Stokoude browsers ondersteunen wij niet. Werk uw browser bij als u de inhoud van deze pagina goed wilt zien.

Gratis tools voor het ontsleutelen van ransomware

Getroffen door ransomware? Betaal geen losgeld!

ONTSLEUTELINGSTOOLS DOWNLOADEN

Kies het soort ransomware

Met onze gratis tools voor het ontsleutelen van ransomware kunt u bestanden decoderen die met de volgende soorten ransomware zijn versleuteld. Klik op een naam om de tekenen van infectie weer te geven en onze gratis fix te gebruiken.

U wilt toekomstige ransomware-infecties voorkomen?
Download Avast Free Antivirus

AES_NI

De ransomware AES_NI werd voor het eerst gesignaleerd in december 2016. Sindsdien duiken er van tijd tot tijd varianten op, met verschillende bestandsextensies. De ransomware gebruikt de AES256-versleuteling in combinatie met RSA-2048 voor het versleutelen van bestanden.

Wijzigingen van bestandsnamen:

De ransomware voegt een van de volgende extensies toe aan versleutelde bestanden:
.aes_ni
.aes256
.aes_ni_0day

In elke map met ten minste één versleuteld bestand is het bestand '!!! READ THIS - IMPORTANT !!!.txt’ te vinden. Daarnaast wordt er een sleutelbestand gemaakt met een naam die lijkt op: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in de map C:\ProgramData.

Losgeldbericht:

Het bestand “!!! READ THIS - IMPORTANT !!!.txt” bevat de volgende losgeldeis:

Alcatraz Locker

Alcatraz Locker is een ransomwarevariant die medio november 2016 voor het eerst werd aangetroffen. Deze ransomware gebruikt de AES256-versleuteling in combinatie met de Base64-versleuteling voor het versleutelen van de bestanden.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben de extensie .Alcatraz.

Losgeldbericht:

Na versleuteling van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand ransomed.html op het bureaublad van de gebruiker):

Als uw bestanden zijn versleuteld met Alcatraz Locker, klikt u hier om onze gratis fix te downloaden:

Apocalypse

Apocalypse is een ransomwarevariant die voor het eerst werd aangetroffen in juni 2016. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

Apocalypse voegt .encrypted, .FuckYourData, .locked, .Encryptedfile of .SecureCrypted toe aan het einde van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc.locked).

Losgeldbericht:

Als u een bestand opent met de extensie .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt of .Where_my_files.txt (bijvoorbeeld Scriptie.doc.How_To_Decrypt.txt), wordt er een variant van dit bericht weergegeven:



AtomSilo en LockFile

AtomSilo en LockFile zijn twee vormen van ransomware die zijn geanalyseerd door Jiří Vinopal. Bij beide wordt gebruikgemaakt van een sterk vergelijkbaar versleutelingsschema, dus deze ontsleutelingstool werkt voor beide varianten. Slachtoffers kunnen hun bestanden gratis ontsleutelen.

Wijzigingen van bestandsnamen:

U herkent versleutelde bestanden aan een van deze extensies:
.ATOMSILO
.lockfile

In elke map met ten minste één versleuteld bestand bevindt zich ook een bestand met een losgeldbericht met de naam README-FILE-%ComputerName%-%Number%.hta of LOCKFILE-README-%ComputerName%-%Number%.hta. Voorbeeld:

  • README-FILE-JOHN_PC-1634717562.hta
  • LOCKFILE-README-JOHN_PC-1635095048.hta

Babuk

Babuk is ransomware van Russische makelij. In september 2021 is de broncode uitgelekt, met een aantal ontsleutelingssleutels. Slachtoffers kunnen hun bestanden gratis ontsleutelen.

Wijzigingen van bestandsnamen:

Wanneer Babuk een bestand versleutelt, wordt een van de volgende extensies achter de bestandsnaam geplakt:
.babuk
.babyk
.doydo

In elke map met ten minste één versleuteld bestand kan het bestand Help Restore Your Files.txt worden aangetroffen, met de volgende inhoud:

BadBlock

BadBlock is een ransomwarevariant die voor het eerst werd aangetroffen in mei 2016. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

BadBlock wijzigt de namen van uw bestanden niet.

Losgeldbericht:

Na versleuteling van uw bestanden door BadBlock verschijnt een van de volgende berichten (in een bestand genaamd Help Decrypt.html):

Als uw bestanden zijn versleuteld met BadBlock, klikt u hier om onze gratis fix te downloaden:



Bart

Bart is een vorm van ransomware die eind juni 2016 voor het eerst werd aangetroffen. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

Bart voegt .bart.zip toe aan het eind van de bestandsnaam. (Scriptie.doc wordt bijvoorbeeld Scriptie.docx.bart.zip). Dit zijn versleutelde ZIP-archieven die de oorspronkelijke bestanden bevatten.

Losgeldbericht:

Na versleuteling van uw bestanden door Bart wordt de achtergrond van uw bureaublad gewijzigd in een afbeelding zoals hieronder. De tekst op deze afbeelding kan ook worden gebruikt om vast te stellen of het om Bart gaat en wordt op het bureaublad opgeslagen in bestanden met de naam recover.bmp en recover.txt.

Als uw bestanden zijn versleuteld met Bart, klikt u hier om onze gratis fix te downloaden:

Dankwoord: we willen graag Peter Conrad bedanken, auteur van PkCrack, die ons toestemming heeft gegeven om zijn bibliotheek te gebruiken in onze ontsleutelingstool voor Bart.

BigBobRoss

BigBobRoss versleutelt bestanden van gebruikers met behulp van de AES128-versleuteling. Achter de bestandsnaam van versleutelde bestanden wordt de nieuwe extensie ‘.obfuscated’ (Engels voor vertroebeld of versluierd) geplakt.

Wijzigingen van bestandsnamen:

De ransomware voegt de volgende extensie toe: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Losgeldbericht:

Daarnaast wordt er in elke map een tekstbestand gegenereerd met de naam ‘Read Me.txt’. Hieronder vindt u de inhoud van het bestand.

BTCWare

BTCWare is een ransomwarevariant die voor het eerst opdook in maart 2017. Sindsdien zijn we er vijf varianten van tegengekomen die we kunnen onderscheiden op basis van de extensie van het versleutelde bestand. De ransomware gebruikt twee verschillende versleutelingsmethoden: RC4 en AES 192.

Wijzigingen van bestandsnamen:

Versleutelde bestandsnamen zien er als volgt uit:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Ook kunt u een van de volgende bestanden aantreffen op de pc
Key.dat in %USERPROFILE%\Desktop

1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf of !#_DECRYPT_#!.inf in elke map met ten minste één versleuteld bestand.

Losgeldbericht:

Nadat uw bestanden zijn versleuteld, wordt de bureaubladachtergrond als volgt gewijzigd:

Daarnaast ziet u mogelijk een van de volgende losgeldberichten:

Crypt888

Crypt888 (ook bekend onder de naam Mircop) is een ransomwarevariant die voor het eerst werd aangetroffen in juni 2016. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

Crypt888 voegt Lock. toe aan het begin van bestandsnamen. (bijv. Scriptie.doc = Lock.Scriptie.doc)

Losgeldbericht:

Na versleuteling van uw bestanden door Crypt888 wordt de achtergrond van uw bureaublad in een van de volgende gewijzigd:

Als uw bestanden zijn versleuteld met Crypt888, klikt u hier om onze gratis fix te downloaden:

CryptoMix (offline)

CryptoMix (ook bekend onder de naam CryptFile2 of Zeta) is een ransomwarevariant die voor het eerst werd ontdekt in maart 2016. Begin 2017 verscheen er een nieuwe variant van CryptoMix: CryptoShield. Beide varianten versleutelen bestanden met behulp van AES256 en een unieke sleutel die wordt gedownload van een externe server. Als de server echter niet beschikbaar is of de gebruiker geen verbinding met internet heeft, versleutelt de ransomware bestanden met behulp van een vaste sleutel (een ‘offlinesleutel’).

Belangrijk: de bijgeleverde ontsleutelingstool ondersteunt alleen bestanden die zijn versleuteld met behulp van een ‘offlinesleutel’. In gevallen waarin de offlinesleutel niet is gebruikt om bestanden te versleutelen, kan onze tool de bestanden niet herstellen en worden er geen bestanden gewijzigd.
Update 21 juli 2017: de ontsleutelingstool is bijgewerkt en werkt nu ook voor de Mole-variant.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl of .MOLE.

Losgeldbericht:

Na het versleutelen van bestanden bevinden zich mogelijk de volgende bestanden op de pc:

Als uw bestanden zijn versleuteld met Cryptomix, klikt u hier om onze gratis fix te downloaden:

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, Aura of Dharma) is een ransomwarevariant die vanaf september 2015 wordt waargenomen. Het maakt gebruikt van AES256 in combinatie met asymmetrische RSA1024-versleuteling.

Wijzigingen van bestandsnamen:

Versleutelde bestanden kunnen verschillende extensies hebben, onder andere:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Losgeldbericht:

Na versleuteling van uw bestanden wordt een van de volgende berichten weergegeven (zie onderstaand). Het bericht is te vinden in ‘Decryption instructions.txt’, ‘Decryptions instructions.txt’, ‘README.txt’, ‘Readme to restore your files.txt’ of ‘HOW TO DECRYPT YOUR DATA.txt’ op het bureaublad van de gebruiker. Ook wordt de bureaubladachtergrond gewijzigd in een van de volgende afbeeldingen.

Als uw bestanden zijn versleuteld met CrySiS, klikt u hier om onze gratis fix te downloaden:

EncrypTile

EncrypTile is een ransomwarevariant die we voor het eerst tegenkwamen in november 2016. Na een half jaar troffen we een nieuwe, definitieve versie van deze ransomware aan. Deze maakt gebruik van de AES128-versleuteling, waarbij een onveranderlijke sleutel wordt gebruikt voor een specifieke combinatie van pc en gebruiker.

Wijzigingen van bestandsnamen:

De ransomware voegt het woord ‘encrypTile’ toe aan de bestandsnaam:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Daarnaast worden er vier nieuwe bestanden gegenereerd op het bureaublad van de gebruiker. De namen van deze bestanden worden aangepast aan het land. Dit zijn de Engelse versies:

Losgeldbericht:
De ontsleutelingstool gebruiken

Wanneer de ransomware actief is, voorkomt deze dat de gebruiker een tool uitvoert waarmee de ransomware mogelijk zou kunnen worden verwijderd. In de blogpost vindt u uitgebreidere instructies over het gebruik van de ontsleutelingstool voor het geval dat de ransomware actief is op uw computer.

FindZip

FindZip is een ransomwarevariant die eind februari 2017 is waargenomen. Deze ransomware verspreidt zich via Mac OS X (versie 10.11 of nieuwer). Tijdens de versleuteling worden versleutelde zip-archieven gemaakt met daarin het oorspronkelijke document.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben de extensie .crypt.

Losgeldbericht:

Na versleuteling van uw bestanden worden er verschillende bestanden gegenereerd op het bureaublad van de gebruiker, met de naamvarianten: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Ze zijn allemaal hetzelfde en bevatten het volgende tekstbericht:

Speciaal: omdat de ontsleutelingstools van AVAST Windows-toepassingen zijn, is het noodzakelijk een emulatielaag op de Mac te installeren (WINE, CrossOver). Lees voor meer informatie onze blogpost.

Als uw bestanden zijn versleuteld met FindZip, klikt u hier om onze gratis fix te downloaden:

Fonix

De ransomware Fonix werd actief in juni 2020. Het is geschreven in C++ en gebruikt een versleuteling met drie sleutels (hoofdsleutel RSA-4096, sessiesleutel RSA-2048 en een 256-bits bestandssleutel voor SALSA/ChaCha-versleuteling). In februari 2021 hebben de makers van de ransomware hun activiteiten gestaakt en de RSA-hoofdsleutel openbaar gemaakt. Deze kan gratis worden gebruikt om bestanden mee te ontsleutelen.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies:
.FONIX,
.XINOF

Losgeldbericht:

Nadat de bestanden op de computer zijn versleuteld, laat de ransomware het volgende scherm zien:

Als uw bestanden zijn versleuteld met Fonix, klikt u hier om onze gratis fix te downloaden:

GandCrab

Gandcrab was een van de meest voorkomende soorten ransomware van 2018. Op 17 oktober 2018 gaven de ontwikkelaars van Gandcrab 997 sleutels vrij voor slachtoffers in Syrië. Daarnaast heeft de FBI in juli 2018 de hoofdontsleutelingscodes voor de versies 4-5.2 vrijgegeven. Deze versie van de ontsleutelingstool maakt gebruik van al deze sleutels en kan gratis worden gebruikt om bestanden mee te ontsleutelen.

Wijzigingen van bestandsnamen:

De ransomware voegt meerdere mogelijke extensies toe:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (willekeurige letters)

Losgeldbericht:

Daarnaast wordt in elke map een tekstbestand gegenereerd met de naam ‘GDCB-DECRYPT.txt’, ‘CRAB-DECRYPT.txt’, ‘KRAB_DECRYPT.txt’, ‘%WillekeurigeLetters%-DECRYPT.txt’ of ‘%WillekeurigeLetters%-MANUAL.txt’. Hieronder vindt u de inhoud van het bestand.

Bij latere versies van de ransomware kan ook de volgende afbeelding op het bureaublad van de gebruiker worden geplaatst:

Globe

Globe is een ransomwarevariant die vanaf augustus 2016 wordt aangetroffen. Het is gebaseerd op een variant en gebruikt als versleutelingsmethode RC4 of Blowfish. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

Globe voegt een van de volgende extensies toe aan de bestandsnaam: ‘.ACRYPT’, ‘.GSupport[0-9]’, ‘.blackblock’, ‘.dll555’, ‘.duhust’, ‘.exploit’, ‘.frozen’, ‘.globe’, ‘.gsupport’, ‘.kyra’, ‘.purged’, ‘.raid[0-9]’, ‘.siri-down@india.com’, ‘.xtbl’, ‘.zendrz’, ‘.zendr[0-9]’ of ‘.hnyear’. Sommige versies van deze ransomware versleutelen ook de bestandsnaam.

Losgeldbericht:

Na versleuteling van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand How to restore files.hta of Read Me Please.hta):

Als uw bestanden zijn versleuteld met Globe, klikt u hier om onze gratis fix te downloaden:

HermeticRansom

HermeticRansom is ransomware die werd gebruikt aan het begin van de Russische inval in Oekraïne. Het programma is geschreven in de taal Go en versleutelt bestanden met de symmetrische AES GCM-code. Slachtoffers van deze ransomwareaanval kunnen hun bestanden gratis ontsleutelen.

Wijzigingen van bestandsnamen:

U herkent versleutelde bestanden aan de bestandsextensie .[vote2024forjb@protonmail.com].encryptedJB. Daarnaast wordt er een bestand met de naam read_me.html op het bureaublad van de gebruiker geplaatst (zie onderstaande afbeelding).

HiddenTear

HiddenTear is een van de eerste opensource-ransomwarecodes die werden gehost op GitHub en dateert uit augustus 2015. Sindsdien zijn er door oplichters honderden varianten van HiddenTear gemaakt met behulp van de oorspronkelijke broncode. HiddenTear maakt gebruik van AES-versleuteling.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies (maar er zijn er meer): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO en .doomed.

Losgeldbericht:

Na het versleutelen van bestanden verschijnt er een tekstbestand (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) op het bureaublad van de gebruiker. Bij diverse varianten verschijnt er ook een losgeldbericht:

Als uw bestanden zijn versleuteld met HiddenTear, klikt u hier om onze gratis fix te downloaden:

Jigsaw

Jigsaw is een ransomwarevariant die sinds maart 2016 bestaat. Het is vernoemd naar het filmpersonage “The Jigsaw Killer”. Bij diverse varianten van dit type ransomware wordt een afbeelding van The Jigsaw Killer weergegeven op het losgeldscherm.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org of .gefickt.

Losgeldbericht:

Na het versleutelen van uw bestanden verschijnt een van onderstaande schermen:

Als uw bestanden zijn versleuteld met Jigsaw, klikt u hier om onze gratis fix te downloaden:

LambdaLocker

LambdaLocker is een ransomwarevariant die voor het eerst opdook in mei 2017. Het is geschreven in de programmeertaal Python. Gelukkig kan de variant die op het ogenblik het meest voorkomt worden ontsleuteld.

Wijzigingen van bestandsnamen:

De ransomware plakt de extensie ‘.MyChemicalRomance4EVER’ achter de bestandsnaam:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


Daarnaast wordt het bureaublad van de gebruiker een tekstbestand gegenereerd met de naam ‘UNLOCK_guiDE.txt’. Hieronder vindt u de inhoud van het bestand.

Legion

Legion is een ransomwarevariant die voor het eerst werd aangetroffen in juni 2016. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

Legion plakt een variant van ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion of .$centurion_legion@aol.com$.cbf achter aan bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Losgeldbericht:

Na versleuteling van uw bestanden door Legion wordt de achtergrond van uw bureaublad gewijzigd en verschijnt er een pop-upmelding:

Als uw bestanden zijn versleuteld met Legion, klikt u hier om onze gratis fix te downloaden:

NoobCrypt

NoobCrypt is een ransomwarevariant die vanaf eind juli 2016 wordt aangetroffen. Deze ransomware versleutelt uw bestanden met behulp van AES256.

Wijzigingen van bestandsnamen:

NoobCrypt wijzigt de bestandsnaam niet. Versleutelde bestanden kunnen echter niet worden geopend met de bijbehorende toepassing.

Losgeldbericht:

Na versleuteling van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand ransomed.html op het bureaublad van de gebruiker):

Als uw bestanden zijn versleuteld met NoobCrypt, klikt u hier om onze gratis fix te downloaden:

Prometheus

De ransomware Prometheus is geschreven in .NET (C#) en versleutelt bestanden met Chacha20 of AES-256. De bestandsversleutelingscode wordt vervolgens versleuteld met RSA-2048 en toegevoegd aan het einde van het bestand. Sommige varianten van de ransomware kunnen gratis worden ontsleuteld.

Wijzigingen van bestandsnamen:

U herkent versleutelde bestanden aan een van deze bestandsextensies:

  • .[cmd_bad@keemail.me].VIPxxx
  • .[cmd_bad@keemail.me].crypt
  • .[cmd_bad@keemail.me].CRYSTAL
  • .[KingKong2@tuta.io].crypt
  • .reofgv
  • .y9sx7x
  • .[black_privat@tuta.io].CRYSTAL
  • .BRINKS_PWNED
  • .9ten0p
  • .uo8bpy
  • .iml
  • .locked
  • .unlock
  • .secure[milleni5000@qq.com]
  • .secure
  • .61gutq
  • .hard

Daarnaast wordt er een losgeldbericht met een van de volgende namen op het bureaublad van de gebruiker geplaatst:

  • HOW_TO_DECYPHER_FILES.txt
  • UNLOCK_FILES_INFO.txt
  • Инструкция.txt

TargetCompany

TargetCompany is een ransomwarevariant die bestanden van gebruikers versleutelt met het versleutelingsalgoritme Chacha20. Slachtoffers van deze ransomware kunnen hun bestanden nu gratis ontsleutelen.

Wijzigingen van bestandsnamen:

U herkent een versleuteld bestand aan een van deze extensies:
.mallox
.exploit
.architek
.brg
.carone

Elke map met ten minste één versleuteld bestand bevat ook een bestand met een losgeldbericht. Dit bestand heet RECOVERY INFORMATION.txt (zie de afbeelding hieronder).



Stampado

Stampado is een ransomwarevariant die is geschreven met behulp van de scripttool AutoIt. Het bestaat sinds augustus 2016. Het wordt verkocht op het dark web en er verschijnen steeds nieuwe varianten. Een van de varianten is ook bekend onder de naam Philadelphia.

Wijzigingen van bestandsnamen:

Stampado voegt de extensie .locked toe aan de versleutelde bestanden. Sommige varianten versleutelen ook de bestandsnaam zelf. De versleutelde bestandsnaam kan er dus als volgt uitzien: document.docx.locked of 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Losgeldbericht:

Nadat het versleutelen is voltooid, verschijnt het volgende scherm:

Als uw bestanden zijn versleuteld met Stampado, klikt u hier om onze gratis fix te downloaden:

SZFLocker

SZFLocker is een ransomwarevariant die voor het eerst werd aangetroffen in mei 2016. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

SZFLocker voegt .szf toe aan het einde van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc.szf).

Losgeldbericht:

Wanneer u probeert een met SZFLocker versleuteld bestand te openen, verschijnt het volgende bericht (in het Pools):

Als uw bestanden zijn versleuteld met SZFLocker, klikt u hier om onze gratis fix te downloaden:

TeslaCrypt

TeslaCrypt is een ransomwarevariant die voor het eerst werd aangetroffen in februari 2015. De infectie gaat gepaard met de volgende symptomen:

Wijzigingen van bestandsnamen:

De nieuwste versie van TeslaCrypt wijzigt de naam van uw bestanden niet.

Losgeldbericht:

Na versleuteling van uw bestanden door TeslaCrypt verschijnt er een variant van het volgende bericht:

Als uw bestanden zijn versleuteld met TeslaCrypt, klikt u hier om onze gratis fix te downloaden:

Troldesh/Shade

De ransomware Troldesh (ook bekend onder de naam Shade of Encoder.858) dook in 2016 voor het eerst op. Eind van april 2020 staakten de makers van de ransomware hun activiteiten en maakten zij de sleutels openbaar. Hiermee kunnen bestanden gratis worden ontsleuteld.
Meer informatie vindt u hier:https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Losgeldbericht:

Na versleuteling van de bestanden worden er verschillende bestanden gegenereerd op het bureaublad van de gebruiker, met de naamvarianten README1.txt tot README10.txt. In verschillende talen wordt de volgende tekst weergegeven:

Daarnaast wordt de bureaubladachtergrond als volgt gewijzigd:

Als uw bestanden zijn versleuteld met Troldesh, klikt u hier om onze gratis fix te downloaden:

XData

De ransomware XData is afgeleid van AES_NI en maakt net als WannaCry gebruik van de exploit Eternal Blue om zich te verspreiden over computers.

Wijzigingen van bestandsnamen:

De ransomware voegt de extensie ‘.~xdata~’ toe aan de versleutelde bestanden.

In elke map met ten minste één versleuteld bestand is het bestand ‘HOW_CAN_I_DECRYPT_MY_FILES.txt’ te vinden. Daarnaast wordt er een sleutelbestand gemaakt met een naam die lijkt op:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ in de volgende mappen:

• C:\

• C:\ProgramData

• Desktop

Losgeldbericht:

Het bestand “HOW_CAN_I_DECRYPT_MY_FILES.txt” bevat de volgende losgeldeis:

Als uw bestanden zijn versleuteld met Troldesh, klikt u hier om onze gratis fix te downloaden:

Sluiten

Bijna klaar!

Voltooi de installatie door op het gedownloade bestand te klikken en de instructies te volgen.

Download starten...
Opmerking: Als niet automatisch met downloaden wordt begonnen, klikt u hier.
Klik op dit bestand om de installatie van Avast te starten.