Verwijder Mamba virus (Verwijdering Instructies) - aug 2017 update
Mamba virus Verwijdering Handleiding
Wat is Mamba-gijzelsoftware-virus?
De Mamba-gijzelsoftware is terug en richt zich op bedrijfsnetwerken in Brazilië en Saoedi-Arabië
Mamba is een bestandsversleutelend-virus dat in november 2016 opdook toen het het gemeentelijk vervoersbureau van San Francisco aanviel en een losprijs van $ 73.000 eiste. In augustus 2017 keerde de gijzelsoftware terug en viel meerdere bedrijven in Brazilië en Saoedi-Arabië aan.
De Mamba-gijzelsoftware staat ook bekend onder de naam HDD Cryptor. Er is ontdekt dat het een soortgelijke schijfcoderingstechniek gebruikt die aan de modus operandi van Petya doet denken. Deze nieuwe gijzelsoftware richt zich echter op het coderen van data en niet de hoofdbestandstabel, zoals Petya dat doet. Daarvoor maakt het gebruik van de DiskCryptor-software.
Naar verluidt levert het virus 152.exe of 141.exe bestanden af op de computer, die verantwoordelijk zijn voor het uitvoeren van het coderingsproces. Nadat de bestanden van het slachtoffer zijn gecodeerd, herstart het virus de computer en verschijnt het volgende bericht op het opstartscherm:
“You are Hacked ! H.D.D. Encrypted , Contact Us For Decryption Key (w889901665@yandex.com)
YOURID: [Victim’s ID]”
Het slachtoffer kan het decoderingswachtwoord invoeren op het opstartscherm; maar hij of zij moet er eerst een krijgen. Slachtoffers moeten contact opnemen met de auteurs van deze malware en informatie krijgen over hoe ze de data kunnen decoderen en weer toegang krijgen tot hun computer. Dit virus vraagt om een losprijs van 1 BTC per host te betalen. Het geld moet worden overgeboekt naar een opgegeven Bitcoin portemonnee.
We adviseren gebruikers echter om het losgeld NIET te betalen aangezien het geen garantie geeft dat bestanden zullen worden gedecodeerd. De verwijdering van Mamba is van het grootste belang en dat moet worden gedaan met behulp van anti-malware tools, zoals bijvoorbeeld FortectIntego of SpyHunter 5Combo Cleaner.
De Mamba-gijzelsoftware lanceerde nieuwe aanvallen in augustus 2017
Het Mamba-virus gebruikt het PSEXEC-hulpprogramma om de gijzelsoftware op het netwerk te installeren en uit te voeren. Hetzelfde gedrag hebben we gezien bij de NotPetya-operatie. Wanneer het netwerk wordt gecompromitteerd, wordt er een C: \xampp\http-map geïnstalleerd waarin DiskCryptor-componenten worden geïnstalleerd. Dit hulpprogramma wordt gebruikt voor het uitvoeren van gijzelsoftware op de lokale computer.
Dit gereedschap genereert ook voor alle afzonderlijke computers unieke wachtwoorden die verbonden zijn met hetzelfde netwerk door deze opdracht uit te voeren:
C: \TEMP\721.exe longPassword /accepteula
Een van de geniepigste kenmerken van de malware is dat het zichzelf installeert als een Windows Service en zich verbergt achter de naam:’DefragmentationService’. Het krijgt ook LocalSystem-privileges, zodat Mamba volledige controle over de computer krijgt.
Wanneer de voorbereidende werkzaamheden voorbij zijn en alle kwaadaardige componenten zijn geïnstalleerd op het systeem, herstart de malware het betreffende apparaat opnieuw. Vervolgens configureert de bootloader naar Master Boot Record (MBR) en start de codering van data met DiskCryptor.
Mamba codeert schijfpartities en toont een ongewone losgeldbrief. De cybercriminelen vragen om contact met hen op te nemen via een van de opgegeven e-mails om de decoderingssleutel te krijgen:
- mcrytp2017@yandex.com
- citrix2234@protonmail.com
De losgeldbrief bevat ook het unieke identiteitsnummer van het slachtoffer. We raden u echter aan om uw tijd niet te verspillen aan het communiceren met de criminelen en het opvolgen van hun eisen. U moet Mamba automatisch verwijderen en uw bestanden herstellen vanaf back-ups of alternatieve herstelmethoden gebruiken.
Het Mamba-gijzelsoftware-virus installeert het PSEXEC-hulpprogramma en voert gijzelsoftware uit op het netwerk en codeert bestanden met behulp van de DiskDryptor-software.
Mamba viel in november 2016 het openbaar vervoerssysteem van San Francisco aan
Eind november 2016 slaagde de Mamba-gijzelsoftware erin om in te breken in de servers van het San Fransisco Municipal Rail System en corrumpeerde het essentiële bestanden met een niet open te breken codering. Volgens rapporten heeft het virus 2112 computers aangevallen van in totaal 8656, het e-mailsysteem geblokkeerd, het betalingssysteem en ook het spoorplanningssysteem.
Het virus vertoonde hetzelfde bericht op alle computers van het spoorwegsysteem: You hacked, all data encrypted, contact for a key (cryptom27@yandex.ru). Ransomware managed to take down ticket dispensers, too.
Bovendien heeft de auteur van de Mamba-malware op een aantal journalisten gereageerd in de krant van San Francisco, zeggende dat hij het spoorwegsysteem niet wilde infecteren, maar omdat het toch al is gebeurd, de organisatie 100 Bitcoin moet betalen (op dat moment de tegenwaarde van 73.000 dollar) om de software voor het decoderen te krijgen.
De auteur noemt zich Any Saolis, maar natuurlijk, is dat niet de echte naam van de dader. Bovendien heeft de aanvaller bekendgemaakt dat hij toegang heeft gekregen tot geheime documenten van het bedrijf en dat hij deze online zal publiceren als het spoorwegbedrijf weigert het losgeld te betalen .
Echter, het bedrijf heeft het systeem al hersteld en bevestigd dat de aanvallers helemaal geen toegang hebben gehad tot geheime gegevens . Het losgeld is niet betaald.
Distributiemethoden van het gijzelsoftware-virus
Het virus verspreidt zich als een Trojaans paard, zodat de pc-gebruiker het kan installeren terwijl hij denkt dat het een onschadelijk bestand is. U kunt het downloaden vanaf een e-mail na het openen van een besmettelijke e-mailbijlage of het opstarten van een schadelijke software-update.
Daardoor is het ten zeerste aanbevolen om ver uit de buurt te blijven van websites die dubieuze downloads bevatten of pop-upwaarschuwingen tonen waarin wordt verklaard dat u uw software dringend moet bijwerken. Dergelijke nep updates bevatten meestal malware.
Daarnaast verspreiden gijzelsoftware-bedreigingen zich vaak met behulp van explotatiekits. Om aanvallen van gijzelsoftware te voorkomen, moeten gebruikers:
- hun computers vooraf beschermen door anti-malware programma's te installeren;
- data backups maken;
- wegblijven van dubieuze sites op het internet.
Instructies voor het elimineren van de Mamba-gijzelsoftware
Verwijderingshandleiding voor de Mamba-gijzelsoftware
Om het Mamba-virus te verwijderen, is het raadzaam om anti-malware-hulpprogramma's te gebruiken, zoals FortectIntego of SpyHunter 5Combo Cleaner, precies zoals we al hebben vermeld. We raden aan om deze te gebruiken omdat ze zijn geprogrammeerd door IT-experts die elk virus individueel analyseren en algoritmen maken die alle bestanden die aan virussen toebehoren kunnen opsporen en verwijderen.
Tenzij u een geavanceerde IT-expert bent, moet u de Mamba-verwijdering niet handmatig proberen uit te voeren, omdat u dan de kans loopt dat u verkeerde bestanden verwijdert, en viruscomponenten en andere ongewenste onderdelen op het computersysteem achterlaat.
Momenteel is er nog geen gratis Mamba-decodeertool; daarom is de enige manier om bestanden te herstellen, het kopiëren en weer terugzetten ervan op de computer vanaf een back-up.
Manuele Mamba virus Verwijdering Handleiding
Gijzelsoftware: handmatig gijzelsoftware verwijderen in veilige modus
Als u de automatische Mamba-eliminatie niet kunt uitvoeren, volgt u de volgende stappen op:
Belangrijk! →
Een handmatige verwijdering gids zou te ingewikkeld kunnen zijn voor occasionele computergebruikers. Het vereist dat geavanceerde IT-kennis correct worden uitgevoerd (als vitale systeembestanden worden verwijderd of beschadigd, kan dit leiden tot een volledige aantasting van Windows), en het kan ook uren duren om te voltooien. Daarom raden wij je aan de automatische methode hierboven te gebruiken.
Stap 1. Toegang tot veilige modus met netwerken
Handmatige verwijdering van malware kan het beste worden uitgevoerd in de veilige modus.
Windows 7 / Vista / XP
- Klik Start > Afsluiten > Herstart > OK
- Wanneer je computer actief wordt, druk dan op de F8 toets (als dat niet werkt, probeer dan F2, F12, Del, enz. – het hangt allemaal af van je moederbord model) meerdere malen totdat je het Advanced Boot Options venster ziet.
- Selecteer Veilige Modus met Netwerk in de lijst.
Windows 10 / Windows 8
- Klik met de rechtermuisknop op Start en selecteer Instellingen.
- Scroll naar beneden en kies Update & Security.
- Kies Herstel aan de linkerkant van het venster.
- Scroll nu naar beneden naar het onderdeel Geavanceerd opstarten.
- Klik op Nu opnieuw heropstarten.
- Selecteer Probleemoplossing
- Ga naar Geavanceerde opties.
- Selecteer Opstartinstellingen.
- Klik op Herstarten.
- Klik nu op 5 of klik op 5) Veilige modus met Netwerken inschakelen.
Stap 2. Sluit verdachte processen af
Windows Taakbeheer is een handig hulpmiddel dat alle processen toont die op de achtergrond draaien. Als malware een proces uitvoert, moet je het afsluiten:
- Klik op Ctrl + Shift + Esc op je toetsenbord om Windows Taakbeheer te openen.
- Klik op Meer details.
- Scroll naar beneden naar het gedeelte Achtergrond processen en kijk of er iets verdachts is.
- Klik met de rechtermuisknop en selecteer Open bestandslocatie.
- Go back to the process, right-click and pick End Task.
- Verwijder de inhoud van de schadelijke map.
Stap 3. Controleer programma Opstarten
- Klik op Ctrl + Shift + Esc op je toetsenbord om Windows Taakbeheer te openen.
- Ga naar tabblad Opstarten.
- Klik met de rechtermuisknop op het verdachte programma en kies Uitschakelen.
Stap 4. Verwijder virusbestanden
Malware-gerelateerde bestanden kunnen op verschillende plaatsen in je computer worden gevonden. Hier zijn instructies die je kunnen helpen ze te vinden:
- Typ in Windows Zoeken Schijfopruiming in en klik op Enter.
- Selecteer de schijf die je wilt opschonen (C: is standaard je hoofdschijf en is waarschijnlijk de schijf met de schadelijke bestanden).
- Blader door de lijst met te verwijderen bestanden en selecteer het volgende:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Kies systeembestanden opschonen.
- Je kunt ook zoeken naar andere schadelijke bestanden die verborgen zijn in de volgende mappen (typ deze items in Windows Zoeken en klik op Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Herstart de pc in normale modus wanneer je klaar bent.
Verwijder Mamba door System Restore te gebruiken
-
Stap 1: Herstart je computer in Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klik op Start → Shutdown → Restart → OK.
- Als je pc actief wordt begin dan meerdere keren te drukken op F8 tot je het Advanced Boot Options venster ziet
- Selecteer Command Prompt uit de lijst
Windows 10 / Windows 8- Druk op de Power knop in het Windows aanmeld scherm. Druk nu op Shift op je toetsenbord en hou ingedrukt, en klik dan op Restart.
- Selecteer nu Troubleshoot → Advanced options → Startup Settings en tenslotte druk op Restart
- Zodra je pc actief wordt, selecteer je Enable Safe Mode with Command Prompt in het Startup Settings venster
-
Stap 2: Herstel je systeembestanden en instellingen
- Zodra het Command Prompt venster verschijnt, geef je cd restore in en klik op Enter
- Typ nu rstrui.exe en klik opnieuw op Enter.
- Als een nieuw venster verschijnt, klik je op Next en seleteer het herstelpunt dat voor de infiltratie van Mamba is. Klik nadien op Next
- Klik nu op Yes om het systeemherstel te starten
Bonus: Herstel je data
De handleiding hierboven wordt verondersteld je te helpen bij het verwijderen van Mamba van je computer. Om je gecodeerde bestanden te herstellen, raden we je aan om de gedetailleerde handleiding te gebruiken die opgesteld werd door zondervirus.nl beveiliging expertenHoewel er nog geen gratis decodeertool is vrijgegeven, moet u niet in paniek raken en u niet haasten om het losgeld te betalen. De criminelen kunnen u namelijk een besmet bestand sturen samen met de decoderingssoftware, of helemaal geen decodeertool aanbieden. Als u wilt, kunt u wachten: soms zijn beveiligingsexperts in staat om gratis decodeertools te ontwikkelen als ze de gijzelsoftware-code kunnen kraken. Uiteraard kunt u uw bestanden herstellen vanaf een back-updisk of drive: verwijder wel eerst het Mamba-virus.
Als je bestanden gecodeerd werden door Mamba, kan je verschillende methodes gebruiken om ze te herstellen
Data Recovery Pro kan u helpen om uw gegevens te herstellen
Data Recovery Pro kan u helpen om uw gegevens te herstellen:
- Download Data Recovery Pro;
- Volg de stappen in de Data Recovery Setup en installeer het programma op je computer;
- Start het en scan je computer op bbestanden gecodeerd door de Mamba ransomware;
- Herstel ze.
De Mamba-decryptor is nog niet beschikbaar
Tenslotte zou je er steeds moten aan denken om je pc te beschermen tegen crupto-ransomware. Om je pc tegen Mamba en andere ransomwares te beschermen, gebruik je best een betrouwbare anti-spyware zoals FortectIntego, SpyHunter 5Combo Cleaner of Malwarebytes
Aanbevolen voor jou
Laat u niet bespioneren door de overheid
De overheid heeft veel problemen met het bijhouden van gebruikersgegevens en het bespioneren van burgers, dus u moet hier rekening mee houden en meer leren over dubieuze informatieverzamelingspraktijken. Vermijd ongewenste tracering door de overheid of spionage door volledig anoniem op het internet te surfen.
U kunt een andere locatie kiezen wanneer u online gaat en toegang krijgen tot eender welk gewenst materiaal, zonder bijzondere inhoudelijke beperkingen. Door gebruik te maken van Private Internet Access VPN, kunt u eenvoudig genieten van een internetverbinding zonder risico's op hacken.
Controleer de informatie die toegankelijk is voor de overheid of elke andere ongewenste partij en surf online zonder bespioneerd te worden. Ook als u niet betrokken bent bij illegale activiteiten of vertrouwen heeft in uw selectie van diensten en platformen, dient u voor uw eigen veiligheid achterdochtig te zijn en voorzorgsmaatregelen te nemen door gebruik te maken van een VPN-dienst.
Back-upbestanden voor later gebruik, in het geval van een malware-aanval
Softwareproblemen als gevolg van malware of direct gegevensverlies door versleuteling kunnen leiden tot problemen met uw apparaat of permanente schade. Als u over goede, actuele back-ups beschikt, kunt u na een dergelijke gebeurtenis gemakkelijk herstellen en weer aan het werk gaan.
Het is van essentieel belang om updates te maken van uw back-ups na eventuele wijzigingen op het apparaat, zodat u terug kunt keren naar het punt waar u aan werkte wanneer malware iets verandert of problemen met het apparaat gegevens- of prestatiecorruptie veroorzaken. Vertrouw op dergelijk gedrag en maak een dagelijkse of wekelijkse back-up van uw bestanden.
Als u beschikt over de vorige versie van elk belangrijk document of project, kunt u frustratie en problemen voorkomen. Het komt goed van pas wanneer malware uit het niets opduikt. Gebruik Data Recovery Pro voor systeemherstel doeleinden.