Our priority
Your Security

Jak usunąć Troldesh

Notorycznie Troldesh rodziny ransomware wirusów wzrosła z nowy wariant. Crypto-ransomware wariant szyfruje pliki użytkownika Dodawanie. Rozszerzenie pliku Better_call_saul po nich. Jest zgłaszane przez naukowców Nyxbone wykorzystać potężne szyfr szyfrowania AES-256. Ransomware odnotowano również zmienić tapetę z okupu, napisane w językach rosyjskim i angielskim, jak również. Użytkownicy, którzy zostały naruszone przez ten wirus â €”kodera, należy natychmiast usunąć go, zamiast płacić okupu i spróbować przywrócić pliki przy użyciu jednego z alternatywnych rozwiązań w tym artykule.

Zagrożenie Troldesh podsumowanie Ransomware â €”jak ma go zainfekować jeden Troldesh Metoda może używać do pomyślnie zainfekować użytkowników odbywa się za pomocą złośliwych adresów URL. Takie linki może przekierowanie do stron sieci web, które zawierają złośliwy kod JavaScript lub wykorzystać zestaw. Takie linki mogą być postrzegane w różnych miejscach przez użytkowników końcowych, na przykład:

Pobierz za darmo narzędzie do usuwaniaAby usunąć Troldesh
  • Na spam komentarze w sekcji komentarz różnych witryn.
  • Opisywany jako odpowiedź lub tematu na forum nie tak dobrze zabezpieczone.
  • Automatycznie pop-up na komputerze w wyniku o PUP (potencjalnie niepożądany Program) zainstalowane na komputerze.
  • Przekierowanie w wyniku kliknięcie złośliwego ogłoszenie (malvertising)

Inną metodą dystrybucji, który może być używany przez Troldesh jest bezpośrednio rozprzestrzeniania .exe złośliwego oprogramowania. Aby tak się stało proces zaciemniania uważa się służyć plik wykonywalny, aby ukryć go z czasie rzeczywistym osłony wszelki antivirus, który może być zainstalowany, aby najnowsze definicje wirusów na komputerze ofiary. Pliki te zwykle rozprzestrzeniają się za pośrednictwem:

  • Malicious wiadomości e-mail jako załączniki, które są zwykle w .zip lub .rar archiwum.
  • Stanowić, jak poprawki, łaty, keygens, pęknięć i innych.
  • Udawać, że Instalator legalnego oprogramowania na stronie internetowej strony trzeciej.

Do tej pory jedno może być pewne. Naukowcy donoszą, że ten wariant Troldesh używa następujących hostów do przeprowadzenia kampanii masowy spam:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 Źródło: Nyxbone(@mosh)

I to nie tylko złe wieści o jak rozprzestrzenia się tego szkodnika. Eksperci uważają, to mieć coś wspólnego z bardzo niebezpieczne botnet, o nazwie Kelihos, który jest znany do wysyłania się kampanie phishing. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”szkodliwego działania

Ransomware krople następujące pliki po zakażeniu:

  • schet1074.15.03.16.doc-1.1 MB
  • CSRSS.exe-1.8 MB
  • 025074DE.exe – 114.3 KB
  • E8B6CE19.exe – 1,0 MB

Źródło: Nyxbone(@mosh)

Po upuszczając jego ładunku, ransomware modyfikuje wpisy rejestru z zainfekowanych komputerów, aby zmienić różne ustawienia:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion Źródło: Nyxbone(@mosh)

Pobierz za darmo narzędzie do usuwaniaAby usunąć Troldesh

Ransomware również tworzy dodatkowe pliki w zainfekowanego komputera w różnych miejscach:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe –
C:Users{username}AppDataLocalTemp25074DE.exe –
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Po wykonaniu, tak, ransomware wykonuje wywołanie polecenia do jego szyfrujący. Jej zgłoszonych do skanowania i szyfrować następujących typów plików:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, kopia zapasowa, torrent, kwm, pwm, bezpieczny, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xlm, odc, xlw, uxdc, xltx, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, karta, asc, frm, opt, myd, myi, db, onetoc2, jeden, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, kropka, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, jako asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, raw, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, Klasa, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, crypted, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geo, elf, lgf, lgp, dziennika, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Pobierz za darmo narzędzie do usuwaniaAby usunąć Troldesh

Po wykonaniu tej czynności, pliki są zaszyfrowane przy użyciu algorytmu szyfrowania AES-256. Szyfr pliki są zwykle z .better_call_saul, na przykład:

oryginalny plik:
Nowy dokument tekstowy.txt
Zaszyfrowany plik:
{LOSOWE alfa numeryczny identyfikator} – i-{RANDOM alfa numeryczne ID} =. .Better_call_saul {losowe alfa numeryczny identyfikator}

Ten ransomware, następnie zmienia tapeta z zainfekowanym komputerze następujący obraz:

Ransomware może również komunikować się z napastników do wysyłania do nich klucz odszyfrowywania, wraz z innych informacji o systemie. Zgłoszone adresy IP napastników są zgłaszane przez ekspertów Nyxbone się następujące:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Źródło: Nyxbone(@mosh)

Oprócz wszystkich tych, po szyfrowanie plików ransomware dodaje wiele plików „README.txt” z sekwencji liczb, na przykład „README1.txt”, „README2.txt”, „README3.txt”, „README4.txt” na pulpicie użytkownika lub zaszyfrowanych folderów. Tekst Readme jest w języku angielskim i rosyjskim. Angielska wersja okupu jest następujący:

Troldesh Ransomware – zawarcie, usuwanie i przywracanie plików

Najważniejsze jest to, że ten wariant z rodziny Troldesh jest nieco bardziej wyrafinowane niż .xtbl i .crypt wariantów Troldesh).

Jeśli chcesz usunąć Troldesh ransomware, może postępować zgodnie z instrukcjami usuwania poniżej lub Pobierz program zaawansowane anty malware. Będzie to upewnij się, że komputer jest wolny od jakichkolwiek obiekty zmodyfikowane przez szkodnika Troldesh i chronić Cię przed takimi zagrożeniami w przyszłości również.

W przypadku, gdy chcesz przywrócić pliki, doradzamy, trudny wobec używać Kaspersky`s Rannoh Decryptor, który został zgłoszony do pomyślnie odszyfrować pliki zaszyfrowane .crypt przez Troldesh wariant CryptXXX. W przeciwnym razie można znaleźć inne, mniej skuteczne alternatywne z kroku 3. Przywracanie plików zaszyfrowanych przez Troldesh”poniżej.

Ręcznie usunąć Troldesh z komputera

Uwaga! Istotne powiadomienia o zagrożeniu Troldesh : ręczne usunięcie Troldesh wymaga ingerencji w system plików i rejestrów. W ten sposób może spowodować uszkodzenie do komputera. Nawet jeśli swoje umiejętności obsługi komputera nie są na profesjonalnym poziomie, don’ t martwić. Można zrobić usunięcie samodzielnie zaledwie w 5 minut, przy użyciu narzędzia do usuwania złośliwego oprogramowania.

Dla nowszych systemów operacyjnych Windows

Poradnik usuwanie ręczne Troldesh

Krok 1. Odinstalować Troldesh i podobne programy

Windows XP

  1. Otwórz Start menu i kliknij polecenie Panel sterowania
  2. Wybierz Dodaj lub usuń programy
  3. Wybierz niechcianych aplikacji
  4. Kliknij przycisk Usuń

Windows 7 i Widok perspektywiczny

  1. Kliknij przycisk Start i wybierz Panel sterowania
  2. Przejdź do odinstalowania programu
  3. Kliknij prawym przyciskiem myszy na podejrzanego oprogramowania
  4. Wybierz Odinstaluj

Windows 8

  1. Przesuń kursor na lewym dolnym rogu
  2. Kliknij prawym przyciskiem myszy i Otwórz Panel sterowania
  3. Wybierz Odinstaluj program
  4. Usuwanie niechcianych aplikacji

control-panel-uninstall Jak usunąć Troldesh

Krok 2. Usuń Troldesh z przeglądarki

Usuń Troldesh od Internet Explorer

  1. Otwórz IE i kliknij ikonę koła zębatego
    ie-settings Jak usunąć Troldesh
  2. Wybierz Zarządzaj add-ons
    ie-manage-addons Jak usunąć Troldesh
  3. Usunąć niepotrzebny rozszerzenia
  4. Zmiana strony głównej: ikonę Narzędzia → Opcje internetowe (karta Ogólne)
    ie-internet-options Jak usunąć Troldesh
  5. Zresetować przeglądarkę: ikonę Narzędzia → Opcje internetowe (karta Zaawansowane)
  6. Kliknij przycisk Resetuj, zaznacz pole wyboru i kliknij przycisk Resetuj ponownie
    ie-reset Jak usunąć Troldesh

Usuń Troldesh z Mozilla Firefox

  1. Otwórz Mozillę i kliknij na menu
    ff-settings-menu Jak usunąć Troldesh
  2. Wybierz Dodatki i przejdź do rozszerzenia
  3. Wybierz niepotrzebny dodatek i kliknij przycisk Usuń
    ff-extensions Jak usunąć Troldesh
  4. Badanie Mozilla: Alt + H → informacje dla rozwiązywania problemów
    ff-troubleshooting Jak usunąć Troldesh
  5. Kliknij przycisk Resetuj Firefox, zatwierd¼ je i kliknij przycisk Zakończ
    ff-troubleshooting Jak usunąć Troldesh

Odinstalować Troldesh od Google Chrome

  1. Otwórz Google Chrome i kliknij na menu
    chrome-menu-tools Jak usunąć Troldesh
  2. Wybierz Narzędzia → rozszerzenia
  3. Wybierz dodatek i kliknij ikonę kosza
    chrome-extensions Jak usunąć Troldesh
  4. Zmienić twój zrewidować silnik: Menu Ustawienia →
  5. Kliknij przycisk Zarządzaj wyszukiwarkami w Szukaj
    chrome-manage-search Jak usunąć Troldesh
  6. Usunąć niepożądane Wyszukiwarka
    chrome-search-engines Jak usunąć Troldesh
  7. Zresetować przeglądarkę: ustawienia → Resetuj ustawienia przeglądarki
    chrome-reset Jak usunąć Troldesh
  8. Kliknij przycisk Reset, aby potwierdzić swoje działania

Leave a comment

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>