Het "Pirated software has been detected"-virus
Geschreven door Tomas Meskauskas op (bijgewerkt)
Instructies voor het verwijderen van de "Pirated software has been detected" ransomware
Wat is het bericht "This computer was automatically blocked. Reason: Pirated software has been detected"?
Het bericht 'Pirated software has been detected' ("Er werd gepirateerde software gedetecteerd") blokkeert computersystemen en eist betaling van een boete voor het zogenaamde bezit van illegale software. Dit is een scam, een ransomwarevirus dat besturingssystemen infiltreert via drive-by downloads, exploitkits, geïnfecteerde e-mailbijlagen en nepdownloads (bijvoorbeeld frauduleuze videospelers of nep-Flash-updates). Na succesvolle infiltratie blokkeert dit kwaadaardige programma het computerscherm met een bericht waarin staat dat er illegale inhoud werd gedetecteerd en dat de gebruiker binnen drie dagen een boete van 500 EUR (of 500 CAD) moet betalen in bitcoins om strafrechtelijke vervolging en arrestatie te voorkomen. De cybercriminelen die verantwoordelijk zijn voor deze zwendel, proberen pc-gebruikers te laten geloven dat ze wetsovertredingen hebben begaan en dat ze als gevolg daarvan een boete moeten betalen. In feite gebruikt geen enkele internationale autoriteit (en zeker niet het ministerie van Justitie) dit soort lock-screen-berichten om boetes te innen voor wetsovertredingen.
Hoewel de 'Pirated software has been detected' ransomware meldt dat de bestanden van het slachtoffer zijn versleuteld, is dat feitelijk niet het geval. Het verandert echter wel de extensie van afbeeldingsbestanden (bijvoorbeeld .jpg-bestanden) in uitvoerbare bestanden door er een .exe-extensie van te maken. Op het moment van onderzoek is het niet duidelijk of cybercriminelen in staat zijn om deze veranderingen ongedaan te maken als het slachtoffer het losgeld zou betalen. Het goede nieuws is dat deze malware niet mee opstart in de veilige modus met netwerk en ook geen schaduwkopieën van de bestanden verwijdert. Dit maakt het verwijderen van de ransomware en herstellen van de bestanden relatief eenvoudig.
Screenshot van het ransomwarebericht 'Pirated software has been detected' dat zich op computergebruikers in de Europese Unie richt:
Naam | De VirLocker ransomware |
Type bedreiging | Ransomware, cryptovirus, bestandslocker |
Bericht met de vraag om losgeld | Lockscreen |
Cryptowallet-adres van de cybercriminelen | 1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW |
Losgeldbedrag | €500, $500, $150, $250 - afhankelijk van de ransomware-variant. |
Detectienamen | Avast (Win32:VirLock-B [Trj]), BitDefender (Win32.Virlock.Gen.1), ESET-NOD32 (een variant van Win32/Virlock.D), Kaspersky (Virus.Win32.PolyRansom.b), volledige detectielijst (VirusTotal) |
Symptomen | U kunt bestanden die op uw computer zijn opgeslagen niet openen, voorheen functionele bestanden hebben nu een andere extensie (bijvoorbeeld my.docx.locked). Er wordt een bericht met de vraag om losgeld op uw bureaublad weergegeven. Cybercriminelen eisen losgeld (meestal in bitcoins) om uw bestanden te ontgrendelen. |
Extra info | Deze ransomware vergrendelt het computerscherm en voorkomt dat gebruikers toegang krijgen tot hun systeem. Er wordt beweerd dat men gepirateerde software gebruikt en dat een boete zal volgen als er niet onmiddellijk een bepaald bedrag wordt betaald. |
Distributiemethodes | Geïnfecteerde e-mailbijlagen (macro's), torrent-websites, schadelijke advertenties. |
Schade | Alle bestanden zijn versleuteld en kunnen niet worden geopend zonder losgeld te betalen. Extra trojans voor het stelen van wachtwoorden en malware-infecties kunnen samen met de ransomware-infectie worden geïnstalleerd. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Een andere variant (updated) van deze ransomware heet "Operation Global 3" en versleutelt bestanden van zijn slachtoffers:
Als u te maken heeft met de Operation Global 3 ransomware dan kunt u de decryptietool van Nathan Scott (aka DecrypterFixer) gebruiken om gehackte bestanden te decrypteren. Download deze decryptietool voor Operation Global 3 hier.
Video die toont hoe deze tool te gebruiken:
Ransomware-infecties zoals deze vormen een sterk argument om regelmatig een back-up te maken van uw opgeslagen gegevens. Merk op dat het betalen van de boete (zoals wordt geëist door deze ransomware) gelijk staat aan het sturen van geld naar cybercriminelen - u ondersteunt hun kwaadaardige activiteiten en er is geen garantie dat u ooit de getroffen bestanden zult herstellen. Wees voorzichtig bij het openen van e-mailberichten als u computerbesmetting met ransomware-infecties zoals 'Pirated software has been detected' te voorkomen, aangezien cybercriminelen vaak clickbait-onderwerpen (bijvoorbeeld 'UPS Exception Notification'). Houd uw besturingssysteem en alle geïnstalleerde programma's (Java, Flash, enz.) bijgewerkt en gebruik betrouwbare antivirus- en antispywaresoftware. Onderzoek toont aan dat cybercriminelen ook P2P-netwerken en nep-downloads (die gebundelde ransomware-infecties bevatten) gebruiken om de 'Pirated software has been detected' om ransomware te verspreiden.
Hier is een screenshot van nog een andere variant van deze ransomware (ontdekt op 26 januari 2017 door beveiligingsonderzoeker Nathan Scott):
Als uw computer is besmet met deze variant, typ dan 0000000000000000000000000000000000000000000000000000000000000000 (64 zero's) in het "Transfer ID:"-veld. Klik vervolgens op "PAY FINE". Hierdoor wordt u computer gedeblokkeerd en kunt u besmette bestanden terug openen door erop te dubbelklikken (het losgeldbericht zal niet meer worden getoond).
Screenshot van het 'Pirated software has been detected'-ransomwarebericht gericht op Canadese computergebruikers:
Vals bericht dat wordt getoond door deze ransomware (cybercriminelen misbruiken de naam van het Amerikaanse ministerie van Justitie):
This computer was automatically blocked. Reason: Pirated software has been detected
Wilful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 EUR (or 500 CAD) If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years. How to pay a fine? There are two ways to pay a fine: 1. You can pay the fine online through BitCoin. BitCoin is available nationwide. Click the tabs below to find the nearest vendor. You computer will be unblocked after the payment is made. 2. (Offline Option) You can come to your local courthouse and pay the fine at the ‘Cashiers’ window. A special restoration software will be sent to you by mail within a week after payment is made. To regain access now you must make a bitcoin transfer to the Department of Justice address. Note: Files on this computer have been temporarily encrypted. Files will be permanently lost if the fine is not paid or an attempt to remove this message is detected. Operation Stop Online Piracy-Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, U.K., New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.
Nog een variant van de "Pirated software has been detected"-ransomware:
Tekst in dit lockscreen:
Unauthorized or pirated software has been detected. System has been blocked under the authority of 17 U.S.C s.506
Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.There are two ways to pay a fine:
1. You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest exchange or an ATM. Your computer will be unlocked after you make your payment.
2. (Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
You will need your personal identification documents and computer ID. You must appear in person.
Your computer will be unlocked within 4-5 working days.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Online fine payments are processed by Chase Paymentech.
Amount Transfer ID:
BTC 1.779
PAY FINE
Note: Hard drive contents, network files on this computer have been encrypted and will be inaccessible until the fine is paid.
Any attempt to remove this message will damage your files, hardware and Windows installation.
View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATM Internet Browser Notepad
Operation Global III Is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.
Weergave van het lockscreen (GIF):
Nog een variant van de "Pirated software has been detected" pop-up-oplichting:
Tekst op deze pagina:
This computer contains pirated software and has been blocked by ICE-Homeland Security Investigations.
Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restition (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
How to pay a fine? There are two ways to pay a fine:
1.You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after the payment is made.
2.(Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
A special restoration software will be sent to you by mail within a week after the payment is made.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Amount Transfer ID:
BTC 1.773 [PAY FINE]Note: All files on this computer have been encrypted with a strong symmetric algorithm and a 4096-bit key. Files will be inaccessible until the fine is paid.
Attempt to remove this message will result in irreversible damage to your files, hardware and Windows installation. View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad
Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content and their operators.
Instructies voor het verwijderen van de "Pirated software has been detected" ransomware:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is het bericht "Pirated software has been detected"?
- STAP 1. De "Pirated software has been detected" ransomware verwijderen via veilige modus met netwerk.
- STAP 2. De "Pirated software has been detected" ransomware verwijderen via systeemherstel.
Stap 1
Gebruikers van Windows XP en Windows 7:
Start uw computer in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het Windows Advanced Option-menu ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die toont hoe Windows 7 te staren in "Veilige modus met netwerk":
Video die toont hoe Windows XP te staren in "Veilige modus met netwerk":
Gebruikers van Windows 8:
Windows 8-gebruikers: ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde Opstartopties, in het geopende "Algemene PC Instellingen" venster selecteer Geavanceerde Opstart. Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu herstarten in "Geavanceerde opstartopties menu". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het geavanceerde optiescherm op "Opstartinstellingen". Klik op de knop "Herstarten". Uw pc zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op "5" om op te starten in Veilige modus met netwerkmogelijkheden.
Video die toont hoe Windows 8 te starten in "Veilige modus met netwerk":
Stap 2
Log in op het account dat besmet is met de "Pirated software has been Detected" ransomware. Start uw internetbrowser en download een legitiem antispywareprogramma. Werk de antispywaresoftware bij en start een volledige systeemscan. Verwijder alle gevonden bedreigingen.
Als u uw computer niet kunt starten in Veilige modus met netwerkmogelijkheden, probeer dan Systeemherstel uit te voeren.
Video die laat zien hoe u het ransomware-virus verwijdert met behulp van "Veilige modus met opdrachtprompt" en "Systeemherstel":
1. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat het menu Geavanceerde opties van Windows verschijnt, selecteer Veilige modus met opdrachtprompt in de lijst en druk op ENTER.
2. Wanneer de opdrachtpromptmodus wordt geladen, voert u de volgende regel in: cd restore en drukt u op ENTER.
3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.
4. Klik in het geopende venster op "Volgende".
5. Selecteer een van de beschikbare herstelpunten en klik op "Volgende" (dit zal uw computersysteem herstellen naar een eerdere tijd en datum, voordat het ransomwarevirus "illegale software is gedetecteerd" op uw pc infiltreerde).
6. Klik in het geopende venster op "Ja".
7. Na het herstellen van uw pc naar een eerdere datum, gebruikt u best aanbevolen software voor het verwijderen van malware om alle achtergebleven bestanden van "Pirated software has been detected" te verwijderen.
Om afzonderlijke bestanden te herstellen die door deze ransomware zijn gewijzigd, kunt u de functie Vorige versies van Windows gebruiken. Deze methode is alleen effectief als de functie Systeemherstel is ingeschakeld op een geïnfecteerd besturingssysteem.
Om een bestand te herstellen, klikt u er met de rechtermuisknop op, gaat u naar Eigenschappen en selecteert u het tabblad Vorige versies. Als het relevante bestand een herstelpunt heeft, selecteer het dan en klik op de knop "Herstellen".
Om de controle terug te krijgen over de bestanden die zijn gewijzigd door de "Pirated software has been gedetecteerd"-ransomware, kunt u ook een programma proberen genaamd Shadow Explorer. Meer informatie over het gebruik van dit programma vindt u hier.
Gebruik betrouwbare antivirus- en antispywareprogramma's om uw computer te beschermen tegen het versleutelen of wijzigen van bestanden door dit soort ransomware.
U vindt meer informatie over het gebruik van dit programma via deze link.
Bron: https://www.pcrisk.com/removal-guides/8460-pirated-software-has-been-detected-virus
▼ Toon discussie