet
    ie-settings Hvordan fjerner Troldesh
  2. Vælg Administrer tilføjelsesprogrammer
    ie-manage-addons Hvordan fjerner Troldesh
  3. Fjerne uønskede udvidelser
  4. Skifte Startside: tandhjulsikonet → Internetindstillinger (fanen Generelt)
    ie-internet-options Hvordan fjerner Troldesh
  5. Nulstille din browser: tandhjulsikonet → Internetindstillinger (fanen Avanceret)
  6. Klik på Nulstil, markere afkrydsningsfeltet og klikke på Nulstil igen
    ie-reset Hvordan fjerner Troldesh

Slette Troldesh fra Mozilla Firefox

  1. Åbn Mozilla og klikke på menuen
    ff-settings-menu Hvordan fjerner Troldesh
  2. Vælg tilføjelsesprogrammer og gå til Extensions
  3. Vælg uønskede tilføjelsesprogram og klikke på Fjern
    ff-extensions Hvordan fjerner Troldesh
  4. Nulstil Mozilla: Alt + H → fejlfinding oplysninger
    ff-troubleshooting Hvordan fjerner Troldesh
  5. Klik på Nulstil Firefox, bekræfte det og klik på Udfør
    ff-troubleshooting Hvordan fjerner Troldesh

Afinstallere Troldesh fra Google Chrome

  1. Åben Google Chrome og klikke på menuen
    chrome-menu-tools Hvordan fjerner Troldesh
  2. Vælg værktøjer → udvidelser
  3. Vælg tilføjelsesprogrammet og klik på papirkurvsikonet kan
    chrome-extensions Hvordan fjerner Troldesh
  4. Ændre din søgemaskine: Menu → indstillinger
  5. Klik på Administrer søgemaskiner under Søg
    chrome-manage-search Hvordan fjerner Troldesh
  6. Slet uønskede søgemaskine
    chrome-search-engines Hvordan fjerner Troldesh
  7. Nulstille din browser: indstillinger → Nulstil webbrowserindstillinger
    chrome-reset Hvordan fjerner Troldesh
  8. Klik på Nulstil for at bekræfte din handling

Leave a comment

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret med *

*

Disse HTML koder og attributter er tilladte: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>