JS.Crypto Ransomware

JS.Crypto Ransomware is een zeer schadelijke infectie die zich richt op computers met het besturingssysteem van Windows. Aangezien de bedreiging op zich gecreëerd wordt door het gebruik van NW.js, die erom bekend staat een raamwerk te zijn voor de ontwikkeling van nieuwe applicaties, betekend het dat JS.Crypto Ransomware zelf gebaseerd is op JavaScript. Specialisten van pcthreat.com zeggen dat er een kleine kans bestaat ook Linux en MaxOS X te beïnvloeden zijn met gebruik van JavaScript, wat betekent dat JS.Crypto Ransomware zich ook onder de gebruikers van deze besturingssystemen kan gaan verspreiden. Naar onze mening moeten alle gebruikers zeer voorzichtig zijn ongeacht welk besturingssysteem ze ook gebruiken. Door recent onderzoek is aangetoond dat het mogelijk is verbonden te worden aan JS.Crypto Ransomware, oftewel deze te kunnen distribueren door bepaalde opties te selecteren, bijv. wel of niet de computer volledig te vergrendelen, schermvergrendeling te tonen, en zelfs het bedrag aan Bitcoins dat geëist moet worden. De oorspronkelijke eigenaren van JS.Crypto Ransomware krijgen hier waarschijnlijk wat geld voor. Wij zijn er zeker van dat je het zult herkennen als JS.Crypto Ransomware het lukt je systeem binnen te dringen omdat je zult merken dat je geen toegang kunt krijgen tot je belangrijkste bestanden. Helaas, JS.Crypto Ransomware kan ook je nieuwe bestanden weer versleutelen dus zorg ervoor dat je de infectie uit je PC verwijderd voordat je nieuwe bestanden op je computer opslaat.

Het is opgemerkt dat JS.Crypto Ransomware op zich honderden bestanden versleuteld. Deze bestanden zijn hoofdzakelijk documenten, afbeeldingen, muziek, en video’s, dus hebben ze gewoonlijk de volgende extensies: jpg, .jpeg, .pmd, .ppsx, .mp3, .mp4, .mpeg, .wmv, .sdf, .mpa, .dot, .docx, .aet, .ppj, .indl, .3gp, en andere. Hun verschijning zal waarschijnlijk niet veranderen, maar je zult gewoon bij geen van deze toegang kunnen krijgen. Het niet toegang kunnen krijgen tot de meeste bestanden is niet het enige symptoom dat aantoont dat een ransomware infectie je computer binnengeglipt is. Specialisten van pcthreat.com zeggen dat je ook zeker een waarschuwing op je scherm zult zien. Als je deze ziet (de tekst staat hieronder vermeld), bestaat er geen twijfel dat het JS.Crypto Ransomware gelukt is je systeem binnen te dringen.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Zoals blijkt proberen internet criminelen de gebruikers ervan te overtuigen een betaling te doen. Ze geven je slechts 4 dagen de tijd en zeggen dat het te betalen bedrag verhoogd zal worden als de tijd verlopen is. Ze beloven ook één bestand gratis te ontsleutelen om te bewijzen dat ze alle bestanden kunnen ontsleutelen. Het is aan jou om te besluiten of je een betaling van 0.1 Bitcoin (circa $35) wel of niet doet. We raden je echter aan dat niet te doen als je een backup hebt (d.w.z. je bestanden op een USB flash drive) van je bestanden. Jammer genoeg is er op dit moment geen andere manier om toegang te krijgen tot je bestanden.

JS.Crypto Ransomware wordt gedistribueerd als een client.scr bestand. Omdat het een zelf uitpakkend WinRAR archief is, zal het direct bestanden uitpakken naar %Temp% en %AppData%\Microsoft\Windows\Start Menu\Programs\Startup directories en voegt het een snelkoppeling toe in Opstarten nadat een gebruiker erop klikt. Het is waargenomen dat JS.Crypto Ransomware de volgende bestanden op de computer toevoegt:

• chrome – heeft binnenin een kopie van de GPL licentieovereenkomst.
• chrome.exe – bevat de werkelijke malware code.
• ffmpegsumo.dll, nw.pak, locales, en icudtl.dat – bevat data dat nodig is voor het NW.js raamwerk
• rundll32.exe – bevat een kopie van de TOR-client.
• s.exe – bevat een kopie van Optimum X Shortcut.
• g – bevat informatie die nodig is voor de configuratie van ransomware.
• msgbox.vbs – een script dat een pop-up bericht op het scherm toont.
• u.vbs – een script dat bestanden en mappen verwijderd uit verschillende directories.

Zoals blijkt voegt JS.Crypto Ransomware bestanden toe die lijken op de legitieme Google Chrome bestanden, bijv. chrome.exe, om niet eenvoudig opgemerkt en verwijderd te worden. We willen ook graag opmerken dat JS.Crypto Ransomware ChromeService.lnk toe zal voegen aan het hoofddirectory (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup) om zo gelijktijdig te kunnen opstarten met het Windows besturingssysteem.

JS.Crypto Ransomware wordt op verschillende manieren verspreidt. Specialisten hebben ontdekt dat deze je systeem kan binnendringen nadat je hebt geklikt op een slechte link of advertenties, een spam email bijlage opent of een onbetrouwbaar programma hebt gedownload van een website van derden, torrent of een file-sharing website. JS.Crypto Ransomware is beslist niet de enige ransomware infectie die er bestaat, dus raden we je sterk aan een gerenommeerd beveiligingstool te installeren als je jouw systeem wilt beschermen tegen dergelijke infecties die misschien je PC proberen binnen te glippen.

Het is beslist niet eenvoudig om JS.Crypto Ransomware handmatig te verwijderen; maar je moet het toch doen omdat deze bedreiging je nieuwe bestanden kan versleutelen. Hieronder staan instructies die je zullen helpen deze bedreiging handmatig te verwijderen. Wanneer je denkt dat je niet ervaren genoeg bent om dit zelf te doen, scan dan je systeem met de SpyHunter antimalware scanner. Of je nu zelf de verwijdering van JS.Crypto Ransomware implementeert of een automatisch tool gebruikt, dit zal je helaas niet helpen om je bestanden te versleutelen.

Verwijder JS.Crypto Ransomware uit de PC

Toon verborgen bestanden en mappen

Windows XP

1. Klikken op de Start knop en ga naar het Configuratiescherm.
2. Dubbelklikken op Mapopties en klik op het tabblad Weergave.
3. Klik op de knop naast Verborgen bestanden en mappen en weergeven om deze in te schakelen.
4. Verwijder het vinkje van Beveiligde besturingssysteembestanden verbergen (Aanbevolen).
5. Klik op Toepassen.

Windows 7/Vista

1. Klik op de knop Organiseren in een willekeurige map en selecteer Map en zoekopties.
2. Dek nop Verborgen bestanden en mappen weergeven aanvinken.
3. Verwijder het vinkje van Beveiligde besturingssysteembestanden verbergen (Aanbevolen).
4. Klik op Toepassen.

Windows 8/8.1/10

1. Ga naar Zoeken.
2. Zoek op Mapopties.
3. Selecteer het tabblad Weergave.
4. Markeer Verborgen bestanden, mappen en stations weergeven.
5. Verwijder het vinkje van Beveiligde besturingssysteembestanden verbergen (Aanbevolen).

Verwijder directories en bestanden

1. Open Taakbeheer (Ctrl+Shift+Esc), open het tabblad Processen, zoek het chrome.exe proces en beëindig (erop rechtsklikken en Beëindigen selecteren) het als een waarschuwingsbericht niet gesloten kan worden.
2. Start UITVOEREN (Windows toets + R).
3. %AppData%\Chrome Browser invoeren in het venster en klik op OK.
4. Verwijder deze directory.
5. Start weer UITVOEREN op en dan %AppData%\Microsoft\Windows\Start Menu\Programs\Startup invoeren.
6. Klik op OK.
7. Zoek en verwijder ChromeService.lnk.