.ctNfy File Virus - How to Remove
THREAT REMOVAL

.ctNfy File Virus (German Wiper) – How to Remove

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

stf-remove-ctNfy-file-virus-08kJA-AVco3-OQn1B

What is .ctNfy file virus? .ctNfy file virus is also known as CtNfy ransomware which encrypts files and demands a ransom for their alleged restoration.

CtNfy or otherwise known as .ctNfy file virus is ransomware. It encrypts files by appending the .ctNfy extension to them, making them inaccessible. All encrypted files will receive the new extension as a secondary one. Another extension will be added before it that is generated on a random principle. The CtNfy ransomware drops a ransom note, which gives instructions to victims on how they can allegedly restore their data.

Threat Summary

Name.ctNfy File Virus
TypeRansomware, Cryptovirus
Short DescriptionThe ransomware encrypts files on your computer system and demands a ransom to be paid to allegedly recover them.
SymptomsThe CtNfy ransomware will encrypt your files by appending the .ctNfy extension to them, along with a unique identification number placing the new .ctNfy extension as a secondary.
Distribution MethodSpam Emails, Email Attachments
Detection Tool See If Your System Has Been Affected by .ctNfy File Virus

Download

Malware Removal Tool

User ExperienceJoin Our Forum to Discuss .ctNfy File Virus.
Data Recovery ToolWindows Data Recovery by Stellar Notice! This product scans your drive sectors to recover lost files and it may not recover 100% of the encrypted files, but only few of them, depending on the situation and whether or not you have reformatted your drive.

.ctNfy File Virus – How Did It Infect My PC and What Happened?

.ctNfy File Virus might spread its infection via a payload dropper, which initiates the malicious script for this ransomware. Another way that users report is that they receive a malicious E-mail with attachments (.LNKs with a powershell command disguised as “Applicant name – Lebenslauf.doc.lnk”). The virus might also distribute its payload file on social media and file-sharing services. Freeware which is found on the Web can be presented as helpful also be hiding the malicious script for the cryptovirus. Read the tips for ransomware prevention from our forum.

CtNfy or better known as the .ctNfy File Virus is ransomware that encrypts your files and shows ransomware instructions inside a ransom note:

stf-ctNfy-file-virus-ransom-note

Beside the instructions you can see in the above image, there is a note that states the following:

Alle Ihre Dateien wurden verschluesselt!

Was ist passiert?

Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis wir diese wieder entschluesseln. Alle verschluesselten Dateien wurden mit der Dateiendung .08kJA versehen.

Bitte folgen Sie unseren Anweisungen, wenn Sie Ihre Dateien zeitnah wieder entschluesseln wollen! Es besteht keine andere Moeglichkeit Ihre Daten wieder zu entschluesseln ausser unseren Anweisungen zu folgen!

Ich moechte meine Dateien entschluesseln!

Kein Problem! Um Ihre Dateien zu entschluesseln, benoetigen Sie unsere Entschluesselungssoftware, diese steht zum Kauf fuer umgerechnet ca. $1,500 bereit.
Der Betrag ist ausschliesslich in Bitcoin an die untenstehende Adresse zu zahlen.

Welche Garantien habe ich?

Uns interessiert nicht wer Sie sind oder was fuer Dateien Sie auf Ihrem Computer haben, wir sind ausschliesslich daran interessiert Ihnen die Entschluesselungssoftware zu verkaufen. Schlechtes Business spricht sich herum, sollten wir Ihre Dateien nicht entschluesseln, wuerde in Zukunft niemand unsere Entschluesselungssoftware kaufen – Was nicht in unserem Interesse liegt.

Wo bekomme ich Bitcoins?

Bitcoin koennen Sie schnell und einfach kaufen, z.B mit Kreditkarte, GiroPay oder (SOFORT) Ueberweisung. Es folgt eine Auflistung populaerer Tauschboersen und Bitcoin Marktplaetzen:
Coinmama – https://coinmama.com/
Bitpanda – https://www.bitpanda.com/
AnyCoinDirect – https://anycoindirect.eu/
Bitcoin.de – https://www.bitcoin.de/
BTC Direct – https://btcdirect.eu/de-at

Es gibt noch weitere moeglichkeiten Bitcoin zu erwerben, sollte keine der gelisteten fuer Sie funktionieren, hilft Ihnen eine kurze Google Suche.

Ich habe die Bitcoins gekauft

Senden Sie den folgenden Betrag an die fuer Sie generierte Bitcoin Adresse:

Betrag
0.15038835 Bitcoin

Bitcoin Adresse
1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc

Ich habe bezahlt – Was jetzt?

Nachdem die Zahlung auf der angegebenen Wallet eingegangen ist und diese 1 Bestaetigung im Bitcoin Netzwerk erhalten hat (30-60 Minuten) aktualisiert sich diese Seite automatisch mit dem Download Link fuer die Entschluesselungssoftware.

Bitte folgen Sie den Anweisungen in der Entschluesselungssoftware um sicherzustellen, dass alle Ihre Dateien korrekt entschluesselt werden.

Bitte beachten Sie, dass die Entschluesselungssoftware nur speziell fuer Ihren PC und die Dateiendung .08kJA funktioniert, es ist also sinnlos nach der Entschluesselungssoftware von anderen zu suchen.

Weitere Informationen

Bitte beachten Sie, dass wir Ihnen eine Frist von 7 Tagen setzen, diese laueft ab am: 06.08.2019.

Sollten wir bis dahin keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie nicht an der Entschluesselung Ihrer Daten interessiert sind und Loeschen den Private-Key fuer Ihren Computer unwiderruflich, in diesem Falle gehen Ihre Daten fuer immer verloren.

Beachten Sie, dass nur wir in der Lage sind Ihre Dateien wiederherzustellen, versuchen Sie nicht Ihre Dateien selber zu entschluesseln / wiederherzustellen, im besten Falle verschwenden Sie nur Ihre Zeit, im schlimmsten Falle beschaedigen Sie die verschluesselten Dateien und wir koennen Ihnen beim entschluesseln nicht mehr helfen!

You should NOT under any circumstances pay any ransom sum.

The following are the reported Bitcoin addresses that the cybercriminals use across all variants of the ransomware:

  • 1KjBUvN4Gfipi3bGmuAPDcJEqx48Nx5m4i
  • 17BJR98G3bpycgoicVVWHLmt1n7jwC3HTk
  • 14XhwV3iBMcLE8qURtk4q2TR53oMSNgZHZ
  • 17zGcqKji84sYg6XxefLFvkZouHMKQfSrb
  • 1LRMFKpSKhrobVJa1uo5V7pnYnEV7S8hZE
  • 135ug1diEkaGmTaHh4vP1kLLgswRVmZbKw
  • 1NXZg59BzWSextDuvspbCJ6NRqHT4T7jbM
  • 19sd86duTh7vkYUwMDJirP1F513Tvwo7fv
  • 1JjkbfjDsi1UqqBgcGtsMdZefFMcVukwVa
  • 1PyZ6yQdnMpVn5o9SfdaPEzAH137Ys9KHn
  • 1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc
  • 1J1MBbgNoB9pJXhzZs6DtnpgHPzaeqCx2x
  • 1MRvr9bDBKb8LcctebM7RqXi8Xiiv35fUt
  • 1DbAXfFY1sCqea4We28td8e3FUGh1MvKbT
  • 16Cq2MpX1LDMXEa3eGuQ3FGWC3kNoowzjg
  • 1JKN1uz6BaWUwftoPSah5RnvD9aTjimkZe
  • 1FkCZkm74zEQ3UNCScBwUzuxYbbWH15h5z
  • 1HugNNr72MHAd53S3ygHwJWAxi655tpBqa
  • 17vH1YT63jRTavNQRGGsP49xjzZtZsxNRF
  • 1FZhTBLZMRQms5q8h4iHZAYdEpgr6dhpw2
  • 1EJnYFmNmVeozrFjByzQmWBMbCb6sj8KNh
  • 13iv6aUc8oEBg9R9MFREwvTRTjecy2TBXY
  • 1E3s6S3YUfadZP27ZtwtPENbSzV4Mr3kv6
  • 18tnmDSvLb5sxyVaid3K9YdEVfT9THTMfo
  • 1Eh4C1RodoiFEM3G7ZozLojNSNGPLh8Xo1
  • 19PEKTCo1J2Qh1jCHxnsXj4rAAvvnoyrDB
  • 1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY
  • 1DAkV3n3QZZtYZAmGDFCQyah7YTCRDNmH1
  • 19cwrjV2FM3fw4BqBwnsBi9hDwMwUbJyy8
  • 13AsdXkb7LG2aJzroZtZpCsqbhyhZgrpwc
  • 167kVP1ctnw48eEM97ZHbwTTLEUaEoHtfN
  • 1A8Rx1PHyYq4xJNSoDnkua9rsQaVuL7KSU
  • 1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
  • 1GJfdiu2AEQA9NsFyKypx7YMfoHFZi7KzR
  • 1Hk2uAwoW6z5QdrtssKXBQ9d6VTvn8nPD8
  • 19D4iUqYYd1y3Hn295yfsacXUykWwqZaov

The ransomware also puts the following wallpaper as a desktop background:

stf-ctNfy-file-virus-desktop

The message on it states the following:

===================== IHRE DATEIEN WURDEN VERSCHLUESSELT ==================

SIE ctNfy_Entschluesselungs_Anleitung.html UM HERAUSZUFINDEN WIE SIE IHRE DATEIEN ENTSCHLUESSELN KOENNEN!

The extortionists want you to pay a ransom for the alleged restoration of your files, same as with a lot of ransomware viruses. .ctNfy File Virus ransomware could make entries in the Windows Registry to achieve persistence, and could launch or repress processes in a Windows system.

The following extensions are sought after by the ransomware and files with these extensions will become encrypted:

→ .386, .adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX, .lock, .LOCK, .hta, .HTA, .msi, .MSI

All encrypted will receive the .ctNfy extension alongside a random generated one. That extension will be placed as a secondary one to each file and the following ones are known to be used and related to the German Wiper: .ctNfy, 08kJA AVco3, and OQn1B. Audio, video, image files as well as documents, backups and banking data can be encrypted by the ransomware.

The .ctNfy File Virus could be set to erase all the Shadow Volume Copies from the Windows operating system with the help of the following command:

→vssadmin.exe delete shadows /all /Quiet

Some researchers argue that this ransomware is a Wiper that just deletes files and nobody can do anything about it. German speakers are the ones who are the main targets of this threat. There are a few versions of the ransomware, so it is not certain

If your computer device was infected with this ransomware and your files are locked, read on through to find out how you could potentially restore your files back to normal.

Remove .ctNfy File Virus

If your computer got infected with the .ctNfy File Virus, you should have a bit of experience in removing malware. You should get rid of this ransomware as quickly as possible before it can have the chance to spread further and infect other computers. You should remove the ransomware and follow the step-by-step instructions guide provided below.

Tsetso Mihailov

Tsetso Mihailov

Tsetso Mihailov is a tech-geek and loves everything that is tech-related, while observing the latest news surrounding technologies. He has worked in IT before, as a system administrator and a computer repair technician. Dealing with malware since his teens, he is determined to spread word about the latest threats revolving around computer security.

More Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...