HydraCrypt Ransomware

HydraCrypt Ransomware is een ernstige besmetting die voor één doel is gecreëerd – het geld van gebruikers te verkrijgen. Cybercriminelen weten dat het niet gemakkelijk is om geld af te persen, dus versleutelen zij alle bestanden van gebruikers en vragen ze dan om losgeld te betalen. HydraCrypt Ransomware is geen unieke bedreiging. Onderzoek heeft aangetoond dat het op een vergelijkbare manier werkt als 7ev3n Ransomware, NanoLocker Ransomware en JS.Crypto Ransomware. Net zoals al deze eerder uitgebrachte bedreigingen kan HydraCrypt Ransomware niet viat het Configuratiescherm worden verwijderd. U moet dat natuurlijk nog steeds doen, vooral als u geen geld aan cybercriminelen wilt geven en hebt besloten om bestanden te herstellen van de een of andere back-up, bijvoorbeeld een USB-flashdrive en/of externe harde schijf (HDD).

Onderzoekers bij pcthreat.com hebben deze ransomwarebesmetting grondig getest en hebben vastgesteld dat het nadat het erin slaagt om het systeem binnen te dringen onmiddellijk een kopie van zichzelf maakt in één van deze directories: %APPDATA%, %LOCALAPPDATA% of %TEMP%. Wij zijn er zeker van dat er één belangrijke reden is waarom het zich zo gedraagt. Het is zeer waarschijnlijk dat HydraCrypt Ransomware dit doet om te verzekeren dat het niet gemakkelijk door de gebruiker kan worden verwijderd. Daarnaast probeert het om zijn aanwezigheid voor enige tijd te verbergen, omdat het 10-20 minuten nodig heeft om alle bestanden op het systeem te versleutelen. Specialisten zeggen dat HydraCrypt Ransomware ook twee waarden toevoegt, waarvan er één ChromeSettingsStart3264 kan zijn (met de waarde van de gegevens C:\gebruikers\gebruiker\AppData\Roaming\ChromeSetings3264\rovaxowy.exe is). Ze kunnen worden gevonden in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uitvoeren. Het lijdt geen twijfel dat het deze waarden in de registersleutel UITVOEREN creëert om niet te verdwijnen na het herstarten van de computer en om gelijk met Windows te kunnen starten.

Nadat het zijn belangrijkste taak – het versleutelen van bestanden met extensies zoals .bin, .mp4, .ppt, .pptx, .txt, .wma, .wmv, .jpg, .html, .docx, en .dat - heeft uitgevoerd, plaatst deze bedreiging ook een bericht op het scherm. Het bericht informeert gebruikers over het versleutelen en geeft instructies over wat hierna moet worden gedaan:

Encryption was made with a special crypto-code!

There NO CHANCE to decrypt it without our special software and your unique private key!

To buy your software You need to contact us by EMAIL

U treft in dit bericht ook twee e-mailadressen aan: XHELPER@DR.COM en AHELPER@DR.COM. Er wordt gezegd dat u via een van deze opgegeven e-mailadressen contact met de cybercriminelen moet opnemen om verdere instructies te krijgen. U krijgt 72 uur om dit te doen. Als u binnen de opgegeven periode geen contact opneemt met de eigenaars van deze bedreiging, vernietigen zij al uw bestanden en verkopen ze zelfs op de zwarte markt (dat beweren ze tenminste). Als u contact opneemt met de cybercriminelen, zijn wij er zeker van dat ze u het exacte bedrag zullen geven dat u naar hen over moet maken. Het is zeer waarschijnlijk dat ze geld in Bitcoins eisen. U bent degene die kan beslissen of u al dan geen geld over wilt maken; wij stellen echter voor dat als u de kans hebt om uw bestanden vanaf een back-up te herstellen, dat u dit doet, omdat niemand weet of u toegang krijgt tot uw bestanden nadat u de betaling hebt gedaan.

Er is opgemerkt dat gebruikers het hoofdbestand van HydraCrypt Ransomware downloaden door het openen van een spam e-mail, op een onbetrouwbare link klikken of als ze software van onbetrouwbare websites van derden downloaden. Bovendien kan deze bedreiging computers binnendringen met behulp van andere kwaadaardige software die op het systeem is geïnstalleerd. Het is daarom wel zo handig om er voor te zorgen dat het systeem altijd schoon is. Het lijkt erop dat er niets verkeerd gaat als gebruikers niet dubbelklikken op het hoofdbestand van HydraCrypt Ransomware zelfs als zij het op hun PC's downloaden. Helaas doet de meerderheid dit wel, waardoor ze toestaan dat deze bedreiging hun systemen binnendringt. Als u het gevoel hebt dat u uw systeem niet tegen kwaad kunt beschermen, dan moet u een beveiligingshulpprogramma op uw PC installeren. Wijn verzekeren dat dit voorkomt dat er in de toekomst malware uw systeem binnendringt.

Ook al blokkeert HydraCrypt Ransomware geen .exe-bestanden en systeemhulpprogramma's, zoals andere ransomwarebesmettingen die op het web rondwaren wel doen, het is nog steeds niet gemakkelijk om deze bedreiging te verwijderen. Daarom hebben wij de aanwijzingen voor handmatig verwijderen voor u voorbereid en ze onder dit artikel opgenomen. Als deze instructies voor u van geen enkel nut zijn, dan kunt u het best een automatische malwareverwijderaar, zoals SpyHunter downloaden, installeren en dan uw systeem hiermee scannen. Onthoud dat uw bestanden versleuteld blijven, zelfs als u af kunt komen van HydraCrypt Ransomware; u moet het echter nog steeds zo spoedig mogelijk verwijderen.

Het verwijderen van HydraCrypt Ransomware

Het tonen van verborgen bestanden en mappen.

Windows XP

1. Klik op de knop Start.
2. Selecteer Configuratiescherm.
3. Selecteer Mapopties.
4. Open het tabblad Bekijken.
5. Selecteer Toon verborgen bestanden en mappen onder Verborgen bestanden en mappen.
6. Klik op OK.

Windows 7/Vista

1. Klik op de knop Start.
2. Selecteer Configuratiescherm.
3. Open Vormgeving en persoonlijke instellingen.
4. Selecteer Mapopties.
5. Open het tabblad Bekijken.
6. Markeer Toon verborgen bestanden, mappen en schijven onder Verborgen bestanden en mappen.
7. Klik op OK.

Windows 8/8.1/10

1. Open de Windows Verkenner.
2. Klik bovenaan op het tabblad Bekijken.
3. Klik Opties.
4. Open het tabblad Bekijken.
5. Markeer Toon verborgen bestanden, mappen en schijven.
6. Klik op OK.

Het verwijderen van ransomware

1. Start Uitvoeren (Windows toets + R).
2. Voer regedit in en klik op OK.
3. Ga naar HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Zoek de waarde ChromeSetingsStart3264 (deze kan een andere naam hebben) op.
5. Rechtsklik erop en Verwijder hem.
6. Sluit de Register-editor.
7. Open de Windows Verkenner.
8. Ga naar %APPDATA%, %LOCALAPPDATA% en %TEMP% (kopieer en plak de directory in het adresvak en druk op Enter) en zoek het bestand met een willekeurige reeks letters.
9. Rechtsklik op het bestand en selecteer Verwijderen.
10. Verwijder de twee afbeeldingen met het symbool van HydraCrypt ransomware en alle bestanden die tot deze bedreiging behoren van het Bureaublad.
11. Leeg de Prullenbak.
12. Herstart de computer.

Wij raden aan dat u het systeem ook scant met een automatische malwareverwijderaar om te controleren of deze ransomwarebesmetting al dan niet volledig is verwijderd.