1 of 3
Bedreiginsniveau 9
Type: Trojan
Vaak infectie symptomen:
  • Installeert zichzelf zonder toestemming
  • Systeemcrashes

CryptoJoker Ransomware

CryptoJoker Ransomware is zeker geen malwarebesmetting die u kunt negeren of als grap op kunt vatten; het kan in plaats daarvan wel eens uw ergste nachtmerrie zijn. Ook al lijkt het erop dat dit Trojaanse paard nog niet echt wijd en zijd is verspreid, het zal in de loop der tijd zeker meer porties van de “taart” van malwarebesmettingen krijgen. Maar ongeacht hoe “populair” het op dit moment is, wees gewaarschuwd dat dit een ernstige en gevaarlijke bedreiging is voor uw besturingssysteem en uw persoonlijke bestanden. Als deze malwarebesmetting aan boord glipt en zijn missie uitvoert, kunt u vrijwel zeker gedag zeggen tegen al uw documenten, afbeeldingen en gegevensbestanden, die allemaal binnen een minuut worden versleuteld; tenzij u natuurlijk een computergebruiker bent die zich bewust is van beveiliging, die back-ups op een externe harde schijf maakt. Dat is in feite de enige manier waarop u uw bestanden kunt herstellen, omdat zelfs het betalen van het losgeld dat dit Trojaanse paard van u probeert af te persen waarschijnlijk niet genoeg is om u te helpen. Als u CryptoJoker Ransomware niet onmiddellijk verwijdert, verliest u niet alleen uw bestanden, maar kan het ook zijn dat u uw computer niet meer kunt gebruiken.

Het installatiebestand van dit Trojaanse paard is vermomd als een PDF-bestand. Het wordt dus waarschijnlijk voornamelijk via spam e-mails verspreid. Om besmettingen met Trojaanse paarden te vermijden is één van de belangrijkste redenen om nooit onbekende e-mails te openen en nooit op links of bijlagen te klikken, zelfs niet in e-mails die er officieel uitzien – tenzij u ze verwacht – omdat spam e-mails zich voor kunnen doen als iedereen of iedere instelling, om er maar authentiek uit te zien. Het draait allemaal om misleiding. Als u door uw inkomende mail kijkt, denkt u er misschien niet eens bij na als u bijvoorbeeld een e-mail ziet van een bekende of uw eigen internetleverancier. Het is duidelijk dat cybercriminelen gebruik maken van geavanceerde tactieken om er voor te zorgen dat u op de inbegrepen link of de bijgevoegde bestanden klikt, wat in dit geval een .pdf-document is. Maar zodra u erop klikt, is er geen weg terug; het Trojaanse paard wordt op uw computer gezet en begint gelijk met zijn vuile zaakjes. De enige manier om te voorkomen dat dit gebeurt is een betrouwbaar en bijgewerkt verwijderingshulpprogramma voor malware, dat op de achtergrond draait.

Deze besmetting met een Trojaans paard gebruikt verschillende bestanden om zijn taak uit te voeren. Het creëert of downloadt als eerste de volgende tekstbestanden op uw bureaublad: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt, en РАСШИФРОВАТЬ ФАЙЛЫ.txt. Deze bevatten hoofdzakelijk de tekst van het losgeldbericht in de Engelse en Russische talen en de extensies die het doelwit zijn. Het creëert ook de volgende bestanden in de %Temp% directory: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt en new.bat. Daarna voegt deze malware de volgende registerposten toe, zodat de uitvoerbare bestanden drvpci.exe, windefrag.exe en winpnp.exe automatisch met Windows opstarten:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Naast deze bestanden creëert hij in de %Appdata% directory ook twee bestanden met de namen baefefbed.exe, wat een willekeurige naam is, en README!!!.txt22. Dit is de registersleutel die dit Trojaanse paard paar voor het uitvoerbare bestand toevoegt: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Ieder van deze bestanden wordt gebruikt om verschillende taken uit te voeren, inclusief het sturen van informatie naar de centrale server, het controleren en beëindigen van alle actieve processen van Taakbeheer en Registereditor enzovoort.

Wij hebben ontdekt dat CryptoJoker Ransomware zich richt op de volgende extensies voor documenten, afbeeldingen en gegevensbestanden: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Als deze ransomware het begint met het versleutelen van uw bestanden, scant hij al uw beschikbare schijven, inclusief toegewezen netwerkstations, waarbij deze extensies het doelwit zijn. Wanneer alle bestanden zijn versleuteld, voegt deze malware de extensie .crjoker toe, bijvoorbeeld myphoto.jpg.crjoker. Deze Trojaanse paard besmetting gebruikt het AES-256 systeem, wat een ingebouwde Windows versleuteling is, om uw bestanden te versleutelen; daarom duurt het hele proces hoogstwaarschijnlijk niet langer dan een minuut. U kunt dus zien dat het elimineren van deze besmetting voordat het de klus kan klaren praktisch onmogelijk is, tenzij u natuurlijk superkrachten hebt en binnen milliseconden nadat u erachter komt dat u geen toegang hebt tot uw bestanden of dat hun extensies zonder uw toestemming zijn gewijzigd, kunt reageren.

Als deze ransomware zijn vernietigende uitwerking op de beschikbare schijven heeft voltooid, geeft hij over alle actieve vensters op uw bureaublad een klein venster weer, met aanwijzingen in zowel het Engels als het Russisch. Deze besmetting zorgt er, om zichzelf te beschermen, ook voor dat u Taakbeheer en Registereditor niet kunt gebruiken. Hij voert ook een batchbestand uit (new.bat), dat enige schaduwkopieën van uw bestanden verwijdert, zodat ze niet automatisch kunnen worden hersteld. De aanwijzingen in het losgeldbericht informeren u erover dat u voor het verkrijgen van aanwijzingen voor het betalen een e-mail moet sturen naar één van de volgende adressen: file987@sigaint.org, file9876@openmail.cc of file987@tutanota.com.

Ook al beweert het waarschuwingsbericht voor het losgeld dat uw bestanden met het RSA-2048 systeem zijn versleuteld, is in feite alleen uw persoonlijke code, die u met de contact e-mail moet versturen, met deze methode versleuteld. U krijgt 72 uur om het geld waar deze criminelen om vragen te betalen, omdat anders de prijs omhoog gaat. Er wordt ook vermeld dat u niet met de besmetting of uw bestanden moet knoeien, omdat dit kan leiden tot “onherstelbaar verlies van informatie”. Er is natuurlijk geen enkele garantie dat u de beloofde sleutel en decoder ook krijgt; die is er nooit. Hier wordt het nut van back-upbestanden duidelijk. Als u uw persoonlijke bestanden op een externe harde schijf of USB-stick bewaart, kunt u ze op ieder gewenst moment weer naar uw machine kopiëren. Het is echter belangrijk om ervoor te zorgen dat uw systeem goed wordt beveiligd. Daarom adviseren wij om CryptoJoker Ransomware zo spoedig mogelijk te verwijderen, waarna u kunt beginnen met het herstellen van uw bestanden.

Als u geen back-up hebt, spijt het ons, maar u kunt uw bestanden nog met geen enkel hulpprogramma decoderen. Het is mogelijk dat er in de toekomst gratis hulpprogramma's op het internet beschikbaar zullen zijn, als deze ransomware meer computers treft en experts een manier vinden om bestanden te decoderen. Maar tot dan kunt u niet veel anders doen dan uw systeem van deze gevaarlijke indringer te ontdoen.

De enige manier om CryptoJoker Ransomware te elimineren in de computer te herstarten in de Veilige Modus met Netwerk. Daarna kunt u alle bestanden en registerposten die hij heeft gecreëerd verwijderen. Maar zorg er voordat u dit doet voor dat de verborgen mappen in uw Bestandsverkenner worden getoond; anders kunt u de directory %Appdata% niet vinden. Als u echter overweegt om het losgeld te betalen, moet u de tekstbestanden niet van uw bureaublad verwijderen, omdat zij de aanwijzingen, uw unieke versleutelde code en de e-mailadressen die u moet gebruiken bevatten. Als u klaar bent, moet u uw computer herstarten. Volg onderstaande aanwijzingen zeer zorgvuldig op, omdat u meer schade dan goeds kunt veroorzaken als u per ongeluk de verkeerde registersleutels verwijdert. Wij bevelen in feite eigenlijk alleen handmatige verwijdering aan voor meer ervaren gebruikers, die begrijpen wat er hier op het spel staat. Wij adviseren om een verwijderingshulpprogramma voor malware te gebruiken, voor veiliger en efficiëntere verwijdering.

Het opstarten in Veilige Modus met Netwerk

Windows 8, Windows 8.1 en Windows 10

  1. Druk op Win+I en klik op het Aan/uit-pictogram.
  2. Druk op Herstarten, terwijl u de Shift-toets houdt ingedrukt.
  3. Selecteer Probleemoplossen en dan Geavanceerde Opties.
  4. Kies Opstartinstellingen.
  5. Druk op Herstarten.
  6. Druk op F5 om de PC in de Veilige Modus met Netwerk te herstarten.

Windows XP, Windows Vista en Windows 7

  1. Herstart de PC en druk op de toets F8.
  2. Kies Veilige Modus met Netwerk in het opstartmenu van het systeem en druk op Enter.

Het weergeven van verborgen onderdelen in de Windows Bestandsverkenner

Windows 8, Windows 8.1 en Windows 10

  1. Druk op Win+E.
  2. Selecteer het menu Bekijken en vink het aankruisvakje Verborgen onderdelen aan.

Windows Vista en Windows 7

  1. Druk op Win+E.
  2. Druk op de toets Organiseren en selecteer Map- en zoekopties van het menu.
  3. Klik op het tabblad Bekijken.
  4. Selecteer Toon verborgen bestanden en mappen.
  5. Druk op OK.

Windows XP

  1. Druk op Win+E en kies het menu Hulpprogramma's.
  2. Selecteer Mapopties.
  3. Klik op het tabblad Bekijken.
  4. Selecteer Toon verborgen bestanden en mappen.
  5. Druk op OK.

Het verwijderen van CryptoJoker Ransomware.

  1. Druk op Win+E en zoek de map C:\Users\user\AppData\Local\Temp op.
  2. Zoek en verwijder de volgende bestanden: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt en new.bat.
  3. Zoek de map C:\Users\user\AppData\Roaming op.
  4. Zoek en verwijder de volgende bestanden: baefefbed.exe en README!!!.txt22.
  5. Druk op Win+R en typ regedit. Druk op OK.
  6. Zoek en verwijder de volgende registerposten:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Zoek en verwijder de volgende registerpost:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
  8. Herstart uw besturingssysteem.
Download CryptoJoker Ransomware besemettings-scanner
  • Snelle & geteste oplossing voor verwijderen van CryptoJoker Ransomware -bedreiging.
  • Nu opslaan op uw bureaublad & uitvoeren!
disclaimer
Disclaimer

Commentaren

  1. Justis Apr 19, 2016

    This is way more helpful than aninyhtg else I've looked at.

  2. Jenn Apr 20, 2016

    Could you write about

  3. Boomer Apr 20, 2016

    It's great to find soomene so on the ball

  4. Letitia Apr 21, 2016

    Yo, good

Post een commentaar — WIJ WILLEN GRAAG UW MENING!

Commentaar:
Naam:
Voer veiligheidscode in:
This is a captcha-picture. It is used to prevent mass-access by robots.