Entfernen Troldesh Ransomware und Wiederherstellung von verschlüsselten Dateien .Better_call_saul - Wie, Technologie und PC Security Forum | SensorsTechForum.com
BEDROHUNG ENTFERNT

Entfernen Troldesh Ransomware und Wiederherstellung von verschlüsselten Dateien .Better_call_saul

1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading ...

Aufmerksamkeit Ransomware troldesh Sensor Tech Forum schlüsseltenDie berüchtigte Troldesh Familie von Ransomware Viren hat gerade mit einer neuen Variante erhöht. Die neue Kryptoransomware-Variante verschlüsselt die Dateien der Benutzer eine .Better_call_saul Dateierweiterung nach ihnen Hinzufügen. Es wird von den Forschern an Nyxbone berichtet eine leistungsstarke AES-256-Verschlüsselung Chiffre zu verwenden,. Die Ransomware setzt sich auch in den beiden russischer und englischer Sprache geschrieben, berichtete der Tapete mit einem Erpresserbrief ändern. Benutzer, die von diesem Virus betroffen sind - Encoder, sollte es sofort entfernen, statt, das Lösegeld zu zahlen und versuchen, die Dateien in diesem Artikel unter Verwendung einer der alternativen Lösungen zur Wiederherstellung.

RANDNOTIZ: Dieser Beitrag wurde ursprünglich im Juni veröffentlicht 2016. Aber wir haben es ein Update im August 2019.

Threat Zusammenfassung

NameTroldesh
ArtRansomware
kurze BeschreibungDie Ransomware verschlüsselt Ihre Dateien mit .better_call_saul Erweiterung und stellt eine Lösegeldzahlung von $150 zur Entschlüsselung.
SymptomeDie Ransomware verschlüsselt alle Dateien, ändert die Tapete zu einer russischen und Englisch Versionen derselben Nachricht und fügt eine README.txt Notiz.
VerteilungsmethodeSpam-E-Mails, Exploit-Kits
Detection Tool Prüfen Sie, ob Ihr System von Troldesh betroffen

Herunterladen

Malware Removal Tool

BenutzererfahrungAbonnieren Sie unseren Forum diskutere Troldesh.

Troldesh Ransomware — Update August 2019

The Troldesh ransomware has been detected in an ongoing attack wave in August 2019. The criminals that are behind the attacks are using hacked or specially made sites in order to deliver the infection. When the victims click on them they will automatically launch the dropper script which in turn will lead to the ransomware infection.

According to the available security reports the trigger will be a JScript file which will proceed with the infection — in the moment primarily Windows computers are targeted.

The file name of the script is written in the Russian language and it appears that the attackers are attempting to spoof an airline company message. Various contents can be inserted and manipulate the users into opening them. When this is done the ransomware will be automatically downloaded from a remote host and executed on a local host.

A randomly-named directory name will be created and the ransomware will be placed there. Following the intrusion the typical Troldesh ransomware attack sequence will begin.

Troldesh Ransomware - wie funktioniert es Infect

Eine Methode Troldesh verwenden kann, um erfolgreich Nutzer zu infizieren ist über bösartigen URLs. Solche Web-Links zu Webseiten umleiten kann, die schädliche JavaScript oder ein Exploit Kit enthalten. Solche Web-Links können an verschiedenen Stellen von den Endnutzern zu sehen, beispielsweise:

  • Auf Spam-Kommentare in Kommentar Abschnitte unterschiedlicher Websites.
  • Hervorgehoben als Antwort oder ein Thema in einem nicht so gut gesichert Forum.
  • Pop-up auf dem Computer automatisch als Folge eine PUP des Habens (Potentiell unerwünschte Programme) auf dem Computer installiert.
  • Redirect als Folge des Klick auf einer bösartige Werbung (Malvertising)

Eine andere Methode der Verteilung, die durch Troldesh verwendet werden kann, wird durch direktes die EXE der Malware Ausbreiten. Damit dies geschehen, Prozess Verschleierung wird angenommen, dass auf der ausführbare Datei verwendet werden, um es von dem Echtzeit-Schild von jeder Antiviren zu verbergen, die die neuesten Definitionen auf dem victim`s Computer installiert werden kann,. Solche Dateien können in der Regel über verteilt werden:

  • Böswillige E-mails als Anhänge, die in der Regel in .zip oder .rar-Archive.
  • Pose als fixe, Patches, keygens, Risse und andere.
  • Täuschen Sie ein Aufbau eines legitimen Software auf einer Website Dritter zu sein.

Bisher, eine Sache, kann sicher sein,. Forscher haben berichtet, dass diese Variante von Troldesh die folgenden Hosts verwendet massiven Spam-Kampagnen durchzuführen:

→ 155.94.254.7
220.116.246.88
73.69.54.155
59.16.141.51
46.241.162.75
181229176179
181.46.183.183
91.250.53.114
69.23.139.144
105.131.75.227
188.0.72.57
176.223.169.98
121.136.241.45
1.64.242.80
76.9.38.194
73.205.91.110
203.175.48.196
1.239.96.173 Quelle: Nyxbone(@mosh)

Und das ist nicht die einzige schlechte Nachricht darüber, wie diese Ransomware-Spreads. Experten glauben, dass es mit einem sehr gefährlichen Botnet etwas gemeinsam haben, genannt Kelihos, die zum Aussenden von Phishing-Kampagnen bekannt ist.(https://sensorstechforum.com/kelihos-botnet-phishing-campaign-collects-apple-ids-spam-emails/)

Troldesh Ransomware - Malicious Activity

Die Ransomware fällt die folgenden Dateien nach der Infektion:

  • schet1074.15.03.16.doc – 1.1 MB
  • CSRSS.exe – 1.8 MB
  • 025074DE.exe – 114.3 KB
  • E8B6CE19.exe – 1.0 MB

Quelle: Nyxbone(@mosh)

Nach dem Zutropfen seiner Nutzlast, die Ransomware modifiziert die Registry-Einträge von infizierten Computern verschiedene Einstellungen zu ändern:

→ HKCU Software Microsoft Windows Currentversion Run Csrss.exe
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration cnt
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration i
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration Modus
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration pk
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration Zustand
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration sys
HKCU Software Classes Virtuals MACHINE SOFTWARE System32 Configuration Version Quelle: Nyxbone(@mosh)

Die Ransomware schafft auch weitere Dateien in den infizierten Computern an verschiedenen Orten:

→ C:\Programdata Windows csrss.exe
C:\Users {BENUTZERNAME}\AppData Local Temp E8B6CE19.exe –
C:\Users {BENUTZERNAME}\AppData Local Temp 025074DE.exe –
C:\Users {BENUTZERNAME}\AppData Local Temp Zustand
C:\Users {BENUTZERNAME}\AppData Local Temp Sperre
C:\Users {BENUTZERNAME}\AppData Roaming 77E4183577E41835.bmp
C:\Users {BENUTZERNAME}\\Desktop README1.TXT
C:\Users {BENUTZERNAME}\Desktop README2.TXT
C:\Users {BENUTZERNAME}\Desktop README3.txt
C:\Users {BENUTZERNAME}\\Desktop README4.txt
C:\Users {BENUTZERNAME}\Desktop README5.txt
C:\Users {BENUTZERNAME}\Desktop README6.txt
C:\Users {BENUTZERNAME}\Desktop README7.txt
C:\Users {BENUTZERNAME}\Desktop README8.txt
C:\Users {BENUTZERNAME}\Desktop README9.txt
C:\Users {BENUTZERNAME}\Desktop README10.txt
C:\Users Public Desktop README1.TXT
C:\Users Public Desktop README2.TXT
C:\Users Public Desktop README3.txt
C:\Users Public Desktop README4.txt
C:\Users Public Desktop README5.txt
C:\Users Public Desktop README6.txt
C:\Users Public Desktop README7.txt
C:\Users Public Desktop README8.txt
C:\Users Public Desktop README9.txt
C:\Users Public Desktop README10.txtSource: Nyxbone(@mosh)

Nach dem Handeln, so, die Ransomware führt einen Aufrufbefehl in seine Verschlüssler. Sein berichtet zu scannen und die folgenden Arten von Dateien verschlüsseln:

→ wb2, cdr, SRW, p7b, ODM, MDF, P7C, 3fr, der, odb, ARW, RWL, Himmel, xlk, PDD, rw2, CRT, dx, r3d, pem, Bucht, ptx, pfx, indd, nrw, p12, bd, Sicherungskopie, Schwall, Geschichte, pwm, Safe, xl, xls, xlsx, xlsm, xlsb, xltm, XLT, xlam, XLA, CIS, rtf, txt, xml, csv, pdf, PRN, dif, slk, Absatz, xltx, XLM, Ep, xlw, uxdc, pm, UDL, dsn, IQY, DQY, RQY, oqy, Junge, hinter, XSN, xsf, xtp, xtp2, mdb, adb, adp, mda, accDA, mde, ACCD, accdw, accdt, accdc, mdw, dbf, Tab, asc, frm, opt, Welt, verkauft, db, onetoc2, ein, onepkg, VCS, ics, PST, oft, msg, pptx, ppt, pptm, pps, PPSM, Pot, potx, Wanderwege, Antworten, THMX, WPD, wps, ppa, PPAM, wmf, emf, Kneipe, ps, xps, vsd, vdx, vss, VSX, vst, VTX, vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, Punkt, dotm, djvu, chm, htm, html, Grüße, mhtml, shtml, shtm, Natter, aspx, dwt, stm, cs, css, psd, PDD, 3ds, max, CRW, Schiff, raf, orf, mrw, DCR, mos, pef, srf, DNG, x3f, CR2, erf, SR2, KDC, mfw, MEF, Gin, sdpx, DPX, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, PCX, pdp, pxr, SCT, U3D, obj, ai3, AI4, AI5, AI6, AI7, ai8, zu, epsp, epsf, hdr, RGBE, xyze, danke, PBM, pgm, ppm, PNM, pfm, pam, pct, pict, PSB, FXG, swf, hta, htc, ssi, als, asr, xsl, xsd, dtd, Xslt, rss, rdf, LBI, aLS, Ascx, asmx, Config, cfm, CFML, cfc, tld, PHTML, jsp, wML, tpl, Lasso, JSF, vb, vbs, vtm, VTML, EDML, roh, jpg, jpeg, JPE, bmp, png, tif, tiff, folgende, gif, svg, SVGZ, rle, tga, vda, icb, WBM, wbmp, JPF, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, die, anim, m4a, qt, 3g2, f4v, mkidx, MKA, avs, vdr, flv, bin, mp3, wav, asx, pls, Reißverschluss, 7von, rar, nimmt, gz, bz2, wim, xz, c, h, HPP, cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, Java, Klasse, Dies, asm, clx, TBB, TBI, Tbk, PST, dbx, CBF, crypted , Rohr, eml, FLD, VBM, VBK, vib, vhd, 1CD, dt, cf, KBE, MXL, EPF, VRP, grs, geo, Elf, LGF, lgp, Log, st, hu, mft, efd, md, dmp, fdb, lst, fbkSource: Nyxbone(@mosh)

Nachdem Sie das getan, Die Dateien werden mit einem AES-256-Verschlüsselungsalgorithmus verschlüsselt. Die verschlüsselten Dateien sind in der Regel mit der .better_call_saul, beispielsweise:

Original-Datei:
New Textdatei.txt
Encrypted File:
{ RANDOM ALPHA NUMERISCHE ID }-ich-{RANDOM ALPHA NUMERISCHE ID}=.{ RANDOM ALPHA NUMERISCHE ID }.ruf lieber Saul an

Diese Ransomware, dann ändert sich das Hintergrundbild des infizierten Computers auf das folgende Bild:

Troldesh-Ransomwware Wallpaper Sensor Tech Forum

Die Ransomware kann auch mit den Angreifern kommunizieren, um sie den Entschlüsselungsschlüssel zusammen mit anderen Systeminformationen zu senden. Die ausgewiesenen IP-Adressen der Angreifer von Nyxbone Experten berichtet, die folgenden sein:

→ 86.59.21.38
208.83.223.34
37.59.46.159
158.58.170.2
188.165.26.13
104.25.11.6
72.246.48.8 Quelle: Nyxbone(@mosh)

Zusätzlich zu all jene, nachdem die Dateien verschlüsseln, die Ransomware fügt mehr “README.txt” Dateien mit Sequenznummern, beispielsweise “README1.TXT” ,”README2.TXT” ,”README3.txt” ,”README4.txt” auf dem Desktop des Benutzers oder verschlüsselte Ordner. Der Text des Readme ist in Russisch und Englisch. Die Englisch-Version des Erpresserbriefes ist die folgende:

“Alle wichtigen Dateien auf Ihrem Computer verschlüsselt wurden,.
Zum Entschlüsseln der Dateien sollten Sie den folgenden Code senden:
{EINZIGARTIGER CODE} zu E-Mail addess post77999@gmail.com oder post7799@yahoo.com.
Dann werden Sie alle notwendigen instrucions erhalten.
Alle Versuche der Entschlüsselung selbst wird nur in unwiderruflichen Verlust Ihrer Daten führen.
Wenn Sie immer noch versuchen wollen selbst entschlüsseln Sie eine Sicherung auf dem ersten, weil die Entschlüsselung im Fall von Änderungen in den Dateien unmöglich wird.
Wenn Sie nicht die Antwort aus der oben zitierten E-Mail erhalten mehr als 48 Stunden (und nur in diesem Fall!), verwenden, um die E-Mail-Reserve. Sie können es auf zwei Arten erhalten:
1) Laden Sie Tor-Browser von hier:
{tor Weblink}
Installieren Sie es und geben Sie die folgende Adresse in die Adressleiste:
{Zwiebel Domain}
Drücken Sie die Eingabetaste und dann wird die Seite mit Reserve-E-Mail geladen werden.
2) Gehen Sie auf die eine der folgenden Adressen in jedem Browser:
{Zwiebel-Domänen mit .to und .cab Erweiterungen}”

Troldesh Ransom – Abschluss, Die Abnahme und die Dateiwiederherstellung

Unterm Strich ist, dass diese Variante der Troldesh Familie ein bisschen anspruchsvoller ist als die der .xtbl und .Krypta Troldesh Varianten).

Wenn Sie wollen Troldesh Ransomware entfernen, Sie können die Anweisungen für die manuelle Entfernung unten oder laden Sie eine erweiterte Anti-Malware-Programm folgen. Es wird sicherstellen, dass Ihr Computer durch Troldesh Ransomware modifizieren frei von Objekten ist und man von einem solchen Bedrohungen in der Zukunft schützen und.

Falls Sie möchten, können Sie Ihre Dateien wiederherstellen, raten wir versuchen, zu verwenden, Kaspersky`s Rannoh Decryptor von denen berichtet wird, um erfolgreich .crypt verschlüsselten Dateien zu entschlüsseln wurde von die Troldesh Variante CryptXXX. Sonst, Sie finden können andere, weniger wirksame Alternativen aus Schritt "3. Wiederherstellen von Dateien verschlüsselt durch Troldesh " unten.

Avatar

Ventsislav Krastev

Ventsislav wurde über die neuesten Malware, Software und neueste Tech-Entwicklungen bei SensorsTechForum für 3 Jahren. Er begann als Netzwerkadministrator. Nachdem auch graduierte-Marketing, Ventsislav hat auch Leidenschaft für die Entdeckung von neuen Verschiebungen und Innovationen im Cyber ​​der Spiel-Wechsler werden. Value Chain Management Nach dem Studium und Netzwerkadministration dann, er fand seine Leidenschaft in cybersecrurity und ist ein starker Gläubiger in der Grundbildung von jedem Nutzer auf Online-Sicherheit.

Mehr Beiträge - Webseite

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...