Our priority
Your Security

Come eliminare Troldesh

La famiglia del famigerato Troldesh di ransomware virus ha appena aumentato con una nuova variante. La nuova variante di cripto-ransomware crittografa i file utente aggiungendo un. Estensione Better_call_saul dopo di loro. È segnalato dai ricercatori del Nyxbone di utilizzare una potente crittografia crittografia AES-256. Il ransomware è segnalato anche per cambiare lo sfondo con una nota di riscatto scritta in più lingue russo e inglese pure. Gli utenti che sono stati colpiti da questo virus â €”encoder, dovrebbe immediatamente rimuoverlo, invece di pagare il riscatto e tenta di ripristinare i file utilizzando una delle soluzioni alternative in questo articolo.

Minaccia Troldesh Riepilogo Ransomware â €”è come fa esso infettare un metodo Troldesh possono utilizzare per infettare con successo gli utenti tramite URL dannosi. Tali collegamenti web possono reindirizzare a pagine web che contengono codice JavaScript dannoso o un Exploit Kit. Tali collegamenti web possono essere visualizzati in varie località dagli utenti finali, ad esempio:

Scarica lo strumento di rimozionerimuovere Troldesh
  • Il commenti di spam nelle sezioni di commento di diversi siti.
  • In primo piano come una risposta o un topic in un forum non così ben protetto.
  • Automaticamente pop-up sul computer come risultato di avere un PUP (programmi potenzialmente indesiderati) installato nel computer.
  • Reindirizzare a seguito facendo clic su un annuncio dannoso (malvertising)

Un altro metodo di distribuzione che può essere utilizzati da Troldesh è diffondendo direttamente la .exe del malware. Perché ciò avvenga, processo offuscamento si crede di essere usato sul file eseguibile di nasconderlo dallo scudo di tempo reale di qualsiasi antivirus che possono essere installati per le definizioni più recenti sul computer della vittima. Tali file possono essere distribuiti solitamente tramite:

  • Dannoso e-mail come allegati, che sono solitamente in. zip o. rar archivi.
  • Pose come correzioni, patch, keygen, crepe e altri.
  • Fingere di essere un programma di installazione di un software legittimo su un sito Web di terze parti.

Finora, una cosa può essere certa. I ricercatori hanno segnalato che questa variante di Troldesh utilizza i seguenti host per condurre campagne di spam massiccio:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 fonte: Nyxbone(@mosh)

E questo non è l’unica brutta notizia su come si diffonde questo ransomware. Gli esperti ritengono di avere qualcosa in comune con una botnet molto pericolosa, chiamata Kelihos che è noto per l’invio di campagne di phishing. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”attività dannose

Il ransomware rilascia i seguenti file dopo l’infezione:

  • schet1074.15.03.16.doc – 1,1 MB
  • CSRSS.exe – 1,8 MB
  • 025074DE.exe – 114,3 KB
  • E8B6CE19.exe – 1,0 MB

Fonte: Nyxbone(@mosh)

Dopo aver lasciato cadere il suo carico, il ransomware modifica le voci di registro di sistema dei computer infetti per modificare diverse impostazioni:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion fonte: Nyxbone(@mosh)

Scarica lo strumento di rimozionerimuovere Troldesh

Il ransomware crea anche file aggiuntivi nel computer infetto in diverse posizioni:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe –
C:Users{username}AppDataLocalTemp25074DE.exe –
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Dopo aver fatto, quindi, il ransomware esegue un comando di chiamata per sua encryptor. E ‘ segnalato di scansione e crittografare i seguenti tipi di file:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, baia, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kwm, pwm, Cassetta di sicurezza, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, tab, asc, frm, optare, myd, myi, db, onetoc2, uno, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, dot, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, IA, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, come asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lazo, jsf, vb, vbs, vtm, vtml, edml, raw, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3G2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, classe, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, criptato, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geo, elfo, lgf, lgp, registro, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Scarica lo strumento di rimozionerimuovere Troldesh

Dopo questa operazione, i file sono criptati con un algoritmo di crittografia AES-256. I file cifrati sono solitamente con il .better_call_saul, per esempio:

file originale:
Nuovo testo. txt
File crittografato:
{ID casuale alfa numerico} – i-{RANDOM alfa numerico ID} =. {ID numerica alfa casuale} .better_call_saul

Questo ransomware, poi cambia lo sfondo del computer infetto alla seguente immagine:

Il ransomware può anche comunicare con gli aggressori di inviare loro la chiave di decrittazione insieme ad altre informazioni di sistema. Gli indirizzi IP segnalati degli aggressori sono segnalati da Nyxbone esperti per essere il seguente:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 fonte: Nyxbone(@mosh)

Oltre a tutti coloro che, dopo la crittografia dei file, il ransomware aggiunge più file “Readme. txt” con i numeri di sequenza, ad esempio “README1.txt”, “README2.txt”, “README3.txt”, “README4.txt” sul Desktop dell’utente o cartelle crittografate. Il testo del file readme è in russo e inglese. La versione inglese della nota di riscatto è il seguente:

Troldesh Ransomware – conclusione, rimozione e ripristino File

La linea di fondo è che questa variante della famiglia Troldesh è un po’ più sofisticata rispetto alle varianti di Troldesh .xtbl e. crypt).

Se si desidera rimuovere ransomware Troldesh, è possibile seguire le istruzioni per la rimozione manuale qui sotto o scaricare un programma anti-malware avanzate. Sarà assicurarsi che il computer è privo di qualsiasi oggetti modificati da Troldesh Ransomware e proteggerti da tali minacce in futuro pure.

Nel caso in cui si desidera ripristinare i file, consigliamo di cercare di usare Kaspersky`s Rannoh Decryptor che è stato segnalato con successo decrittografare i file crittografati. crypt dalla variante Troldesh CryptXXX. In caso contrario, si possono trovare alternative altre, meno efficace dal passaggio “3. Ripristinare i file crittografati da Troldesh”qui sotto.

Eliminare manualmente il Troldesh dal tuo computer

Nota! Sostanza notifica circa la minaccia di Troldesh : rimozione manuale di Troldesh richiede interferenza con i registri e i file di sistema. Così, può causare danni al vostro PC. Anche se le competenze informatiche possedute non sono un professionista livello, donâ €™ t preoccupare. Si può fare la rimozione se stessi solo in 5 minuti, utilizzando uno strumento di rimozione malware.

Per i più recenti sistemi operativi di Windows

Guida alla rimozione manuale Troldesh

Passo 1. Disinstallare Troldesh e relativi programmi

Windows XP

  1. Aprire il menu Start e fare clic su pannello di controllo
  2. Scegliere Aggiungi o Rimuovi programmi
  3. Selezionare l’applicazione indesiderata
  4. Fare clic su Rimuovi

Windows 7 e Vista

  1. Fare clic su Start e selezionare Pannello di controllo
  2. Vai a disinstallare un programma
  3. Tasto destro del mouse sul software sospettoso
  4. Selezionare Disinstalla

Windows 8

  1. Spostare il cursore nell’angolo sinistro inferiore
  2. Tasto destro del mouse e aprire il pannello di controllo
  3. Selezionare Disinstalla un programma
  4. Cancellare le applicazioni indesiderate

control-panel-uninstall Come eliminare Troldesh

Passo 2. Rimuovere Troldesh dal tuo browser

Rimuovere Troldesh da Internet Explorer

  1. Aprire IE e cliccare sull’icona ingranaggio
    ie-settings Come eliminare Troldesh
  2. Selezionare Gestisci componenti aggiuntivi
    ie-manage-addons Come eliminare Troldesh
  3. Rimuovere estensioni indesiderate
  4. Cambiare la tua home page: icona ingranaggio → opzioni Internet (scheda generale)
    ie-internet-options Come eliminare Troldesh
  5. Ripristinare il vostro browser: icona ingranaggio → opzioni Internet (scheda Avanzate)
  6. Fare clic su Reimposta, spunta la casella e fare nuovamente clic su Reset
    ie-reset Come eliminare Troldesh

Eliminare Troldesh da Mozilla Firefox

  1. Aprire Mozilla e scegliere dal menu
    ff-settings-menu Come eliminare Troldesh
  2. Scegliere Componenti aggiuntivi e andare alle estensioni
  3. Selezionare il componente aggiuntivo non desiderato e fare clic su Rimuovi
    ff-extensions Come eliminare Troldesh
  4. Reset Mozilla: Alt + H → informazioni di risoluzione dei problemi
    ff-troubleshooting Come eliminare Troldesh
  5. Fare clic su Reset Firefox, confermare e fare clic su fine
    ff-troubleshooting Come eliminare Troldesh

Disinstallare Troldesh da Google Chrome

  1. Aprire Google Chrome e fare clic sul menu
    chrome-menu-tools Come eliminare Troldesh
  2. Selezionare strumenti → estensioni
  3. Scegliere il componente aggiuntivo e fare clic sull’icona di Trash can
    chrome-extensions Come eliminare Troldesh
  4. Cambiare il motore di ricerca: Menu → impostazioni
  5. Fare clic su Gestisci motori di ricerca in ricerca
    chrome-manage-search Come eliminare Troldesh
  6. Eliminare il provider di ricerca indesiderati
    chrome-search-engines Come eliminare Troldesh
  7. Ripristinare il vostro browser: impostazioni → Reset Impostazioni browser
    chrome-reset Come eliminare Troldesh
  8. Fare clic su Reimposta per confermare la vostra azione

Leave a comment

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>