Help

De kennisbank is een collectie van antwoorden op vaak gestelde vragen (FAQ) en artikelen. U kunt de artikelen waarin u geïntereseerd bent in deze categorie of in de sub-categorieën lezen



 CTB Locker en Critroni Ransomware verwijderen

Antwoord:

CTB Locker (Curve-Tor-Bitcoin Locker), ook wel bekend onder de naam Critroni, is een file-encrypting ransomware infectie dat is begonnen in juli 2014 en kan alle versies van Windows vanaf Windows XP infecteren.

Als je het CTB Locker virus hebt opgelopen versleutelt het bepaalde gegevensbestanden in je computer, veelal foto's, video's, en andere persoonlijke bestanden. Je krijgt dan een mededeling op je scherm dat je toegang tot die bestanden weer kunt terug"kopen". CTB Locker vraagt meestal om 3 BTC of ongeveer $630,- te betalen en je krijgt dan een sleutel met instructies om je bestanden weer terug te krijgen.

Let op want ook aangesloten externe harde schijven en USB stick en netwerkdrives worden geïnfecteerd trek die er dus onmiddellijk uit of ontkoppel ze.

Bovendien bevat het een “gratis decodeer” service voor 5 "proef"bestanden om te laten zien dat het werkt en een verlengde deadline (96 uur) om de boete te betalen.

CTB Locker word meestal verspreid via misleidende e-mails. Deze kunnen b.v. beweren dat je je aankopen moet bevestigen, betalingen goedkeuren enz.. Zodra je de nep bijlage download wordt je pc met deze ransomware geïnfecteerd.
Bovendien moet je voorzichtig zijn met vervelende pop-ups die je aanbieden om programma’s zoals Java of Flash Player bij te werken omdat deze ook kunnen leiden tot de infiltratie van CTB Locker.

Helaas werkt de encryptie heel erg goed en is het niet eenvoudig daar even vanaf te komen, of even een antivirus programmaatje op los te laten.

Het is beter hier niet zelf mee te beginnen. ik heb nu uitgebreide ervaring met de diverse vormen van het CTB-Locker virus. Het virus zelf is snel te verwijderen, het ongeschonden terughalen van je persoonlijke bestanden is wat meer werk.

Bestanden zijn niet makkelijk te ontsleutelen. Het beste is backups terug te zetten.

Voor meer informatie zie ook:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#enableapp

Voorkomen dat de computer ooit geïnfecteerd wordt met CTB Locker
Bel me ook om instellingen in de computer te doen die voorkomen dat dit kan gebeuren.

Referenties
Download de Group Policy Editor voor Windows 7 editiies die dat niet hebben ingebouwd zoals: Starter Edition, Home en Home Premium hier:.
http://drudger.deviantart.com/art/Add-GPEDIT-msc-215792914
Windows 7 x64 Users: You must go to the SysWOW64 folder and copy the GroupPolicy, GroupPolicyUsers folder and the gpedit.msc file into the System32 folder.
Under Computer Configuration and User Configuration, click/tap on and expand Windows Settings to see the Security Settings.
1.enter here: C:\Windows\SysWOW64\
2.select three files:
  (a) GroupPolicy          -- folder
  (b) GroupPolicyUsers  -- folder
  (c) gpedit.msc           -- file
3. cut it and paste on Windows\System32
4. " Windows + R ", and get it work. Good Luck!
Error Fix : If you got "MMC could not crate the snap-in." :
   Run the GPEDIT.MSC Installer and Leave it at the last step (Do no finish the setup)
   Go to C:\Windows\Temp\gpedit\ folder
   There Right Click on x86.bat (For 32bit Windows Users) or x64.bat (For 64bit Windows Users) and Open it with Notepad
   There in the notepad file you will find a total of 6 string lines containing the following : %username%:f
   So edit those lines and REPLACE %username%:f with “%username%”:f
   Save the File and Run the .bat file by Right Click -> Run As Administrator
   That’s it and you are all done.

You can now set and manage the Local Security Policies on your computer to how you want them.

 Below are a few Path Rules that are suggested you use to not only block the infections from running, but also to block attachments from being executed when opened in an e-mail client.

    Block CTB Locker executable in %AppData%

        Path: %AppData%\*.exe
        Security Level: Disallowed
        Description: Don't allow executables to run from %AppData%.

    Block CTB Locker executable in %LocalAppData%

        Path if using Windows XP: %UserProfile%\Local Settings\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\*.exe
        Security Level: Disallowed
        Description: Don't allow executables to run from %AppData%.

    Block Zbot executable in %AppData%

        Path: %AppData%\*\*.exe
        Security Level: Disallowed
        Description: Don't allow executables to run from immediate subfolders of %AppData%.

    Block Zbot executable in %LocalAppData%

        Path if using Windows XP: %UserProfile%\Local Settings\*\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\*\*.exe
        Security Level: Disallowed
        Description: Don't allow executables to run from immediate subfolders of %AppData%.

    Block executables run from archive attachments opened with WinRAR:

        Path if using Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
        Security Level: Disallowed
        Description: Block executables run from archive attachments opened with WinRAR.

    Block executables run from archive attachments opened with 7zip:

        Path if using Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
        Security Level: Disallowed
        Description: Block executables run from archive attachments opened with 7zip.

    Block executables run from archive attachments opened with WinZip:

        Path if using Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
        Security Level: Disallowed
        Description: Block executables run from archive attachments opened with WinZip.

    Block executables run from archive attachments opened using Windows built-in Zip support:

        Path if using Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
        Path if using Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
        Security Level: Disallowed
        Description: Block executables run from archive attachments opened using Windows built-in Zip support.

Bovenstaand op eigen risico natuurlijk. Maak eerst een backup alvorens het systeem te veranderen. Hou een logboek bij wat je precies doet, zodat je dingen wwer kunt terugdraaien.

 
Was dit artikel bruikbaar? ja / nee

Artikel details

Artikel ID: 73

Categorie: Virus vragen

Datum toegevoegd: 29-07-2015 10:08:31

Aantal bekeken: 2776

Beoordeling (Stemmen): Artikel beoordeeld 3.1/5.0 (15)

 
Powered by Help Desk Software HESK, brought to you by SysAid