Verwijder Erebus virus (Verwijdering Instructies) - aug 2017 update
De Erebus-Linux-gijzelsoftware richt zich op servers
De Erebus-gijzelsoftware is een kwaadaardig programma dat Linux-systemen en vooral servers wil compromitteren. Net zoals elke andere gijzelsoftware, is het zijn primaire doel om zoveel mogelijk machines te corrumperen en daarna een erg hoog losgeldbedrag te vragen. De initiële versie van deze gijzelsoftware gebruikte de RSA-2048-encryptie, voegde .crypt-bestandsextensies toe aan bestanden en deponeerde twee bestanden in de vorm van losgeldbrieven: YOUR_FILES_HAS_BEEN_ENCRYPTED.txt” en “YOUR_FILES_HAS_BEEN_ENCRYPTED.html. Het virus gebruikte gehackte websites in Zuid-Korea als zijn Command en Control (C & C)-servers. De versie was in staat om meer dan 423 verschillende bestandstypen te versleutelen.
De volgende versie van de gijzelsoftware was ontworpen om de beheerfunctie van het gebruikersaccount (UAC) te omzeilen om zichzelf op te starten met hogere voorrechten. Het virus verklaarde dat als het slachtoffer niet zou voldoen aan zijn eisen en binnen 96 uur 0,085 BTC zou betalen, de bestanden van de computer zouden worden verwijderd. De geüpdatet versie verwijderde de volume-schaduwkopieën van het slachtoffer om te voorkomen dat hij de versleutelde bestanden gratis zou kunnen herstellen. Hoewel het aanhouden van een kopie van uw persoonlijke bestanden op een extern opslagapparaat u kan helpen om een deel van uw werk op te slaan in geval van een gijzelsoftware-aanval, denken de meeste computergebruikers dat het niet nodig is om deze te maken. Als gevolg daarvan zullen ze later spijt hebben over verloren gegane bestanden en wanhopig zoeken naar methodes om de verloren gegevens te herstellen. Het maakt niet uit of u een Windows-, Mac- of Linux-gebruiker bent. U moet preventieve maatregelen nemen om kwaadaardige aanvallen te voorkomen. We raden aan om software zoals Reimage of SpyHunter 5Combo Cleaner te gebruiken voor het verwijderen van de gijzelsoftware. Om Erebus te verwijderen, moet u een software gebruiken die compatibel is met Linux.
Update in februari 2017: het Erebus-virus verbetert zich, en eist een kleiner losgeld
In februari hebben experts op het gebied van cyberbeveiliging een nieuwe versie van het Erebus-virus opgemerkt dat de doelbestanden versleutelt met een AES-encryptie en vervolgens hun bestandsextensies wijzigt met behulp van ROT-23-versleuteling. Daarna slaat het ‘t README.html-bestand op het bureaublad op. Het bestand bevat instructies over het herstellen van de bestanden. Zoals gebruikelijk voor dit type virus, dringt Erebus erop aan dat de slachtoffers binnen 96 uur betalen. Het is een tijdlang mode geweest bij hackers om eenmalig te gebruiken e-mailadressen te gebruiken voor het contacteren van de slachtoffers. Er is echter te weinig informatie of de cybercriminelen op slachtoffers reageren en de bestanden overdragen. Als u ook in de val van deze ransomware bent getrapt, concentreert u zich dan op de verwijdering van Erebus.
Momenteel omzeilt de huidige editie het User Account Control-venster, of met andere woorden, schakelt het de functie uit die dialoogvensters initieert voordat u een nieuw programma installeert. Evenzo ontneemt de Erebus-cryptomalware het slachtoffer de mogelijkheid om de infectie handmatig te lijf te gaan. Bovendien verandert het virus registersleutels om zijn eigen functionaliteit te versnellen. De gijzelsoftware lanceert een eventvwr.mscbestand dat daarna het eventvwr.msc-bestand opent, en daarom opent het willekeurig benoemde uitvoerder van het virus. Dankzij de mogelijkheid van EventViewer om te draaien in een verhoogde modus, zal de virus-uitvoerder worden gelanceerd met soortgelijke rechten.
De Erebus-malware maakt de UAC-functie onbruikbaar
Vervolgens verbindt Erebus http://ipecho.net/plain en http://ipinfo.io/ met elkaar om de geografische locatie van een gebruiker te identificeren. In een later stadium zal het virus ook toegang krijgen tot het Tor-netwerk en verbinding maken met de Commando en Controle-server.
Onderschat deze gijzelsoftware niet omdat ze schaduw-volumekopieën schrapt, waardoor de slachtoffers minder kans hebben om gegevens te herstellen. Op dit moment vraagt het een redelijk hoog bedrag aan losgeld – 0,85 BTC (aan de huidige koers van begin augustus 2017: 2,310 USD). Ten slotte lanceert het een extra bericht dat de gebruikers opnieuw informeert over de kaping van hun systeem door Erebus.
Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.
Update juni 2017: de Erebus-malware slaat toe bij een Zuid-Koreaans webhostingbedrijf
De beschreven malware heeft met succes het webhostingbedrijf Nayana in Zuid-Korea geïnfecteerd, waardoor de malware duizenden websites in gevaar kon brengen. De gijzelsoftware-aanval heeft meer dan honderd Linux-servers getroffen en het lijkt erop dat het de cybercriminelen aangemoedigd heeft om te vragen voor een belachelijk hoog losgeld, 10 Bitcoins, wat aan de koers van begin augustus 2017 meer dan $ 27.000 is. Later realiseerden de fraudeurs zich dat het losgeld te hoog was en verlaagden ze het naar 5.4 Bitcoin: ongeveer $ 14.700.
De gijzelsoftware vergrendelde databases, afbeeldingen en video's. Het bedrijf heeft verschillende berichten gepubliceerd op zijn officiële website, suggererend dat het spijt zou hebben over het ongemak en dat de juridische instanties het geval op dit moment onderzoeken. Intussen werken de medewerkers van Nayana hard om te reageren op klanten en de door hen aangeleverde back-upbestanden te herstellen. Het is ook bekend dat het bedrijf momenteel over het losgeldbedrag onderhandelt met de cybercriminelen.
De mededelingen op de officiële website van het bedrijf suggereren dat de cybercriminelen het bedrijf een aanzienlijke korting zouden hebben gegeven: een van de verstrekte berichten bevat een gedeelte van een reactie van de cybercriminelen waarin ze vragen om 550 BTC. De fraudeurs bieden zelfs een berekening aan waaruit blijkt dat het bedrijf dat bedrag zou kunnen betalen.
Distributietrucs
In tegenstelling tot andere gijzelsoftware-infecties concentreert het virus zich op malvertising om zijn aanvallen af te leveren. Het werkt specifiek via advertenties waar gebruikers argeloos op klikken. Daarna worden ze doorgestuurd naar het domein dat besmet is met de RIG-exploitatiekit . Insgelijks, als een slachtoffer zich op een dergelijke website bevindt, is het slechts een kwestie van seconden waarbinnen de Erebus kaping zal plaatsvinden. Om het risico van een cyberaanval te vermijden of tenminste te verlagen, installeert u een goed beveiligingsprogramma en laat u dat de virtuele bedreiging aanpakken. Het is ook handig om bedreigingen van kaping door bijvoorbeeld trojans of andere kleinere bedreigingen te traceren.
Verwijder het Erebus-virus
Om de Erebus-gijzelsoftware succesvol te verwijderen, moet u een malware-eliminatieprogramma gebruiken. Daar zijn Reimage of Malwarebytes praktische instrumenten voor. Houd er rekening mee dat ze moeten worden bijgewerkt zodat ze alle componenten en registerposten van de bedreiging kunnen detecteren. Pas na de eliminatie, kunt u uw aandacht vestigen op de mogelijkheden om uw data te herstellen. Pas tenslotte op voor spamberichten, omdat ze vaak ook voorbodes zijn van bestandsversleutelende bedreigingen. Door de software bijgewerkt te houden en met de nodige voorzichtigheid op het internet te surfen, kunt u niet alleen het risico van de Erebus-gijzelsoftware beperken, maar ook van andere crypto-virussen.
Manuele Erebus virus Verwijdering Handleiding:
Verwijder Erebus door Safe Mode with Networking te gebruiken
Van sommige bestandsversleutelende bedreigingen is bekend dat ze het computerscherm vergrendelen of andere belangrijke systeemfuncties kapen. Het is waarschijnlijk dat de huidige bedreiging een van hen is. Als gevolg hiervan is het waarschijnlijk dat u problemen bij de verwijdering van Erebus kunt ondervinden. Daarom zullen deze instructies (ontworpen voor Windows-gebruikers) u helpen om weer toegang te krijgen.
-
Stap 1: Herstart je computer in Safe Mode with Networking
Windows 7 / Vista / XP- Klik op Start → Shutdown → Restart → OK.
- Als je pc actief wordt begin dan meerdere keren te drukken op F8 tot je het Advanced Boot Options venster ziet
-
Selecteer Safe Mode with Networking uit de lijst
Windows 10 / Windows 8- Druk op de Power knop in het Windows aanmeld scherm. Druk nu op Shift op je toetsenbord en hou ingedrukt, en klik dan op Restart.
- Selecteer nu Troubleshoot → Advanced options → Startup Settings en tenslotte druk op Restart
-
Zodra je pc actief wordt, selecteer je Enable Safe Mode with Networking in het Startup Settings venster
-
Stap 2: Haal Erebus weg
Log in op je geïnfecteerde account en start je browser. Download Reimage of andere betrouwbare anti-spyware programma's. Update het voordat je een volledige scan uitvoert en verwijder nadien de bestanden die tot je ransomware behoren en voltooi Erebus verwijdering.
Als je ransomware Safe Mode with Networking blokkeert, probeer dan een andere methode
Verwijder Erebus door System Restore te gebruiken
Als de automatische eliminatie niet verloopt zoals gepland, kies dan voor de laatste methode.
-
Stap 1: Herstart je computer in Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klik op Start → Shutdown → Restart → OK.
- Als je pc actief wordt begin dan meerdere keren te drukken op F8 tot je het Advanced Boot Options venster ziet
-
Selecteer Command Prompt uit de lijst
Windows 10 / Windows 8- Druk op de Power knop in het Windows aanmeld scherm. Druk nu op Shift op je toetsenbord en hou ingedrukt, en klik dan op Restart.
- Selecteer nu Troubleshoot → Advanced options → Startup Settings en tenslotte druk op Restart
-
Zodra je pc actief wordt, selecteer je Enable Safe Mode with Command Prompt in het Startup Settings venster
-
Stap 2: Herstel je systeembestanden en instellingen
-
Zodra het Command Prompt venster verschijnt, geef je cd restore in en klik op Enter
-
Typ nu rstrui.exe en klik opnieuw op Enter.
-
Als een nieuw venster verschijnt, klik je op Next en seleteer het herstelpunt dat voor de infiltratie van Erebus is. Klik nadien op Next
-
Klik nu op Yes om het systeemherstel te starten
-
Zodra het Command Prompt venster verschijnt, geef je cd restore in en klik op Enter
Bonus: Herstel je data
De handleiding hierboven wordt verondersteld je te helpen bij het verwijderen van Erebus van je computer. Om je gecodeerde bestanden te herstellen, raden we je aan om de gedetailleerde handleiding te gebruiken die opgesteld werd door zondervirus.nl beveiliging expertenHelaas kunnen bestanden die op Linux-systemen zijn vergrendeld, alleen worden hersteld met behulp van gegevensback-ups. Als u die niet heeft, kunnen uw bestanden niet worden hersteld.
Als je bestanden gecodeerd werden door Erebus, kan je verschillende methodes gebruiken om ze te herstellen
Er zijn geen tools beschikbaar voor de decodering van Erebus
Tenslotte zou je er steeds moten aan denken om je pc te beschermen tegen crupto-ransomware. Om je pc tegen Erebus en andere ransomwares te beschermen, gebruik je best een betrouwbare anti-spyware zoals Reimage, SpyHunter 5Combo Cleaner of Malwarebytes