Bedreiging TellYouThePass

*Bron van claim SH kan deze verwijderen.

We hebben de onderstaande informatie gemaakt om u te begeleiden bij het verwijderen van de TellYouThePass Ransomware en om u te instrueren hoe u herhaalde infecties kunt voorkomen. Het verwijderen ervan is slechts het halve werk. Het andere deel sluit de CVE-2024-4577 kwetsbaarheid af en zorgt ervoor dat er niets op de geïnfecteerde pc staat dat de TellYouThePass Ransomware kan herstellen.

Welk type bedreiging is de TellYouThePass Ransomware?

TellYouThePass is een ransomware op 'commodity-niveau' die voor het eerst opdook in 2019. Dit is meerdere keren in de nieuwsmedia vermeld, maar het biedt weinig troost voor daadwerkelijke slachtoffers van de malware. In duidelijke bewoordingen: de TellYouThePass-ransomware is niet erg geavanceerd, maar wanneer het coderen van uw bestanden is voltooid, is er geen verschil tussen deze ransomware en andere ransomware. Als u geen back-ups heeft, is de kans zeer klein dat u uw bestanden kunt herstellen.

Removal Tool downloadenom te verwijderen TellYouThePass

Onlangs (juni 2024) kreeg TellYouThePass Ransomware hernieuwde aandacht voor het misbruiken van recent gevonden kwetsbaarheden zoals Apache's Log4j. Maar in tegenstelling tot andere cybercriminele groepen onderhoudt TellYouThePass geen openbare blog of opslagplaats van slachtoffergegevens, wat een laag van onvoorspelbaarheid aan zijn activiteiten toevoegt. Het richt zich zowel op bedrijven als op particulieren, met een gewetenloos brede reikwijdte in termen van potentiële slachtoffers.

In het verleden zagen we dat TellYouThePass Rnsomware misbruik maakte van CVE-2021-44228, maar veel recenter richtte het zich op de nieuw gevonden kwetsbaarheid CVE-2024-4577. De ransomwarebende maakt momenteel intensief gebruik van de nieuw gepatchte, exploiteerbare externe code-uitvoering in PHP. Hierdoor kunnen aanvallers webshells leveren en hun encryptor-payloads op doelsystemen uitvoeren.

De aanvallen waarvoor u waarschijnlijk hier bent, begonnen op 8 juni, slechts 48 uur nadat de PHP-onderhouders beveiligingsupdates hadden uitgebracht. De aanvallers gebruikten publiekelijk beschikbare (op Github) exploitcode. Hierbij werd willekeurige PHP-code uitgevoerd met behulp van het binaire bestand mshta.exe van Windows om een kwaadaardige HTML-toepassing uit te voeren. De groep toont een duidelijke voorkeur voor het exploiteren van bekende kwetsbaarheden in open-source webontwikkelingstalen. Dit betekent helaas dat de TellYouThePass Ransomware niet beperkt is tot Windows, maar ook Linux-gebruikers kan infecteren.

Hoe TellYouThePass CVE-2024-4577 exploiteert

Deze informatie is het meest geschikt voor technisch onderlegde personen:

Verschillende PHP-versies vóór 8.3.8 hebben een aanzienlijke kwetsbaarheid bij gebruik met Apache en PHP-CGI. Als bepaalde codepagina's zijn ingesteld, kan Windows een 'Best-Fit'-gedrag gebruiken, waarbij tekens worden vervangen in de opdrachtregel die wordt gegeven aan Win32 API-functies. Dergelijk gedrag zorgt ervoor dat de CGI deze karakters als PHP-opties beschouwt, waardoor een crimineel opties kan doorgeven aan het PHP-binaire bestand. We plaatsen dit hier als eenvoudige uitleg voor het geval u de context wilt weten van wat er aan de hand is.

Removal Tool downloadenom te verwijderen TellYouThePass

Als we u hier kwijt zijn, raden we u aan contact op te nemen met een systeembeheerder of gewoon SpyHunter te gebruiken, zoals aanbevolen in onze advertenties.

TellYouThePass gebruikt het binaire bestand Windows mshta.exe om een HTA-bestand uit te voeren. Dit is een container voor een VBScript met een base64-gecodeerde tekenreeks. De string decodeert in een binair bestand, laadt een .NET-variant van de ransomware in het geheugen van de host en op dat moment ben je al geïnfecteerd met de TellYouThePass Ransomware. De malware stuurt een HTTP-verzoek naar een command-and-control (C2)-server in de vorm van een nep-CSS-bronverzoek. Vanaf dat moment werkt het als een standaard ransomware: het codeert de bestanden op de geïnfecteerde machine.

Nadat de codering is voltooid, plaatst TellYouThePass Ransomware een losgeldbrief met de titel “READ_ME10.html” met instructies over hoe u de bestanden kunt herstellen. De meeste slachtoffers merken de infectie helaas pas op dat moment op, wat te laat is om er iets aan te doen. De huidige vraag naar losgeld is vastgesteld op 0,1 BTC (ongeveer $6.700). Verschillende online websites zijn momenteel geïnfecteerd met dit virus en kunnen als vectoren fungeren als dit aanhoudt.

Hoe herhaalde infecties door de TellYouThePass Ransomware te voorkomen

Er zijn manieren waarop u de exploitatie van de PHP-fout kunt beperken en verdere aanvallen door de TellYouThePass Ransomware (of een andere malware die daarop volgt) kunt voorkomen. Ten eerste kun je de getroffen systemen patchen – wat klinkt als een no-brainer. Maar het is een essentiële stap. Veel websites worden niet regelmatig bijgewerkt uit angst dat functionaliteiten in de back- of front-end defect raken, maar dit zorgt ervoor dat het virus niet terugkeert.

Ten tweede: voer PHP niet uit terwijl de CGI-modus is ingeschakeld. Zoals u bij Log4j kunt zien, is het een uitdaging om elk systeem bij te werken dat getroffen is door een fout in een webscripttaal. U kunt migreren naar veiligere architecturen zoals Mod-PHP, FastCGI of PHP-FPM. Over het algemeen is PHP CGI verouderd en problematisch.

U kunt ook andere best practices volgen, maar deze zijn algemener en niet direct gerelateerd aan de TellYouThePass Ransomware. Maak regelmatig de balans op van alle assets en applicaties in uw werkomgeving. U kunt eventuele kwetsbaarheden die hierop van invloed zijn, patchen. Gebruik webfirewalltechnologie om aanvallen te stoppen en aangezien u hier bent, raden we u aan een anti-malwareprogramma aan te schaffen als eerste verdedigingslinie.

Wat kunt u doen om de schade veroorzaakt door de TellYouThePass Ransomware te beperken?

Het is van cruciaal belang om onmiddellijk te handelen en het geïnfecteerde apparaat uit te schakelen als u vroegtijdig de TellYouThePass Ransomware ontdekt. Isoleer het geïnfecteerde systeem onmiddellijk van andere apparaten op het netwerk, anders kan de ransomware zich over deze apparaten verspreiden. Dit helpt de infectie onder controle te houden en stopt de verdere versleuteling van bestanden.

Identificeer vervolgens met welke soort ransomware u te maken heeft. Wetende dat het TellYouThePass is, betekent dit dat de bestanden worden toegevoegd met de extensie .LOCKED. U kunt hier specifieke decoderingstools of bronnen vinden, maar deze zullen u waarschijnlijk niet helpen. Helaas is er geen gegarandeerde methode om bestanden te decoderen zonder het losgeld te betalen, maar contact opnemen met cyberbeveiligingsbedrijven kan opties bieden.

Back-upherstel is de beste keuze om de bestanden te herstellen, maar dit is alleen haalbaar als u überhaupt back-ups hebt. Als u ze wel heeft, zorg er dan voor dat ze offline worden opgeslagen, anders kan TellYouThePass Ransomwaare zich naar hen verspreiden. Zorg ervoor dat u uw systemen grondig schoonmaakt voordat u uw systeem herstelt naar de staat van vóór de aanval, om herinfectie te voorkomen.

Leren hoe te verwijderen van de TellYouThePass vanaf uw computer

Stap 1. Verwijder TellYouThePass via anti-malware

a) Windows 7 / Vista / XP

  1. Start → Afsluiten → Opnieuw opstarten.win7-restart Bedreiging TellYouThePass
  2. Wanneer de pc begint te laden, blijft u op F8 drukken totdat geavanceerde opstartopties verschijnen.
  3. Selecteer Veilige modus met netwerkmogelijkheden.win7-safe-mode Bedreiging TellYouThePass
  4. Wanneer uw computer laadt, downloadt u anti-malware met uw browser.
  5. Gebruik anti-malware om de ransomware te verwijderen.

b) Windows 8/10

  1. Open het menu Start, druk op het Power-logo.
  2. Houd de toets Shift ingedrukt en druk op Opnieuw opstarten.win10-restart Bedreiging TellYouThePass
  3. Vervolgens Problemen oplossen → Geavanceerde opties → Startinstellingen.win-10-startup Bedreiging TellYouThePass
  4. Ga omlaag naar Veilige modus inschakelen (of Veilige modus met netwerkmogelijkheden).win10-safe-mode Bedreiging TellYouThePass
  5. Druk op Opnieuw opstarten.
  6. Wanneer uw computer laadt, downloadt u anti-malware met uw browser.
  7. Gebruik anti-malware om de ransomware te verwijderen.

Stap 2. Verwijder TellYouThePass met Systeemherstel

a) Windows 7 / Vista / XP

  1. Start → Afsluiten → Opnieuw opstarten.win7-restart Bedreiging TellYouThePass
  2. Wanneer de pc begint te laden, blijft u op F8 drukken totdat geavanceerde opstartopties verschijnen.
  3. Selecteer Veilige modus met opdrachtprompt.win7-safe-mode Bedreiging TellYouThePass
  4. Typ cd restore in het venster dat verschijnt en druk op Enter.
  5. Typ rstrui.exe en druk op Enter.win7-command-prompt Bedreiging TellYouThePass
  6. Selecteer een herstelpunt in het venster dat verschijnt en druk op Volgende. Zorg ervoor dat het herstelpunt zich vóór de infectie bevindt.win7-restore Bedreiging TellYouThePass
  7. Druk op Ja in het bevestigingsvenster dat verschijnt.

b) Windows 8/10

  1. Open het menu Start, druk op het Power-logo.
  2. Houd de toets Shift ingedrukt en druk op Opnieuw opstarten.win10-restart Bedreiging TellYouThePass
  3. Vervolgens Problemen oplossen → Geavanceerde opties → Opdrachtprompt.win-10-startup Bedreiging TellYouThePass
  4. Klik op Opnieuw opstarten.
  5. Typ cd restore in het venster dat verschijnt en druk op Enter.
  6. Typ rstrui.exe en druk op Enter.win10-command-prompt Bedreiging TellYouThePass
  7. Druk in het venster dat verschijnt op Volgende, kies een herstelpunt (voorafgaand aan infectie) en druk op Volgende.win10-restore Bedreiging TellYouThePass
  8. Druk op Ja in het bevestigingsvenster dat verschijnt.

Stap 3. Herstel uw gegevens

a) Methode 1. Gebruik van Data Recovery Pro om bestanden te herstellen

  1. Verkrijg Data Recovery Pro van de officiële website.
  2. Installeer en open het.
  3. Gebruik het programma om te scannen op gecodeerde bestanden.data-recovery-pro Bedreiging TellYouThePass
  4. It-bestanden kunnen worden hersteld, het programma staat u toe dit te doen.data-recovery-pro-scan Bedreiging TellYouThePass

b) Methode 2. Gebruik van eerdere versies van Windows om bestanden te herstellen

Om deze methode te laten werken, moet Systeemherstel zijn ingeschakeld voorafgaand aan infecties.
  1. Klik met de rechtermuisknop op het bestand dat u wilt herstellen.
  2. Selecteer Eigenschappen.win-previous-version Bedreiging TellYouThePass
  3. Ga naar het tabblad Vorige versies, selecteer de versie van het gewenste bestand en klik op Herstellen.

c) Methode 3. Gebruik Shadow Explorer om bestanden te herstellen

Uw besturingssysteem maakt automatisch schaduwkopieën van uw bestanden, zodat u bestanden kunt herstellen als uw systeem crasht. Het is mogelijk om bestanden op deze manier te herstellen na een ransomwareaanval, maar sommige bedreigingen slagen erin om de schaduwkopieën te verwijderen. Als je geluk hebt, zou je bestanden moeten kunnen herstellen via Shadow Explorer.
  1. U moet het Shadow Explorer-programma downloaden, dat u kunt downloaden van de officiële site, shadowexplorer.com.
  2. Installeer en open het.
  3. Selecteer de schijf waarop de bestanden zich bevinden, kies de datum en druk op Exporteren wanneer de mappen met bestanden verschijnen.shadowexplorer Bedreiging TellYouThePass

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.