Our priority
Your Security

Troldesh verwijderen

De familie van de beruchte Troldesh van ransomware virussen toegenomen net met een nieuwe variant. De nieuwe variant van de crypto-ransomware codeert de bestanden van de gebruiker toe te voegen een. Better_call_saul bestandsextensie na hen. Het is gemeld door onderzoekers van Nyxbone gebruik maken van een krachtige AES-256 encryption codeermachine. De ransomware wordt ook gemeld dat het behang veranderen met een losgeld nota geschreven in het Russisch en het Engels talen zo goed. Gebruikers die zijn getroffen door dit virus â €”encoder, moet onmiddellijk verwijderen, in plaats van het betalen van losgeld en probeert te herstellen van de bestanden met behulp van een van de alternatieve oplossingen in dit artikel.

Bedreiging van de samenvatting Troldesh Ransomware â €”Hoe doet het infecteren een methode Troldesh gebruiken kunnen om met succes het infecteren van gebruikers is via schadelijke URL’s. Dergelijke weblinks kan omleiden naar webpagina’s die schadelijke JavaScript of een Kit exploiteren bevatten. Dergelijke weblinks kan worden gezien in verschillende locaties door eindgebruikers, bijvoorbeeld:

Removal Tool downloadenom te verwijderen Troldesh
  • Op spam reacties in commentaar secties van verschillende sites.
  • Gekenmerkt als een antwoord of een onderwerp in een forum niet zo goed geborgd.
  • Automatisch een pop-up op de computer als gevolg van het hebben van een PUP (potentieel ongewenste programma) op de computer geïnstalleerd.
  • Omleiden als gevolg van het klikken op een kwaadaardige advertentie (malvertising)

Een andere methode van verdeling die door Troldesh kan worden gebruikt is door het direct verspreiden van de .exe van de malware. Om dit te gebeuren, wordt proces vertroebeling verondersteld te worden gebruikt op het uitvoerbare bestand voor het verbergen van de real-time schild van ieder antivirus die kan worden geïnstalleerd om de nieuwste definities op de computer van het slachtoffer. Dergelijke bestanden kunnen meestal worden verspreid:

  • Kwaadaardige e-mails als bijlagen, die meestal in .zip of .rar archief.
  • Vormen zoals fixes, patches, keygens, scheuren en anderen.
  • Pretenderen te zijn een installatie van een legitieme software op de website van een derde.

Tot nu toe kan één ding er zeker van. Onderzoekers hebben gemeld dat deze variant van de Troldesh de volgende hosts gebruikt om massale spam campagnes:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 Bron: Nyxbone(@mosh)

En dit is niet het enige slechte nieuws over hoe deze ransomware verspreidt. Deskundigen zijn van mening te hebben iets gemeen met een zeer gevaarlijke botnet, genaamd Kelihos, dat bekend staat voor het versturen van phishing campagnes. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”kwaadaardig werking

De ransomware daalt de volgende bestanden na infectie:

  • schet1074.15.03.16.doc-1.1 MB
  • CSRSS.exe-1,8 MB
  • 025074DE.exe – 114.3 KB
  • E8B6CE19.exe – 1,0 MB

Bron: Nyxbone(@mosh)

Na de dropping zijn lading, wijzigt de ransomware de registervermeldingen van geïnfecteerde computers om verschillende instellingen te wijzigen:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime subsysteem “
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion Bron: Nyxbone(@mosh)

Removal Tool downloadenom te verwijderen Troldesh

De ransomware maakt ook extra bestanden in de geïnfecteerde computer op verschillende locaties:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe-
C:Users{username}AppDataLocalTemp25074DE.exe-
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Na het doen, dus voert de ransomware een opdracht call aan haar encdec. De gerapporteerde te zoeken en versleutelen van de volgende typen bestanden:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, back-up, torrent, kwm, pwm, veilige, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, XLM-odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, MDE-, accde, accdw, accdt, accdc, mdw, dbf, tab, asc, frm, kiezen, MJD myi, db, onetoc2, één, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, stip, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, ASP-, aspx-, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, EPS-, KMZ-, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, DLM, pbm, pgm, ppm, pnm, pfm, pam, pct, PICT-, psb, fxg, swf, hta, htc, ssi, als, asr, XSL-, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, rauw, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl sln, js, json, inc, sql, java, klasse, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, gecodeerd, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, FMN, epf, vrp, grs, geo, elf, lgf, lgp, log, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Removal Tool downloadenom te verwijderen Troldesh

Na dit te doen, worden de bestanden gecodeerd met een AES-256 encryptie-algoritme. De Marian bestanden zijn meestal met de .better_call_saul, bijvoorbeeld:

originele bestand:
Nieuwe tekst Document.txt
Gecodeerd bestand:
{RANDOM ALPHA-numerieke ID} – i-{RANDOM ALPHA numerieke ID} =. {WILLEKEURIGE alfa numerieke ID} .better_call_saul

Deze ransomware, dan verandert het behang van de besmette computer naar de volgende afbeelding:

De ransomware kan ook communiceren met de aanvallers naar hen kunt sturen de decoderingssleutel samen met andere systeeminformatie. De gerapporteerde IP adressen van aanvallers worden gemeld door deskundigen van de Nyxbone als volgt te werk:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Bron: Nyxbone(@mosh)

Naast al die, na het coderen van de bestanden, voegt de ransomware meerdere “README.txt” bestanden met volgnummers, bijvoorbeeld “README1.txt”, “README2.txt”, “README3.txt”, “README4.txt” op het bureaublad van de gebruiker of gecodeerde mappen. De tekst van het Leesmij-bestand is in het Russisch en Engels. De Engelse versie van het losgeld nota is de volgende:

Troldesh Ransomware-sluiting, verwijdering en herstel van het bestand

De bottom line is dat deze variant van de Troldesh-familie een beetje meer verfijnd dan is de de .xtbl en .crypt Troldesh-varianten).

Als u verwijderen van de Troldesh ransomware wilt, kan u de instructies voor handmatige verwijdering onder of een geavanceerde anti-malware programma downloaden. Het zal ervoor zorgen dat uw computer is vrij van eventuele objecten bewerkt door Troldesh Ransomware en beschermt u tegen zulke bedreigingen in de toekomst ook.

In het geval dat u wenst om uw bestanden te herstellen, is het aan te raden probeert te gebruiken Kaspersky`s Rannoh Decryptor die is gemeld aan het met succes .crypt gecodeerde bestanden te decoderen door de variant van de Troldesh CryptXXX. Anders, kunt u andere, minder doeltreffende alternatieven uit stap “3. Herstellen bestanden die zijn gecodeerd door Troldesh”hieronder.

Troldesh handmatig te verwijderen van uw computer

Opmerking! Belangrijke kennisgeving over de dreiging van Troldesh : handmatige verwijdering van Troldesh vereist interferentie met systeembestanden en registers. Het kan dus schade veroorzaken op uw PC. Zelfs als uw computervaardigheden niet op een professioneel niveau, don’ t zorgen. U kunt de verwijdering zelf doen alleen in 5 minuten, met behulp van een hulpprogramma voor het verwijderen van malware.

Voor nieuwere besturingssystemen van de Windows

De gids van de verwijdering van de handleiding Troldesh

Stap 1. Troldesh verwijderen en gerelateerde programma’s

Windows XP

  1. Open menu Start en klik op Control Panel
  2. Kies toevoegen of verwijderen van programma ‘s
  3. Selecteer de ongewenste toepassing
  4. Klik op verwijderen

Windows 7 en Vista

  1. Klik op Start en selecteer het Configuratiescherm
  2. Ga naar verwijderen van een programma
  3. Klik met de rechtermuisknop op de verdachte software
  4. Selecteer installatie ongedaan maken

Windows 8

  1. Cursor naar de bodem verlaten hoek
  2. Klik met de rechtermuisknop en open het Configuratiescherm
  3. Selecteer een programma verwijderen
  4. Ongewenste toepassing verwijderen

control-panel-uninstall Troldesh verwijderen

Stap 2. Troldesh verwijderen uit uw browsers

Troldesh verwijderen uit Internet Explorer

  1. Open Internet Explorer en klik op het pictogram Gear
    ie-settings Troldesh verwijderen
  2. Selecteer Invoegtoepassingen beheren
    ie-manage-addons Troldesh verwijderen
  3. Verwijderen van ongewenste extensies
  4. Uw startpagina wijzigen: Gear pictogram → Internet-opties (tabblad Algemeen)
    ie-internet-options Troldesh verwijderen
  5. Uw browser opnieuw instellen: Gear pictogram → Internet-opties (tabblad Geavanceerd)
  6. Klik op Reset, schakel het selectievakje en klikt u nogmaals op Reset
    ie-reset Troldesh verwijderen

Verwijderen Troldesh uit Mozilla Firefox

  1. Open Mozilla en klik op het menu
    ff-settings-menu Troldesh verwijderen
  2. Kies Add-ons en ga naar Extensions
  3. Selecteer ongewenste invoegtoepassing en klik op verwijderen
    ff-extensions Troldesh verwijderen
  4. Reset Mozilla: Alt + H → Probleemoplossingsinformatie
    ff-troubleshooting Troldesh verwijderen
  5. Klik op Reset Firefox, bevestig het en klik op Voltooien
    ff-troubleshooting Troldesh verwijderen

Troldesh Uninstall vanuit Google Chrome

  1. Open Google Chrome en klik op het menu
    chrome-menu-tools Troldesh verwijderen
  2. Selecteer Extra → extensies
  3. Kies de invoegtoepassing en klik op pictogram van prullenbak kan
    chrome-extensions Troldesh verwijderen
  4. Wijzigen van uw search engine: Menu → instellingen
  5. Klik op zoekmachines beheren onder zoeken
    chrome-manage-search Troldesh verwijderen
  6. Verwijderen van ongewenste zoekmachine
    chrome-search-engines Troldesh verwijderen
  7. Uw browser opnieuw instellen: Settings → Reset browserinstellingen
    chrome-reset Troldesh verwijderen
  8. Klik op opnieuw instellen om uw actie te bevestigen

Leave a comment

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

De volgende HTML tags en attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>