Our priority
Your Security

Ta bort Troldesh

Den beryktade Troldesh familjen ransomware virus har bara ökat med en ny variant. Den nya varianten av crypto-ransomware krypterar användarfiler att lägga till en. Better_call_saul filtillägg efter dem. Det rapporteras av forskare vid Nyxbone att använda en kraftfull AES-256 kryptering cipher. Ransomware rapporteras också att ändra skrivbordsunderlägg med ett hotbrev skrivna på både ryska och svenska språk också. Användare som har påverkats av detta virus â €”kodare, bör omedelbart ta bort det, istället för att betala lösen och försöka återställa filerna med hjälp av en av de alternativa lösningarna i den här artikeln.

Hotet Sammanfattning Troldesh Ransomware â €”hur gör det infektera en metod Troldesh kan använda för att framgångsrikt smitta användare sker via skadliga webbadresser. Sådana länkar kan omdirigera till webbsidor som innehåller skadlig JavaScript eller en utnyttja Kit. Sådana länkar kan ses på olika platser av slutanvändare, till exempel:

Hämta Removal Toolta bort Troldesh
  • På spamkommentarer i kommentar sektioner av olika platser.
  • Med som ett svar eller en fråga i en inte så väl säkrade forum.
  • Automatiskt popup-fönster på datorn genom att ha en valp (potentiellt oönskade Program) installerat på datorn.
  • Omdirigera till följd av att klicka på en skadlig annons (malvertising)

En annan metod för distribution som kan användas av Troldesh är genom att direkt sprida .exen av skadlig kod. För att detta ska hända, tros processen ljusskygg användas på körbara för att dölja det från realtid skölden av alla antivirusprogram som kan installeras på de senaste definitionerna på offrets dator. Sådana filer kan oftast spridas:

  • Skadliga e-postmeddelanden som bifogade filer, som är vanligt i .zip eller .rar arkiv.
  • Posera som fixar, patchar, keygens, sprickor och andra.
  • Låtsas vara en inställning av en legitim mjukvaran på en tredje parts webbplats.

Hittills, kan en sak vara vissa. Forskare har rapporterat att denna variant av Troldesh använder följande värdarna för att genomföra massiva spam kampanjer:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 Källa: Nyxbone(@mosh)

Och detta är inte den enda dåliga nyheten om hur denna ransomware sprids. Experter tror att det har något gemensamt med en mycket farlig botnet, kallas Kelihos som är känd för att skicka ut phishing kampanjer. (http://cyber-securitylab.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware â €”skadlig aktivitet

Ransomware tappar följande filer efter infektion:

  • schet1074.15.03.16.doc-1.1 MB
  • CSRSS.exe-1,8 MB
  • 025074DE.exe – 114,3 KB
  • E8B6CE19.exe – 1,0 MB

Källa: Nyxbone(@mosh)

Efter att släppa sin nyttolast, ändrar ransomware registerposterna av smittade datorer för att ändra olika inställningar:

→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunClient Server Runtime Subsystem
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationcnt
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationi
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationmode
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationpk
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationstate
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32Configurationsys
HKCUSoftwareClassesVirtualStoreMACHINESOFTWARESystem32ConfigurationVersion Källa: Nyxbone(@mosh)

Hämta Removal Toolta bort Troldesh

Ransomware skapar också ytterligare filer i den infektera datorn på olika platser:

→ C:ProgramDataWindowscsrss.exe
C:Users{username}AppDataLocalTempE8B6CE19.exe-
C:Users{username}AppDataLocalTemp25074DE.exe-
C:Users{username}AppDataLocalTempstate
C:Users{username}AppDataLocalTemplock
C:Users{username}AppDataRoaming77E4183577E41835.bmp
C:Users{username}\DesktopREADME1.txt
C:Users{username}DesktopREADME2.txt
C:Users{username}DesktopREADME3.txt
C:Users{username}\DesktopREADME4.txt
C:Users{username}DesktopREADME5.txt
C:Users{username}DesktopREADME6.txt
C:Users{username}DesktopREADME7.txt
C:Users{username}DesktopREADME8.txt
C:Users{username}DesktopREADME9.txt
C:Users{username}DesktopREADME10.txt
C:UsersPublicDesktopREADME1.txt
C:UsersPublicDesktopREADME2.txt
C:UsersPublicDesktopREADME3.txt
C:UsersPublicDesktopREADME4.txt
C:UsersPublicDesktopREADME5.txt
C:UsersPublicDesktopREADME6.txt
C:UsersPublicDesktopREADME7.txt
C:UsersPublicDesktopREADME8.txt
C:UsersPublicDesktopREADME9.txt
C:UsersPublicDesktopREADME10.txtSource: Nyxbone(@mosh)

Efter att ha gjort, så kör ransomware ett samtal kommando till dess encryptor. Dess rapporterade att skanna för och kryptera följande typer av filer:

→ wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kvm, pwm, kassaskåp, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy , dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, fliken, asc, frm, välja, myd, myi, db, onetoc2, en, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx , vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, dot, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp , pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, som, asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, rå, jpg , jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, gemensamma ramen, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g 2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp , cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, klass, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, kryptisk, tib, eml, fld, Lisbeth, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geo, elf, lgf, lgp, logg, st, pff, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Hämta Removal Toolta bort Troldesh

Efter gör den här, är filerna krypterade med en AES-256 krypteringsalgoritmen. De används filerna är vanligtvis med .better_call_saul, till exempel:

ursprungliga filen:
Ny Text Document.txt
Krypterad fil:
{SLUMPMÄSSIGA ALPHA numeriska ID} – i-{RANDOM ALPHA numeriskt ID} =. {SLUMPMÄSSIGT alfa numeriska ID} .better_call_saul

Denna ransomware, ändras sedan tapeten av den infektera datorn till följande bild:

Ransomware kan också kommunicera med angriparna att skicka dem till dekrypteringsnyckeln tillsammans med annan Systeminformation. Angriparna rapporterade IP-adresser uppges av Nyxbone experter vara följande:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Källa: Nyxbone(@mosh)

Förutom alla dessa, efter kryptera filer, ransomware lägger till flera ”README.txt” filer med sekvensnummer, till exempel ”README1.txt”, ”README2.txt”, ”README3.txt”, ”README4.txt” på skrivbordet för den användare eller krypterade mappar. Texten i Readme-filen är på ryska och svenska. Den engelska versionen av hotbrev är följande:

Troldesh Ransomware – slutsats, borttagning och filen restaurering

Summan av kardemumman är att denna variant av Troldesh familjen är lite mer sofistikerad än den .xtbl och .crypt Troldesh varianter).

Om du vill ta bort Troldesh ransomware, kan du följa instruktionerna för manuell borttagning nedan eller ladda ner en avancerad anti-malware program. Det kommer att se till att din dator är fri från alla objekt ändras av Troldesh Ransomware och skydda dig från sådana hot i framtiden också.

Om du vill återställa dina filer, råder vi försöker använda Kaspersky`s Rannoh Decryptor som har rapporterats till framgångsrikt dekryptera .crypt krypterade filer av den Troldesh varianten CryptXXX. Annars kan du hitta andra, mindre effektiva alternativ från steg ”3. Återställa filer krypterade genom Troldesh”nedan.

Ta bort Troldesh manuellt från datorn

Obs! Betydande anmälan om Troldesh hotet: manuellt avlägsnande av Troldesh kräver inblandning med systemfiler och register. Alltså, det kan skada din dator. Även om dina datorkunskaper inte på en professionell nivå, don’ t oroa dig. Du kan göra avlägsnande själv bara i 5 minuter, med en malware borttagningsverktyg.

För nyare Windows operativsystem

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

  1. Öppna Start-menyn och klicka på Kontrollpanelen
  2. Välj Lägg till eller ta bort program
  3. Välj det oönskade programmet
  4. Klicka på ta bort

Windows 7 och Vista

  1. Klicka på Start och välj Kontrollpanelen
  2. Gå till avinstallera ett program
  3. Högerklicka på den misstänkta programvaran
  4. Välj avinstallera

Windows 8

  1. Flytta markören till det nedre vänstra hörnet
  2. Högerklicka och öppna Kontrollpanelen
  3. Välj avinstallera ett program
  4. Ta bort oönskade program

control-panel-uninstall Ta bort Troldesh

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

  1. Öppna IE och klicka på växel ikonen
    ie-settings Ta bort Troldesh
  2. Välj Hantera tillägg
    ie-manage-addons Ta bort Troldesh
  3. Ta bort oönskade tillägg
  4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
    ie-internet-options Ta bort Troldesh
  5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
  6. Klicka på Återställ, markera rutan och klicka på Återställ igen
    ie-reset Ta bort Troldesh

Ta bort [postnamn] från Mozilla Firefox

  1. Öppna Mozilla och klicka på menyn
    ff-settings-menu Ta bort Troldesh
  2. Välj tillägg och gå till anknytningar
  3. Välj oönskade tillägg och klicka på ta bort
    ff-extensions Ta bort Troldesh
  4. Återställ Mozilla: Alt + H → felsökningsinformation
    ff-troubleshooting Ta bort Troldesh
  5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
    ff-troubleshooting Ta bort Troldesh

Avinstallera [postnamn] från Google Chrome

  1. Öppna Google Chrome och klicka på menyn
    chrome-menu-tools Ta bort Troldesh
  2. Välj verktyg → tillägg
  3. Välj tillägget och klicka på papperskorgsikonen
    chrome-extensions Ta bort Troldesh
  4. Ändra din sökmotor: menyn → Inställningar
  5. Klicka på Hantera sökmotorer under Sök
    chrome-manage-search Ta bort Troldesh
  6. Ta bort oönskade sökleverantör
    chrome-search-engines Ta bort Troldesh
  7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
    chrome-reset Ta bort Troldesh
  8. Klicka på Återställ för att bekräfta din åtgärd

Leave a comment

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>