Nieuwe Ransomware: Het .Meka virus

Wat is .Meka

.Meka is en virus programma gemaakt voor de PC met de intentie om geïnfecteerde gebruikers te blackmailen. Het .Meka virus zorgt ervoor dat de toegang wordt geblokkeerd tot de meest belangrijke bestanden van de gebruiker en wacht tot gebruikers de “ransom” betalen, voordat deze bestanden weer worden vrijgegeven. Het virus versleuteld de bestanden via data-encryptie.

meka bestanden

Het .Meka virus is een type van “money-extortion” malware dat je bestanden geëncrypt laat, totdat je besluit om de “ransom” te betalen aan de hackers die achter het virus zitten. Het virus laat weten via een bericht op het scherm weten dat de bestanden zijn geëncrypt en wat voor “ransom” er verwacht wordt van jou als gebruiker om te betalen.

Binnen de types van Ransomware behoort het .Meka virus tot de categorie van cryptovirussen. Deze types van Ransomware zijn veel meer geavanceerd, dan de “screen-locking” types. Het omgaan met dit soort infecties is niet altijd compleet mogelijk. In dit artikel proberen wij te helpen door informatie te delen, waarmee er besloten kan worden hoe het .Meka virus het beste verwijderd kan worden. Deze informatie is vooral nuttig wanneer op dit moment het .Meka virus je data heeft geëncrypt en je momenteel aan het blackmailen is voor het betalen van de “ransom”.

Het .Meka bestand

Het .Meka bestand is een bestand dat is geëncrypt door het virus en waar geen toegang meer tot de krijgen is via een normale manier. Alle .Meka bestanden kunnen geopend worden met de juiste decryptie sleutel, maar deze is natuurlijk in het bezit van de hackers.

Waarom niet gelijk betalen

De eerste reactie van veel gebruikers die te maken hebben met de consequencies van een Ransomware infectie, zullen direct de “ransom” betalen, zonder opzoek te gaan naar potentiële alternatieven. Dit is niet een hele wijze beslissing, aangezien er 2 redenen zijn om dit niet te doen.

De eerste reden is dat zelf wanneer je de “ransom” betaald, de hackers alsnog weigeren om je de decryptie sleutel te sturen. Hierdoor ben je niet alleen de toegang tot je bestanden kwijt, maar ook nog eens een (groot) geldbedrag.

De tweede reden is dat er mogelijk nog andere manieren zijn om je data terug te krijgen, zonder dat je de “ransom” betaald. Om deze manieren toe te passen, moet je er eerst zeker van zijn dat de malware niet langer meer op het systeem aanwezig is. Hiervoor zullen verderop in het artikel instructies staan om op te volgen en zo het .Meka virus te verwijderen van je systeem. Wanneer dit gebeurt is zijn er ook nog recovery opties om je bestanden te ontsleutelen. Helaas is het mogelijk dat dit niet in alle gevallen werkt, maar het blijft belangrijk om eerst deze methode te proberen, voordat er wordt nagedacht over andere opties.

Het verwijderen van .Meka

Stap 1:

Veilige modus

Start je laptop/PC opnieuw op in de “Safe Mode

Stap 2:

Detecteren en verwijderen van bestanden

Het handmatig verwijderen van .Meka bestanden kan een aantal uur duren en je systeem beschadigen, wanneer je hiermee bezig bent.

Er wordt aangeraden om de Spyhunter Anti-Malware tool te gebruiken om de .Meka bestanden te detecteren.

Wanneer je ervoor kiest het handmatig te doen, kun je ervoor kiezen om Taakbeheer te openen met de toestencombinatie (CTRL + SHIFT + ESC) en naar de processen tab te gaan.

Klik met de rechter muisknop op ieder proces en klik daarna op bestandslocatie openen.

Gebruiker daarna de Online Virusscanner van HowToRemove.guide of Virustotal om te bepalen of deze process geïnfecteerd zijn met malware. Wanneer dit het geval is, beëindig het proces en verwijder het bestand of de gehele folder. Doe dit voor alle processen.

Wanneer je denkt dat een proces behoort tot de infectie, verwijder deze dan. Zelf wanneer de gebruikte scanners aangegeven dat er geen infectie is, want er is geen anti-virus programma dat alle infecties kan detecteren.

Stap 3:

Controleer host file & onbekende uitgevers

Gebruik de toetsencombinatie (Windows toets + R) en plak hierin het volgende: notepad %windir%/system32/Drivers/etc/hosts

Een nieuw bestand zal openen in notepad. Wanneer er een hack heeft plaatsgevonden, dan zullen er verschillende andere IP-adressen in het bestand staan, zoals in de afbeelding hieronder.

notepad malcious hosts

Ga weer terug naar Taakbeheer, maar nu naar de tab opstarten.

Schakel alle programma’s uit met een onbekende uitgever/ontwikkelaar. Ook kan het zo zijn dat er een niet bestaande uitgever/ontwikkelaar wordt gebruikt, schakel deze ook uit wanneer deze je niet bekend voorkomen.

Stap 4 :

Controleer het register

Voor het handmatig verwijderen van .Meka, zul je waarschijnlijk bezig moeten met systeembestanden en het register. Wanneer je een fout maakt en het verkeerde verwijderd, kan dit je systeem beschadigen. Daarom kun je het beste gebruik maken van de eerder genoemde SpyHunter tool.

Wanneer je dit handmatig wil doen, moet je het volgende doen.

Gebruiker de toetsencombinatie (Windows toets + r) en typ Regedit en druk daarna op enter. Wanneer je het register open hebt, druk dan op CNTRL + F en zoek op Meka.

Wanneer je “entries” hebt gevonden in het register die gerelateerd zijn aan de ransomware, verwijderd deze. Wees hier heel voorzichtig mee, want je kunt je systeem beschadigen, wanneer de verkeerde “entries” worden verwijderd.

Vul nu een voor 1 de volgende waarden in, in de Windows zoekbalk (Windows toets + r)

  1. %AppData%
  2. %LocalAppData%
  3. %ProgramData%
  4. %WinDir%
  5. %Temp%

Verwijder alle bestanden in de “Temp”. Controleer bij de rest of er bestanden en/of folder recent zijn toegevoegd en verwijder deze.

Hoe kunnen de .Meka bestanden weer ontsleuteld worden

Stap 1:

Verwijdering

Het belangrijkst is dat de malware door het uitvoeren van de bovenstaande stappen is gebeurd, anders zal de malware mogelijk de bestanden weer encrypten. Dit stappenplan kan ook gebruikt worden bij andere ransomware infecties.

Stap 2:

Shadow Clone Restoration

Het eerste wat je kunt proberen is het herstellen van de bestanden via “shadow copies”. Het is aan te raden om dit eerst te doen, voordat er gebruik wordt gemaakt van decryptors. Wanneer dit mislukt, dan zullen je bestanden niet verwijderd worden door de ransomware. Sommige ransomware varianten dreigen om de bestanden te verwijderden, wanneer ze “tampering” detecteren.

Er zijn verschillende programma’s te vinden die gebruik maken van shadow volume copies to restore your files. Volgens HowToRemove komt Data Recovery Pro het beste uit de test met de hoogste kans om te helpen. Het is wel een tool waarbij je de volledige versie moet kopen om van alle voordelen gebruik te maken.

Stap 3:

Identificatie

Er zijn gratis decryptie tools beschikbaar voor het herstellen van je bestanden, maar eerst moet je bepalen welke tool de juiste is.

Maak gebruik van de gratis online service ID Ransomware om te bepalen met welke Ransomware infectie je te maken hebt. Je moet een note file uploaden welke vaak op je desktop te vinden is en ook één van de bestanden die geëncrypt is door de Ransomware. Deze website zier eruit zoals in onderstaande afbeelding.

ID-ransomware

Hierna kan er bij de decryptie tools gekeken worden welke er nodig is voor een specifiek type Ransomware. Deze staan in de lijst met zowel de naam van het virus en de extensie die wordt gebruikt op je bestanden.

Stap 4:

Decryptie

Er is geen 100% garantie dat de decryptor tools werken, deze zijn gratis beschikbaar gesteld door de makers. In de meeste gevallen zullen deze tools werken.

Ook is het aan te raden voor je begint met de decryptor tools, om eerst een back-up te maken van alle bestanden.

Stap 5:

Wachten voor een oplossing

Zowel de Ransomware virussen als de makers zijn niet perfect, hiervan is het bewijs dat er al veel verschillende decryptors beschikbaar zijn. Helaas duurt het vaak wat langer voor security onderzoekers om de ransomware code te kraken en een oplossing te vinden die dringend nodig is. Zelfs als er nu geen decryptor tool aanwezig is, betekend dit niet dat er geen wordt gemaakt in de toekomst. De pagina van HowToRemove.Guide zal regelmatig bijgewerkt worden.

Gezien het .Meka virus een zeer nieuwe Ransomware variant is, is er momenteel nog geen decryptor tool beschikbaar. Wij zullen dit ook regelmatig in de gaten houden en zullen melden wanneer de decryptie tool beschikbaar is.

Mocht je geïnfecteerd zijn met een Ransomware variant en heb je hulp nodig, neem dan contact met ons op via sales@sincerus.nl

Dan kunnen wij kijken wat we voor jouw organisatie kunnen betekenen.

Nginx-webservers kwetsbaar door PHP7 RCE bug
Bluekeep-exploit
Bluekeep kwetsbaarheid wordt actief misbruikt

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden

een + vijftien =

Menu