Erebus-gijzelsoftware-virus. Hoe verwijderen? (Verwijder handleiding)

De Erebus-Linux-gijzelsoftware richt zich op servers

De Erebus-gijzelsoftware is een kwaadaardig programma dat Linux-systemen en vooral servers wil compromitteren. Net zoals elke andere gijzelsoftware, is het zijn primaire doel om zoveel mogelijk machines te corrumperen en daarna een erg hoog losgeldbedrag te vragen. De initiële versie van deze gijzelsoftware gebruikte de RSA-2048-encryptie, voegde .crypt-bestandsextensies toe aan bestanden en deponeerde twee bestanden in de vorm van losgeldbrieven: YOUR_FILES_HAS_BEEN_ENCRYPTED.txt” en “YOUR_FILES_HAS_BEEN_ENCRYPTED.html. Het virus gebruikte gehackte websites in Zuid-Korea als zijn Command en Control (C & C)-servers. De versie was in staat om meer dan 423 verschillende bestandstypen te versleutelen.

De volgende versie van de gijzelsoftware was ontworpen om de beheerfunctie van het gebruikersaccount (UAC) te omzeilen om zichzelf op te starten met hogere voorrechten. Het virus verklaarde dat als het slachtoffer niet zou voldoen aan zijn eisen en binnen 96 uur 0,085 BTC zou betalen, de bestanden van de computer zouden worden verwijderd. De geüpdatet versie verwijderde de volume-schaduwkopieën van het slachtoffer om te voorkomen dat hij de versleutelde bestanden gratis zou kunnen herstellen. Hoewel het aanhouden van een kopie van uw persoonlijke bestanden op een extern opslagapparaat u kan helpen om een ​​deel van uw werk op te slaan in geval van een gijzelsoftware-aanval, denken de meeste computergebruikers dat het niet nodig is om deze te maken. Als gevolg daarvan zullen ze later spijt hebben over verloren gegane  bestanden en wanhopig zoeken naar methodes om de verloren gegevens te herstellen. Het maakt niet uit of u een Windows-, Mac- of Linux-gebruiker bent. U moet preventieve maatregelen nemen om kwaadaardige aanvallen te voorkomen. We raden aan om software zoals Reimage of Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus te gebruiken voor het verwijderen van de gijzelsoftware. Om Erebus te verwijderen, moet u een software gebruiken die compatibel is met Linux.

Update in februari 2017: het Erebus-virus verbetert zich, en eist een kleiner losgeld

In februari hebben experts op het gebied van cyberbeveiliging een nieuwe versie van het Erebus-virus opgemerkt dat de doelbestanden versleutelt met een AES-encryptie en vervolgens hun bestandsextensies wijzigt met behulp van ROT-23-versleuteling. Daarna slaat het ‘t README.html-bestand op het bureaublad op. Het bestand bevat instructies over het herstellen van de bestanden. Zoals gebruikelijk voor dit type virus, dringt Erebus erop aan dat de slachtoffers binnen 96 uur betalen. Het is een tijdlang mode geweest bij hackers om eenmalig te gebruiken e-mailadressen te gebruiken voor het contacteren van de slachtoffers. Er is echter te weinig informatie of de cybercriminelen op slachtoffers reageren en de bestanden overdragen. Als u ook in de val van deze ransomware bent getrapt, concentreert u zich dan op de verwijdering van Erebus.

Momenteel omzeilt de huidige editie het User Account Control-venster, of met andere woorden, schakelt het de functie uit die dialoogvensters initieert voordat u een nieuw programma installeert. Evenzo ontneemt de Erebus-cryptomalware het slachtoffer de mogelijkheid om de infectie handmatig te lijf te gaan. Bovendien verandert het virus registersleutels om zijn eigen functionaliteit te versnellen. De gijzelsoftware lanceert een eventvwr.mscbestand dat daarna het eventvwr.msc-bestand opent, en daarom opent het willekeurig benoemde uitvoerder van het virus. Dankzij de mogelijkheid van EventViewer om te draaien in een verhoogde modus, zal de virus-uitvoerder worden gelanceerd met soortgelijke rechten.

⇦⇨

Slide 1 van 10

Vervolgens verbindt Erebus http://ipecho.net/plain en http://ipinfo.io/ met elkaar om de geografische locatie van een gebruiker te identificeren. In een later stadium zal het virus ook toegang krijgen tot het Tor-netwerk en verbinding maken met de Commando en Controle-server.

Onderschat deze gijzelsoftware niet omdat ze schaduw-volumekopieën schrapt, waardoor de slachtoffers minder kans hebben om gegevens te herstellen. Op dit moment vraagt ​​het een redelijk hoog bedrag aan losgeld – 0,85 BTC (aan de huidige koers van begin augustus 2017: 2,310 USD). Ten slotte lanceert het een extra bericht dat de gebruikers opnieuw informeert over de kaping van hun systeem door Erebus.

Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.

Update juni 2017: de Erebus-malware slaat toe bij een Zuid-Koreaans webhostingbedrijf

De beschreven malware heeft met succes het webhostingbedrijf Nayana in Zuid-Korea geïnfecteerd, waardoor de malware duizenden websites in gevaar kon brengen. De gijzelsoftware-aanval heeft meer dan honderd Linux-servers getroffen en het lijkt erop dat het de cybercriminelen aangemoedigd heeft om te vragen voor een belachelijk hoog losgeld, 10 Bitcoins, wat aan de koers van begin augustus 2017 meer dan $ 27.000 is. Later realiseerden de fraudeurs zich dat het losgeld te hoog was en verlaagden ze het naar 5.4 Bitcoin: ongeveer $ 14.700.

De gijzelsoftware vergrendelde databases, afbeeldingen en video's. Het bedrijf heeft verschillende berichten gepubliceerd op zijn officiële website, suggererend dat het spijt zou hebben over het ongemak en dat de juridische instanties het geval op dit moment onderzoeken. Intussen werken de medewerkers van Nayana hard om te reageren op klanten en de door hen aangeleverde back-upbestanden te herstellen. Het is ook bekend dat het bedrijf momenteel over het losgeldbedrag onderhandelt met de cybercriminelen.

De mededelingen op de officiële website van het bedrijf suggereren dat de cybercriminelen het bedrijf een aanzienlijke korting zouden hebben gegeven: een van de verstrekte berichten bevat een gedeelte van een reactie van de cybercriminelen waarin ze vragen ​​om 550 BTC. De fraudeurs bieden zelfs een berekening aan waaruit blijkt dat het bedrijf dat bedrag zou kunnen  betalen.

Distributietrucs

In tegenstelling tot andere gijzelsoftware-infecties concentreert het virus zich op malvertising om zijn aanvallen af ​​te leveren. Het werkt specifiek via advertenties waar gebruikers argeloos op klikken. Daarna worden ze doorgestuurd naar het domein dat besmet is met de RIG-exploitatiekit . Insgelijks, als een slachtoffer zich op een dergelijke website bevindt, is het slechts een kwestie van seconden waarbinnen de Erebus kaping zal plaatsvinden. Om het risico van een cyberaanval te vermijden of tenminste te verlagen, installeert u een goed beveiligingsprogramma en laat u dat de virtuele bedreiging aanpakken. Het is ook handig om bedreigingen van kaping door bijvoorbeeld trojans of andere kleinere bedreigingen te traceren.

Verwijder het Erebus-virus

Om de Erebus-gijzelsoftware succesvol te verwijderen, moet u een malware-eliminatieprogramma gebruiken. Daar zijn Reimage of Malwarebytes Anti Malware praktische instrumenten voor. Houd er rekening mee dat ze moeten worden bijgewerkt zodat ze alle componenten en registerposten van de bedreiging kunnen detecteren. Pas na de eliminatie, kunt u uw aandacht vestigen op de mogelijkheden om uw data te herstellen. Pas tenslotte op voor spamberichten, omdat ze vaak ook voorbodes zijn van bestandsversleutelende bedreigingen. Door de software bijgewerkt te houden en met de nodige voorzichtigheid op het internet te surfen, kunt u niet alleen het risico van de Erebus-gijzelsoftware beperken, maar ook van andere crypto-virussen.

Reimage is aangeraden om Erebus-gijzelsoftware-virus te verwijderen. Gratis scanners laten je toe om te kijken of je pc is geïnfecteerd of niet of je een malware moet verwijderen. Je zal de gelicenseerde versie van Reimage moeten kopen om de malware te verwijderen.
Meer informatie kan gevonden worden op Reimage review.