Our priority
Your Security

Troldesh fjerning

Beryktet Troldesh familie ransomware virus har bare økt med en ny variant. Den nye krypto-ransomware varianten krypterer brukerfiler legge en. Better_call_saul filtypen etter dem. Det er rapportert av forskere ved Nyxbone å utnytte en kraftig AES-256 kryptering chiffer. Ransomware rapporteres også å endre bakgrunnsbilde med en løsepenge notat skrevet i både russisk og engelsk språk. Brukere som har blitt påvirket av denne virus â €»encoder, bør umiddelbart fjerne den, i stedet for betale løsepenger og prøver å gjenopprette filene ved å bruke en av de alternative løsningene i denne artikkelen.

Trussel Sammendrag Troldesh Ransomware â €»hvordan gjør det infisere en metode Troldesh kan bruke til å kunne ramme brukere er via ondsinnede URLer. Webkoblinger kan viderekoble til websider som inneholder ondsinnet JavaScript eller en utnytte Kit. Webkoblinger kan sees på ulike steder av sluttbrukere, for eksempel:

Last ned verktøyet for fjerningfjerne Troldesh
  • På spam kommentarer i kommentaren deler av forskjellige nettsteder.
  • Omtalt som et svar eller et emne i en ikke så godt sikret forum.
  • Automatisk pop-up på datamaskinen som følge av å ha en valp (potensielt uønsket Program) installert på datamaskinen.
  • Omdirigere som følge av å klikke på en ondsinnet annonse (malvertising)

En annen metode for distribusjon som kan brukes av Troldesh er ved direkte å .exe av malware. For at dette skal skje, antas prosessen obfuscation skal brukes på den kjørbare filen til å skjule den fra sanntid skjold av alle antivirus det kan installeres på de nyeste definisjonene på offeret datamaskin. Slike filer kan vanligvis spres:

  • Ondsinnede e-post som vedlegg, som er vanligvis i zip eller RAR arkiver.
  • Utgjøre retter, patcher, keygens, sprekker og andre.
  • Lat til å være et oppsett av en berettige programvare på en tredjeparts nettsted.

Så langt kan eneste være sikker. Forskere har rapportert at denne varianten av Troldesh bruker følgende vertene for å drive massiv spam kampanjer:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 kilde: Nyxbone(@mosh)

Og dette er ikke bare dårlige nyheter om hvordan denne ransomware sprer. Eksperter tror det har noe til felles med en svært farlig botnet, kalt Kelihos som er kjent for å sende ut phishing kampanjer. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €»ondsinnet aktivitet

Ransomware drops følgende filer etter infeksjon:

  • schet1074.15.03.16.doc-1.1 MB
  • CSRSS.exe-1,8 MB
  • 025074DE.exe-114.3 KB
  • E8B6CE19.exe-1.0 MB

Kilde: Nyxbone(@mosh)

Etter slippe nyttelasten, endrer ransomware registeroppføringene infiserte datamaskiner å endre ulike innstillinger:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion kilde: Nyxbone(@mosh)

Last ned verktøyet for fjerningfjerne Troldesh

Ransomware oppretter også flere filer i den infiserte datamaskinen på forskjellige steder:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe-
C:Users{username}AppDataLocalTemp25074DE.exe-
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Etter gjør, så utfører ransomware en call-kommandoen til sin kryptering. Dens rapportert å skanne etter og kryptere følgende typer filer:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kwm, pwm, safe, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, kategorien, asc, frm, velger, myd, myi, db, onetoc2, en, onepkg, vcs, ics, pst, ofte, msg, pptx, ppt, pptm, pps, ppsm, gryte, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, VTX-kontrolleren , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, prikk, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, som, asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, KFK, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, rå, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl sln js, json, inc, sql, java, klasse, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, kryptert, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geografisk, elf, lgf, lgp, Logg, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Last ned verktøyet for fjerningfjerne Troldesh

Etter gjør denne, er filene kryptert med en AES-256 krypteringsalgoritme. Enciphered filene er vanligvis med .better_call_saul, for eksempel:

originalfilen:
Ny tekst Document.txt
Kryptert fil:
{TILFELDIG alfa numerisk ID} – i-{tilfeldig alfa numerisk ID} =. {TILFELDIG alfa numerisk ID} .better_call_saul

Denne ransomware, deretter endrer bakgrunnsbilde av den infiserte datamaskinen til bildet:

Ransomware kan også kommunisere med angripere å sende dem dekrypteringsnøkkelen sammen med andre Systeminformasjon. Rapportert IP-adressene til angripere rapporteres av Nyxbone eksperter å være følgende:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 kilde: Nyxbone(@mosh)

I tillegg til alle disse, etter kryptere filer, legger ransomware flere «» viktig.txt med serienumrene, for eksempel «README1.txt», «README2.txt», «README3.txt», «README4.txt» på skrivebordet på brukeren eller krypterte mapper. Teksten i viktig-filen er på russisk og engelsk. Den engelske versjonen av løsepenger er følgende:

Troldesh Ransomware-konklusjon, fjerning og arkiv restaurering

Poenget er at denne varianten av Troldesh familien er litt mer avansert enn det varianter av .xtbl og .crypt-Troldesh).

Hvis du vil fjerne Troldesh ransomware, kan du følge instruksjonene for manuell fjerning nedenfor eller laste ned en avansert anti-malware program. Det gjør at datamaskinen er fri for objekter endres av Troldesh Ransomware og beskytte deg mot slike trusler i fremtiden også.

I tilfelle du ønsker å gjenopprette filer, anbefaler vi at du prøver å bruke Kaspersky`s Rannoh Decryptor som har blitt rapportert å kunne dekryptere .crypt krypterte filer av Troldesh varianten CryptXXX. Ellers kan du finne andre, mindre effektive alternativer fra trinn «3. Gjenopprette filer kryptert med Troldesh»nedenfor.

Manuelt slette Troldesh fra datamaskinen

Merk! Betydelig melding om Troldesh trusselen: manuell fjerning av Troldesh krever interferens med systemfiler og registre. Dermed kan det skade din PC. Selv om dine dataferdigheter ikke er på et profesjonelt nivå, don’ t bekymre. Du kan gjøre fjerning selv bare i 5 minutter, bruker en malware flytting verktøyet.

For nyere Windows operativsystemer

Manuell Troldesh Removal Guide

Trinn 1. Avinstallere Troldesh og relaterte programmer

Windows XP

  1. Åpne Start-menyen og klikk Kontrollpanel
  2. Velg Legg til eller fjern programmer
  3. Merk det uønskede programmet
  4. Klikk Fjern

Vinduer 7 og Vista

  1. Klikk Start og velg Kontrollpanel
  2. Gå til Avinstaller et program
  3. Høyreklikk på mistenkelig programvare
  4. Velg Avinstaller

Windows 8

  1. Flytt markøren til nedre venstre hjørne
  2. Høyreklikk og åpne Kontrollpanel
  3. Velg Avinstaller et program
  4. Slette uønsket program

control-panel-uninstall Troldesh fjerning

Trinn 2. Fjern Troldesh fra nettlesere

Fjern Troldesh fra Internet Explorer

  1. Åpne IE og klikk på Gear-ikonet
    ie-settings Troldesh fjerning
  2. Velg Administrer tillegg
    ie-manage-addons Troldesh fjerning
  3. Fjerne uønskede extensions
  4. Endre startsiden: girikon → Internett-alternativer (kategorien Generelt)
    ie-internet-options Troldesh fjerning
  5. Tilbakestiller nettleseren: girikon → Internett-alternativer (kategorien Avansert)
  6. Klikk Tilbakestill, sjekk boksen og klikk Tilbakestill igjen
    ie-reset Troldesh fjerning

Slett Troldesh fra Mozilla Firefox

  1. Åpne Mozilla og klikk på menyen
    ff-settings-menu Troldesh fjerning
  2. Velg Tilleggsprogrammer og gå til utvidelser
  3. Merker uønsket tillegget og klikker Fjern
    ff-extensions Troldesh fjerning
  4. Tilbakestill Mozilla: Alt + H → feilsøking informasjon
    ff-troubleshooting Troldesh fjerning
  5. Klikk Tilbakestill Firefox, bekrefter og klikk Fullfør
    ff-troubleshooting Troldesh fjerning

Avinstallere Troldesh fra Google Chrome

  1. Åpne Google Chrome og klikk på menyen
    chrome-menu-tools Troldesh fjerning
  2. Velge verktøy → utvidelser
  3. Velg tillegget og klikker papirkurvikonet
    chrome-extensions Troldesh fjerning
  4. Endre søkemotoren: → menyinnstillinger
  5. Klikk Behandle søkemotorer under søk
    chrome-manage-search Troldesh fjerning
  6. Slette uønskede søkeleverandør
    chrome-search-engines Troldesh fjerning
  7. Tilbakestiller nettleseren: innstillinger → Tilbakestill leserinnstillinger
    chrome-reset Troldesh fjerning
  8. Klikk Tilbakestill for å bekrefte handlingen

Leave a comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

Du kan bruke disse HTML-kodene og -egenskapene: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>