LDHY Virus Ransomware (.ldhy fil) – 3 Enkle måter å dekryptere & Fjerne

LDHY-virus tilhører en av de mest utbredte ransomware-type malware-familiene – STOPP/Djvu. Den kommer inn i Windows PC, krypterer filene dine (til LDHY-fil), og legger til en løsepengenota (readme.txt-filen) i hver mappe med chiffrerte filer. Skadelig programvare regnes som en av de farligste siden den kan motvirke forskjellige måter å gjenopprette filer på.

I dette innlegget, I will explain what happened and show you how to remove the LDHY malware from your computer. I tillegg, du vil se flere måter å gjenopprette filer på etter løsepengevareangrepet.

What is LDHY Virus?

LDHY ransomware is a skadelig programvare som retter seg mot brukerens filer and encrypts it with a strong cipher (AES-256), deaktiverer antivirusverktøy, og sletter sikkerhetskopiene. Hver fil – Word-dokument, Excel-tabell, eller bilde – will receive a LDHY file extension. Derfor, filen “photo.jpg” vil bli til “photo.jpg.ldhy”. Deretter, den genererer en løsepenge med navnet _readme.txt og legger den til i hver mappe med krypterte filer på skrivebordet ditt. Apropos dette, you will see the message about a malicious event and the instruction for a ransom payment. Det ser slik ut:

Readme.txt file of LDHY Virus Ransomware
_readme.txt file created by LDHY ransomware


ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool:
https://we.tl/t-hPAqznkJKD
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
support@freshingmail.top

Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc

Your personal ID:

LDHY ransomware deler de samme vanene med flertallet av andre STOP/Djvu løsepengevareeksempler. Denne familien dukket opp i 2018 og redegjort for over 70% av alle ransomware-angrep på enkeltpersoner. Det er en trendsetter i sin bransje og har en haug med funksjoner som er typiske for enhver annen løsepengevaregruppe som angriper individuelle brukere. Løsepengesum, varslingsmåte, forholdsregler for å unngå bruk av sikkerhetskopiering – alle disse tingene er nå de samme overalt. Men de har først dukket opp takket være Djvu løsepengevare.

How did I get the LDHY malware?

Det store flertallet av skadelig programvare som angriper enkeltbrukere velger den samme spredningstaktikken. STOP/Djvu løsepengevare, particularly the LDHY variant, er ikke en eksklusjon. De vanligste måtene å spre på er forskjellige programvaresprekker, ulisensierte programmer, og tvilsomme verktøy fra Internett. Spesielt, de bruker taktikken for å lage et engangsnettsted hvor populære ting er lagt ut for øyeblikket. Nye Marvel-filmer, nye spill, eller verktøy for Windows 11 aktivering – grunnlaget for en slik dummy vises daglig. Søkespamteknikker øker denne sidens søkeresultater, gjør den til den mest populære i de relaterte forespørslene. En lenke for direkte- eller torrentnedlasting inneholder nyttelasten på samme side.

Infected Windows: LDHY File
Infected Windows: Many .ldhy files

Nettkriminelle som distribuerer denne løsepengevaren injiserer først skadelig programvare for nedlasteren, som fungerer som en forløper for ytterligere skadelig programvare. Den deaktiverer sikkerhetsmekanismene som potensielt kan stoppe løsepengevaren eller gjøre det vanskelig å infisere systemet. Deaktivering av Windows Defender, bruke visse nettverksendringer, og justering av konsernpolicyene. Den siste handlingen gjøres for å begrense kjøringen av installasjonsfiler av programmene, som regel – antivirusløsninger.

LDHY Virus Encryption Process

ransomware fortsetter å endre systemet etter å ha blitt injisert med nedlasteren. Spesielt, LDHY ransomware disables the most popular backup methods (Volume Shadow Copies og OneDrive-sikkerhetskopier). Den blokkerer tilgangen til enkelte nettsider hvor offeret kan finne løsningen. Etter det, løsepengevare starter krypteringsprosessen. I henhold til koden for lekke STOP/Djvu-prøver, den utfører chiffreringen på en trinnvis måte. Først, ransomware skanner mappene på disken din. Hvis den oppdager filene, kan den kryptere, den kobles til serveren, ber om krypteringsnøkkelen, og starter krypteringen. Når prosessen er over, den går tilbake til skanneprosessen.

The encryption mechanism used by the LDHY ransomware er AES-256. Denne standarden er valgt av mange sikkerhetsteknologier. For eksempel, trafikken din er kryptert med denne chifferen når den er koblet til nettstedet via en HTTPS-tilkobling. Den er ikke den sterkeste, men du kan ikke dekryptere det på moderne datamaskiner. Med ende-til-ende-kryptering ved tilkoblingsstadiet til serveren som brukes av denne løsepengevaren, det er umulig å avskjære dekrypteringsnøkkelen. Ikke desto mindre, det betyr ikke at du ikke kan få tilbake filene dine.

STOP/Djvu Ransomware handlingsplan

LDHY ransomware finishes the last portion of encryption. Den bruker flere handlinger for å gi en større utholdenhet. Den originale kjørbare filen blir klonet til en katalog langt unna de typiske valgt av skadelig programvare. Temp eller ProgramFiles-kataloger kontrolleres selv av de enkleste antivirusene, så løsepengevare plasserer filene sine på dypere og mindre kjente steder.

How to remove LDHY and protect yourself from ransomware?

Ransomware er en av de mest sofistikerte skadevaretypene. Det er vanskelig å oppdage, og fjerningsprosessen må utføres med størst mulig omhu. The LDHY virus er kjent for å blokkere de kjørbare filene til sikkerhetsprogrammer fra å starte. Denne blokkeringen er ikke proaktiv og er basert på endringene den gjør før krypteringen. Derfor, du må omgå denne barrieren og fikse den etter at løsepengevaren er fjernet. Og det er viktig å fjerne viruset før du tar andre handlinger – ellers, ransomware vil tilbakestille endringene dine.

Den beste programvaren for fjerning av skadelig programvare for dette formålet er Loaris Trojan Remover. Denne applikasjonen kan fjerne ransomware-trusselen fra PC-en og reparere systemet etter angrepet. Den har en avansert skannemekanisme som består av tre forskjellige moduler som kan oppdage løsepengevare i enhver form. I tillegg, du vil kunne sjekke opp alle mistenkelige steder med funksjonen Custom Scan – den vil skanne den angitte katalogen på bare et minutt.

Det er viktig å nevne at å omgå løsepengevaren som blokkerer oppstarten av executive-filer krever oppstart i sikkermodus med nettverk. Du kan laste ned installasjonsprogrammet før oppstart eller etter det – det vil ikke ha noen betydning i det hele tatt.

For å starte PC-en i sikkermodus, du må åpne feilsøkingspanelet. Trykk Win → Power, og klikk deretter på Restart-knappen mens du holder nede Shift-tasten. Etter det, vil du se feilsøkingsskjermen. Gå til Oppstartsinnstillinger → Windows 10 Sikkermodus med nettverk. Trykk Enter og vent til systemet laster.

Start på nytt i sikkermodus

Sikker modus i Windows antar at systemet laster uten visse moduler, spesielt – oppstartsprogrammene og en del av Group Policys. Denne modusen er praktisk for fjerning av skadelig programvare siden den forhindrer lansering av programmer som ikke er oppført som systemer og nagler de fleste restriksjoner implementert av skadelig programvare.

Fjern løsepengevare med Loaris Trojan Remover

Når PC-en er startet opp i sikkermodus, start installasjonsfilen for Loaris og vent til programmet er installert. Det kan ta flere minutter. Etter det, programmet vil tilby deg for å aktivere en gratis prøveversjon. Denne handlingen anbefales siden den lar deg bruke den fulle funksjonaliteten til Trojan Remover. Bare legg inn e-postadressen din og motta en gratis prøvekode.

Trojan Remover hovedskjerm
Trojan Remover Hovedskjerm

Når prøveversjonen er aktivert, starte hele skanningen. Det kan vare til 20-30 minutter, så ha tålmodighet. Du kan bruke datamaskinen under denne operasjonen uten noen begrensninger.

Loaris scan for LDHY files

Etter skanningen, du vil se listen over oppdagede trusler. Som standard, programmet utpeker passende handlinger for hver deteksjon. Spesielt, for the LDHY virus, det er en fjerning. derimot, du kan administrere disse handlingene ved å klikke på etiketten på høyre side av deteksjonen hvis du tror at enkelte gjenstander kan trenge en annen handling.

LDHY Ransomware Removal Process

How to decrypt LDHY files?

Det er ikke mye du kan gjøre with the files encrypted by LDHY ransomware if everything is done properly. Denne skadelige programvaren forutsetter bruk av to nøkkeltyper – online og offline. Førstnevnte er den viktigste, og det brukes i de fleste tilfeller. Det består av 256 symboler og er unik for hvert offer. LDHY virus mottar den fra kommandoserveren hver gang den prøver å kryptere en annen mappe i filsystemet. derimot, når den ikke klarer å koble til serveren – fordi den er nede eller det er tilkoblingsproblemer – filene er kryptert med en frakoblet nøkkel. Frakoblet nøkkel er alltid singel for hver variant, slik at alle ofre hvis filer ble kryptert med frakoblet nøkkel kan lagres.

Emsisoft tilbyr et verktøy for å dekryptere filene etter STOP/Djvu-angrepet. Utviklerteamet samler inn de lekkede offline- og onlinenøklene. Det er 100% gratis å bruke siden selskapet utfører denne handlingen på frivillig basis.

Dekrypter filene dine med Emsisoft Decryptor for STOP Djvu

Last ned og installer Emsisoft Decryptor for STOP Djvu fra utviklerens nettsted. Deretter, åpne applikasjonen og foreta et primært oppsett. Du må spesifisere mappene der de chiffrerte filene er lagret. Deretter, du kan trykke "Dekrypter" og se etter resultatene.

Emsisoft Decryptor for STOP Djvu
Fildekrypteringsprosess

Under dekrypteringsprosessen, du kan se visse meldinger fra programmet. La oss sjekke dem ut:

  • ☞ Eksternt navn kunne ikke løses

    Denne meldingen står for feilen i å løse Emsisoft-serverne’ DNS. Siden programmet ikke tar med databasen med nøkler og mottar den fra skyen, den trenger en stabil Internett-tilkobling. I tilfelle denne feilen, Prøv å tilbakestill HOSTS-filen og prøv igjen.

  • ☞ Ingen nøkkel for ny variant online ID: [ID-en din]

    Legge merke til: Dette er en online ID. Dekryptering er umulig.

    Det verste scenarioet – du har filene dine kryptert med online-nøkkelen. Det er unikt for hvert offer. Derfor kan du ikke dekryptere filene med Emsisoft-verktøyet.

  • ☞ Ingen nøkkel for ny variant offline ID: [eksempel ID]

    Denne ID-en ser ut til å være en frakoblet ID. Derfor, dekryptering kan være mulig i fremtiden.

    Fotnoten til denne meldingen forklarer mye. Du er heldig nok siden filene dine ble kryptert med en frakoblet ID, men det er ingen nøkkel lekket for saken din ennå. Ha tålmodighet og vent. Nøkkelen kan vises om flere uker.

  • ☞ Feil: Kan ikke dekryptere filen med ID: [ID-en din]

    Denne meldingen betyr at Emsisoft-programmet ikke klarte å finne den tilsvarende nøkkelen for ditt tilfelle. Fortsatt, det er ikke den verste situasjonen – det kan fortsatt vises i fremtiden.

Få tilbake filene dine med filgjenopprettingsverktøy

Dekrypteringen jeg beskrev ovenfor er ikke det eneste alternativet for å gjenopprette filene. På grunn av den spesifikke algoritmen som brukes av løsepengevare under chiffreringsprosessen, , det er mulig å komme seg filene med filgjenopprettingsverktøy. Jeg vil anbefale PhoroRec som en gratis og effektiv løsning.

STOP/Djvu løsepengevare krypterer ikke den eksakte filen. Den kopierer originaldokumentet, chiffererer det, sletter deretter originalen og erstatter den med en kryptert kopi. i mellomtiden, fillagringsteknikkene gjør det mulig å gjenopprette de slettede filene fra disken. Å slette filene fra operativsystemet betyr vanligvis å slette informasjonen om filplasseringen på disken fra filsystemet. Samtidig, disken beholder fortsatt resten av filen – inntil det tilsvarende området ikke vil bli fylt med det andre, validert av filsystemet.

PhotoRec er et verktøy som søker etter disse gjenværende fildelene og gjenoppretter dem. Den kan grave ut resten av filene du har slettet tidligere, men det er mye bedre å få viktige data tilbake og slette de overflødige filene. La oss se hvordan du bruker det riktig.

Using PhotoRec to recover .LDHY files

Last ned PhotoRec fra den offisielle nettsiden. Det er gratis og spres sammen med det andre verktøyet fra denne utvikleren – TestDisk. Siden den er bærbar, du trenger ikke å installere det – bare pakke ut det nedlastede arkivet og åpne mappen. I det, finn filen qphotorec_win.exe og start den.

Fotoopptaksverktøy

I programmet, du må sette opp før hver diskskanning. Først, velg disken eller partisjonen du vil skanne fra rullegardinmenyen i den øvre delen av vinduet. Deretter, du må spesifisere mappen for de gjenopprettede filene. Det anbefales å dumpe alle gjenopprettede filer til en USB-flash-stasjon. Endelig, du må spesifisere filformatene du vil gjenopprette. PhotoRec gjenoppretter seg over 400 forskjellige formater, men å velge alle vil øke skannetiden betydelig. Det anbefales å registrere deg kun for filtypene du trenger.

File Recovery for LDHY

ofte stilte spørsmål

🤔Hvordan dekrypterer den elektroniske løsepenge-ID-en?

dessverre, det er ingen måte å dekryptere online-IDen på en vanlig måte. The encryption LDHY ransomware uses too tough; å dekryptere den med moderne datamaskiner vil ta millioner av år. Den mest lovende måten å få filene tilbake på i tilfelle av online ID er å bruke filgjenopprettingsverktøy, som vist ovenfor.

🤔Bør jeg betale for løsepengevaren?

Det kan se ut som en åpenbar løsning, men det er en dårlig idé. Først, ved å betale løsepenger, du sponser automatisk skurkene, deres aktivitet, og apparatet for pengene de vil motta (vanligvis lignende fredløs aktivitet). Det andre problemet er at ransomware-operatører ikke alltid er ærlige og kan be deg om å betale en gang til for å få dekrypteringsnøkkelen. Fra et juridisk synspunkt, du er tydelig, men det er nok moralske prinsipper til å bryte gjennom.

🤔Hvordan beskytter du deg mot løsepengevare?

Ransomware er en enormt tvilsom skadevare, så forebyggende metoder, samt måter å reversere angrepet, må påføres også. De fleste angrep skjer gjennom falske nettsteder, hvor hackede programmer eller filmcamrips spres. I noen sjeldne tilfeller, skurker sprer løsepenger ved å tilby ondsinnede filer på ulike fora eller chatter. Kutte disse kildene, dvs., unngå disse filene, er den beste måten å redusere løsepengevarerisikoen i størrelsesordener.

Å håndtere kjølvannet av løsepengevareangrepet må også være et problem. Å ha dataene dine sikkerhetskopiert regelmessig vil løse problemet med datatilgjengelighet etter angrepet. Bruk av spesialprogramvaren som vil synkronisere dataene dine med skylagring etter hver arbeidsdag, vil redusere tidsforsinkelsen for sikkerhetskopieringen. i mellomtiden, standard backupmetoder, som OneDrive eller Volume Shadow Copies, er ineffektive siden løsepengeprogramvare deaktiverer dem selv før krypteringen.

🤔Is Loaris able to decrypt LDHY files?

Loaris Trojan Remover is only capable of removing the LDHY ransomware and fixing your PC after the attack. Det er ikke et dekrypteringsverktøy og har ingen muligheter til å tilbakestille chiffreringsprosessen. For å prøve å dekryptere filene, bruk det tilbudte dekrypteringsverktøyet.

🤔Are LDHY files dangerous?

De er de samme som filene du pleide å se på disken din. Det eneste som ble endret av løsepengevaren er kryptering av filoverskriften, som inneholder nøkkelinformasjonen for filsystemet til å gjenkjenne og lese den. Alt i alt, de er ikke smittet, som ved et datavirusangrep – de har nettopp mottatt en ondsinnet endring. Du kan beholde dem på disken din uten bekymringer angående PC-sikkerheten.

Legg igjen en kommentar