Thice.nl

Thice Security

De Star 6, 1601 MH Enkhuizen
Thice Security

Getting rid of the Buma Stemra ransomware malware – Windows 7

09/03/2012, by Thice, category Malware

Word reached me that my approach to get rid of the Buma Stemra Ransomware malware did not work on Windows 7. I initially only tested the approach on Windows XP, but I now took the time to test it on Windows 7 as well. The video below will show that the approach worked fine on Windows 7 in my test environment. While the approach is mostly the same there are some small differences.

Note: The malware could not reach the webserver of the attackers, so the malware could not show the Buma Stemra screen.

31 Comments

  1. kees |

    Hallo,

    Is het mogelijk dat deze stappen in tekst met plaatjes geplaatst kan worden aangezien ik niet het filmpje kan bekijken heb maar 1 pc thuis namelijk (zit nu op me werk).

    Bvd

    Groet

    Kees

  2. kees |

    I think i have fixed it, was running win7 thought you needed other writing but like you said its mostly the same.. btw, if you have more accounts you need to use on both accounts the NoDesktop/DisableTaskMgr fix

  3. kees |

    Hallo,

    Ik heb de ransomware eraf kunnen krijgen, hartelijk dank hiervoor 🙂

  4. Jeanne |

    @Thice
    I just wanted to try it and all of a sudden my anti-virus software started working on it! So I cannot tell you if this approach would work on Vista too… Anyway, thank you for the tutorial and your reply.

  5. tjerk |

    ik heb het eerste gedeelte goed kunnen doen. alleen zit ik nu met het probleem dat ik niet in het register kan komen. hij geeft namelijk aan dat het geblokkeerd is door de systeembeheerder. ik heb al een aantal dingen geprobeerd maar het lukt me niet om erom heen te komen. heb jij hier nog tips voor?

  6. tjerk |

    @Thice

    bedankt voor je link thijs.maar mijn laptop doet nog steeds niet helemaal goed als bepaalde menus op zoals die van de taskmanager dan zie ik helemaal geen tekst dan zie ik alleen maar de contouren van dat scherm en de contouren van de knoppen waar je op kan klikken. weet jij hoe ik dit kan oplossen?

  7. Ricky |

    Hallo,

    Ik heb ook het probleem met dit virus, maar ik kom er niet uit. Bij de stap waar ik AppData in intoets en dan Roaming aanklik staat het bestand h6s5ruij653.exe er niet tussen. Waar kan ik deze vinden? kan iemand mij hiermee helpen

  8. Thice |

    @Ricky
    Staat er toevallig een ander verdacht bestand? Het kan zijn dat het hier om een andere variatie van de malware gaat.

  9. Thice |

    @tjerk
    Het beste is om de gehele PC opnieuw te installeren nadat je de data die je wilt bewaren elders hebt opgeslagen.

  10. rogoos |

    Alternatief voor deze oplossing, waarschijnlijk een variant:

    C:\Users\Username\AppData\Local\Temp\

    AVG Rescue disk, naar deze folder. Alle bestanden weggooien…..

    Opnieuw booten, helaas nog geen shell … regedit

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell C:\windows\explorer.exe [ was : C:\Users\Username\AppData\Local\Temp\k8h0pp.exe ]

    Ook even zoeken naar AlternateShell en ook aanpassen…..

    Dit lost het ook op…..

  11. tim |

    @Thice
    Ik heb hetzelfde probleem als Ricky. Het bestand staat er niet in, en ook geen ander verdacht bestand.

  12. Thice |

    @tim
    As long as no one sends me the new malware I can not investigate the differences I am afraid.

  13. dominique |

    Hallo,

    Ook ik ben getroffen door dit virus. Moet zeggen dat ik na een paar uur met de handen in mijn haar te hebben gezeten, besloten heb hier een vraag te stellen. Ik hoop dat jullie mij verder kunnen helpen. Ik wil er op dezelfde manier als het filmpje vanaf komen, maar ik krijg geen pop-up venster. Heb al veel manieren geprobeerd maar het lukt niet. Ik maak normaal aan het einde van elke maand een backup, maar net nu natuurlijk niet :s. Mijn bestanden MOETEN bewaard blijven voor mijn werk.

    Als iemand mij kan helpen zou ik dit erg waarderen.

    Groet,
    Dominique

  14. Inge |

    Ook ik kan geen verdacht bestand vinden onder Roaming. Sowieso geen bestanden die afgelopen maand nog gewijzigd zijn.
    Onder Local staat wel iets met de datum en tijd van wanneer mn laptop crashte eerder deze avond, maar dat heeft de naam ‘tempfiles’. Die moet ik zeker niet hebben?

  15. Thice |

    When the instructions on this site don’t work for you check the excellent alternative instructions on the following website:
    http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5927

    If possible please send the malware file to me if you can. Also, please send the malware location so other people can find the malware on their systems.

  16. Muriel |

    Verdacht bestand heette bij mij Warcraft en stond onder Roaming (Windows Vista). Toen ik hem probeerde te renamen, schoot de virusscanner in actie. Probleem lijkt daarmee opgelost. Bedankt voor de hulp!

  17. Remco |

    @Thice
    I got a problem to with the virus problem is I can’t get to that menu to copy or print or any thing. The virus is a bit modified I think. I’m also not sure if I found the correct exe but there was one that was created the day I got the virus. But I wanted to be sure so I gone to roaming but there was no exe file but also some of the same time and date as whene I got this virus. Thought maybe that will help a bit don’t know how I can send it to you. But maybe if you can say how I will send some of the files I found. Maybe than you could help me.

  18. Thice |

    @Remco
    Hi Remco, can you put the files in an encrypted RAR file (with hide file information on) by any chance? If so you can email them to mod at thice . nl.

  19. Aldert |

    Ook ik ben al uren op zoek naar dat h6s5… bestandje vanuit karspersky; onvindbaar. En ook bij mij werkt popup window vanuit die BUMA STEMRA melding niet. Daarmee helpen de filmpjes van thice en pcwebplus me dus niet op weg. Iemand enig idee?

  20. Evert Hoogers |

    hallo,

    Perfecte oplossing !
    Dit virus gebruikt diverse namen.
    In mijn laatste geval: flgshl.dll in de roaming folder.
    Door de diverse register sleutels te doorlopen en die te verwijderen was het euvel snel verholpen.

    Gr, Evert.

  21. Remco |

    Can I do that with winrar, sorry i’m quite a computer noob. btw if your dutch could you anser in dutch that’s bit more easy to understand also 😛 sorry for the late reaction. Thought I would get an e-mail if there would be a reaction but not. and if it can with winrar how do I do that?@Thice

  22. mattis |

    Unfortunately I have the same problem: not able to print anything from the screen (though I am able to get into my C drive as long as all internet connections are disabled); and not able to find or identify the virus file… I am quite willing to help by sending files through mail, but as mentioned, since my laptop jams because of the virus as soon as I connect to the internet, and I cannot identify the correct file, I am afraid this won’t work… Windows XP btw, but the method described on the othrr page does work for me either .. hints/tips/tricks anyone?

So, what do you think ?