Our priority
Your Security

Como eliminar Troldesh

La familia Troldesh notorio de ransomware virus sólo ha aumentado con una nueva variante. La nueva variante de crypto-ransomware encripta los archivos de usuario agregando un. Better_call_saul extensión de archivo después de ellos. Es divulgado por los investigadores de Nyxbone utilizar un potente cifrado de cifrado AES-256. El ransomware se informó también a cambiar el papel tapiz con una nota de rescate escrita en idiomas ruso e inglés. Los usuarios que se han visto afectados por este virus â €”codificador, inmediatamente debe eliminarlo, en lugar de pagar el rescate e intentar restaurar los archivos mediante uno de las soluciones alternativas de este artículo.

Amenaza Troldesh Resumen Ransomware â €”es cómo hace que infectar un método Troldesh puede utilizar para infectar con éxito a los usuarios a través de URLs maliciosas. Estos enlaces pueden redirigir a páginas web que contengan JavaScript malicioso o un Kit de explotar. Estos enlaces se pueden observar en varios lugares por usuarios finales, por ejemplo:

Descargar herramienta de eliminación depara eliminar Troldesh
  • Comentarios de spam en las secciones de comentarios de diferentes sitios.
  • Aparece como una respuesta o un tema en un foro no tan bien asegurado.
  • Abrirá automáticamente en el equipo como resultado de tener un cachorro (programa potencialmente no deseado) instalado en el equipo.
  • Redirigir como resultado de hacer clic en un anuncio malicioso (FarmTown)

Otro método de distribución que puede ser utilizado por Troldesh es esparciendo directamente el .exe del malware. Para que eso suceda, proceso de ofuscación se cree para ser utilizado en el archivo ejecutable de ocultar al escudo en tiempo real de cualquier antivirus que se pueden instalar a las definiciones más recientes en el ordenador de la víctima. Este tipo de archivos se puede separar generalmente mediante:

  • Malicioso correos electrónicos como adjuntos, que suelen estar en .zip o .rar los archivos.
  • Plantean como correcciones, parches, keygens, grietas y otros.
  • Pretende ser una configuración de un software legítimo en un sitio web de terceros.

Hasta ahora, una cosa puede ser cierta. Los investigadores han informado que esta variante de Troldesh utiliza los siguientes hosts para realizar campañas masivas de spam:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 fuente: Nyxbone(@mosh)

Y esto no es la única mala noticia sobre cómo se propaga este ransomware. Los expertos creen que tienen algo en común con una botnet muy peligrosa, llamada Kelihos conocida para enviar campañas de phishing. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”actividad maliciosa

El ransomware baja los siguientes archivos después de la infección:

  • schet1074.15.03.16.doc – 1,1 MB
  • CSRSS.exe-1,8 MB
  • 025074DE.exe – 114,3 KB
  • E8B6CE19.exe – 1,0 MB

Fuente: Nyxbone(@mosh)

Después de dejar su carga, el ransomware modifica las entradas del registro de los ordenadores infectados para cambiar diversos ajustes:

Subsistema de tiempo de ejecución de servidor de HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient →
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion fuente: Nyxbone(@mosh)

Descargar herramienta de eliminación depara eliminar Troldesh

El ransomware también crea archivos adicionales en el ordenador infectado en diferentes lugares:

C:ProgramDataWindowscsrss.exe →
C:Users{username}AppDataLocalTempE8B6CE19.exe –
C:Users{username}AppDataLocalTemp25074DE.exe –
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Después de hacerlo, por lo tanto, el ransomware ejecuta un comando de llamada a su encryptor. Divulgado a analizar y cifrar los siguientes tipos de archivos:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, Bahía, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kwm, pwm, caja de seguridad, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, archivo, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, tab, asc, frm, opt, myd, myi, db, onetoc2, uno, onepkg, vcs, ics, pst, menudo, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, PDMA, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, dot, x, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, como asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, raw, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, clase, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, encriptado, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, UFC, mxl, epf, vrp, grs, geo, elf, lgf, lgp, registro, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Descargar herramienta de eliminación depara eliminar Troldesh

Después de hacer esto, los archivos están codificados con un algoritmo de cifrado AES-256. Los archivos de cifrado suelen ser con el .better_call_saul, por ejemplo:

archivo Original:
Nuevo documento de texto.txt
Cifrado de archivo:
{ALEATORIO alfa numérico ID} – i-{RANDOM alfa numérico ID} =. {ALEATORIO alfa numérico ID} .better_call_saul

Este ransomware, luego cambia el fondo de pantalla de la computadora infectada a la siguiente imagen:

El ransomware también puede comunicarse con los atacantes enviar la clave de descifrado junto con otra información del sistema. El divulgado direcciones IP de los atacantes se divulgan por Nyxbone expertos para ser los siguientes:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Fuente: Nyxbone(@mosh)

Además de todos aquellos, después de cifrar los archivos, el ransomware añade varios archivos “README.txt” con números de secuencia, por ejemplo “README1.txt”, “README2.txt”, “README3.txt”, “README4.txt” en el escritorio del usuario o carpetas cifrados. El texto del archivo readme es en ruso e inglés. La versión en Inglés de la nota de rescate es el siguiente:

Troldesh Ransomware-conclusión, retiro y restauración

La conclusión es que esta variante de la familia Troldesh es un poco más sofisticada que el las variantes de Troldesh .xtbl y .crypt).

Si desea quitar Troldesh ransomware, puede siga las instrucciones para la extracción manual a continuación o descargar un programa anti-malware avanzados. Hará que su computadora esté libre de cualquier objeto modificado por Troldesh Ransomware y protegerle de las amenazas en el futuro también.

En caso de que desee restaurar sus archivos, le recomendamos tratar de utilizar Kaspersky`s Rannoh Decryptor que se ha divulgado con éxito descifrar archivos cifrados .crypt por la variante de Troldesh CryptXXX. De lo contrario, usted puede encontrar otras alternativas menos efectivos del paso “3. Restaurar archivos cifrados por Troldesh”a continuación.

Elimine manualmente la Troldesh desde su computadora

Nota! Notificación importante acerca de la amenaza de Troldesh : extracción Manual de la Troldesh requiere de interferencia con los registros y archivos del sistema. Por lo tanto, puede causar daños a su PC. Incluso si tus conocimientos informáticos no están en un nivel profesional dona€™ t se preocupe. Podéis hacer el retiro en 5 minutos, utilizando una herramienta de eliminación de malware.

Para los más nuevos sistemas operativos de Windows

Guía de extracción manual Troldesh

Paso 1. Desinstalar Troldesh y programas relacionados

Windows XP

  1. Abra el menú Inicio y haga clic en Panel de Control
  2. Seleccione Agregar o quitar programas
  3. Seleccione la aplicación no deseada
  4. Haga clic en quitar

Windows 7 y Vista

  1. Haga clic en Inicio y seleccione Panel de Control
  2. Ir a desinstalar un programa
  3. Haga clic derecho sobre el software sospechoso
  4. Seleccione Desinstalar

Windows 8

  1. Mover el cursor a la esquina inferior izquierda
  2. Haga clic derecho y abrir Panel de Control
  3. Seleccione Desinstalar un programa
  4. Eliminar aplicaciones no deseadas

control-panel-uninstall Como eliminar Troldesh

Paso 2. Quitar Troldesh de su navegador

Quitar Troldesh de Internet Explorer

  1. Abra IE y haga clic en el icono del engranaje
    ie-settings Como eliminar Troldesh
  2. Seleccione Administrar complementos
    ie-manage-addons Como eliminar Troldesh
  3. Quitar las extensiones no deseadas
  4. Cambiar tu página de Inicio: icono de engranaje → opciones de Internet (ficha General)
    ie-internet-options Como eliminar Troldesh
  5. Reiniciar el navegador: icono de engranaje → opciones de Internet (ficha Avanzadas)
  6. Haga clic en restablecer, marque la casilla y hacer clic en Reset
    ie-reset Como eliminar Troldesh

Borrar Troldesh de Mozilla Firefox

  1. Abrir Mozilla y haga clic en el menú
    ff-settings-menu Como eliminar Troldesh
  2. Elija complementos e ir a extensiones
  3. Seleccione Add-on no deseado y haga clic en quitar
    ff-extensions Como eliminar Troldesh
  4. Reiniciar Mozilla: Información de solución de problemas de → Alt + H
    ff-troubleshooting Como eliminar Troldesh
  5. Haga clic en Reset Firefox, confirmarlo y haga clic en finalizar
    ff-troubleshooting Como eliminar Troldesh

Desinstalar Troldesh de Google Chrome

  1. Abra Google Chrome y haga clic en el menú
    chrome-menu-tools Como eliminar Troldesh
  2. Seleccione Herramientas → extensiones
  3. Elegir el complemento y haz clic en el icono de la papelera
    chrome-extensions Como eliminar Troldesh
  4. Cambiar su motor de búsqueda: menú → configuración
  5. Haga clic en administrar motores de búsqueda en la búsqueda de
    chrome-manage-search Como eliminar Troldesh
  6. Eliminar proveedor de búsqueda indeseables
    chrome-search-engines Como eliminar Troldesh
  7. Reiniciar el navegador: navegador ajustes → Reset
    chrome-reset Como eliminar Troldesh
  8. Haga clic en restablecer para confirmar su acción

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>