Aviso Ransomware - Hvordan fjernes det?

 

Aviso Ransomware udspringer fra Spanien. Ordet Aviso betyder advarsel på dansk. Programmet blev opdaget i denne måned, altså oktober 2016, og anses for at være en ny variant af TorrentLocker ransomware. Aviso cryptomalware er skrevet i AutoIt, som passer til Windows OS. Altså er computerbrugere med Windows den primære målgruppe for udviklerne af Aviso ransomware virus. Helt konkret sigter hackerne bag dette ransomware hovedsageligt efter Windows-brugere i Spanien. Derudover er brugere i engelsktalende lande, Portugal, Italien, Tjekkiet og Brasilien også blevet ramt. Der har været spekulationer om, at Aviso virus er på et udviklingsstadie, og at udviklerne af det har planer at strække armene endnu længere vedrørende de lande, som virussen skal spredes til.

Hvordan inficerer Aviso Ransomware ofrets enhed?

Ligesom andre udviklere af ransomware-virusser har for vane, så anvender designerne af Aviso ransomware også spam e-mails til at sende ransomwareprogrammets eksekverbare fil til ofrets e-mail konto. De særlige midler, som hackerne af Aviso cryptomalware bruger for at få de ramte brugere til at udføre den ondsindede fil, er som følgende: ofret modtager en e-mail angiveligt fra Endesa S.A – det største el-forsyningsselskab i Spanien. Denne e-mail kan imidlertid kun lande i spam-mappen, og det er usandsynligt, at den dukker op i indbakke. Faktisk er det slet ikke muligt. Spam e-mailen indeholder en ZIP fil ENDESA_FACTURA.zip, som foregiver at være en regning fra Endesa S.A selskabet. Når den intetanende bruger åbner den, begynder ransomwareprogrammet at køre i systemet.

Aviso Ransomwares fremgangsmåde

Aviso cryptomalware er designet til at bruge asymmetrisk krypteringsalgoritme til at kryptere datafilerne, og det omfatter kombinationen af den private AES og den offentlige RSA-nøgle. Denne krypterende virus krypterer filer, som er gemt på de lokale drev, uanset dataopbevaringen, som deles i netværket. Filer, som nemt kan blive krypteret af Aviso krypteringsprogrammet, er:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2

Filerne med de ovenstående udvidelser får foranstillet Lock præfikset. F. eks bliver Song.mp3 filen omdøbt Lock.Song.mp3, efter at krypteringen har fundet sted. De første beskeder om løsesummen, som ofrene modtog, var skrevet på spansk. Men senere blev det indberettet, at Aviso sendte beskeder på engelsk, portugisisk, italiensk og tjekkisk. Følgende tekst er løsesum-beskeden på portugisisk:

Olá Sr(a), TODOS os seus arqurvos foram BLOQUEADOS e esse bloqueio somente ser á DESBLOQUEAdo caso pague o valor de RS 2000.00 (Dois Mil Reais) em Bitcoons Após o pagamento desse valor, basta me enviar um pnnt para o email_ infomacaonh@gmail.com que estarei lhe enviando o programa com a senha para descryptografar/desbloquear o seus arquivos. Caso o pagamento nao seja efetuado, todos os seus dados serao bloqueados permanentemente e o seu computador será totalmente formatado (Perdendo assim, todas as informa ções s contidas nele, incluindo senhas de email, bancarias…) O pagamento deverá ser efetuado nesse endereco de Bitcoin

[34 random characters]

De 34 tilfældige tegn i slutningen af beskeden står for betalingsidenten. Aviso forlanger et beløb, der svarer til ca. 624 dollars betalt i BitCoins. Kontakt e-mailen er infomacaonh@gmail.com. Men vi kan sandelig ikke anbefale, at man kontakter disse it-kriminelle.

Hvordan gendanner man de tabte data og reparerer den ramte computer?

Først er du nødt til at fjerne ransomwareprogrammet, for hvis ransomwareprogrammet stadig kører i computersystemet, kan nye filer med de ovenstående udvidelser blive krypteret. Alle udtagelige drev, som du sætter ind i din pc, kan også blive inficeret. Derfor skal de ødelagte data kopieres, og ransomwareprogrammet skal fjernes. Anti-malwareprogrammer, såsom Reimage, Spyhunter eller Stopzilla er egnet til formålet. Du er kun nødt til at genstarte din maskine i Fejlsikret tilstand, hvis du kan se, at denne krypterende trojanske hest blokerer det. Der er altid mulighed for en manuel fjernelse. Men hvis du kommer til at gøre noget forkert i løbet af den manuelle fjernelse af ransomwareprogrammet, risikerer du mere, end når du blot fjerner et almindeligt malware, som f. eks et adwareprogram.

Filer, som er krypteret af Aviso filkrypterende virus, kan i øjeblikket ikke dekrypteres. Du kan kun bruge de ekstra kopier i form af de sikkerhedskopierede data, som f. eks Shadow Volume kopier, USB-flashdrev osv. Hvis du ikke har sikkerhedskopieret dine data, kan du prøve at anvende et program til datagendannelse, såsom R-Studio, software fra Kaspersky, Recuva, PhotoRec osv. De kan ikke garantere dig 100% datagendannelse, men de kan være til nytte. Hvis du kan tillade dig den luksus at vente på et dekrypteringsprogram fra sikkerhedsforskere, skal du gøre det.


Automatiske fjernelsesværktøjer til Aviso Ransomware

 

Andre værktøjer

 
  0   0
    Malwarebytes Anti-Malware
  0   0
    Hitman Pro
 
Bemærk: Denne Spyhunter-prøveversion tilbyder gratis at finde parasitter, såsom Aviso Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes Aviso Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Aviso Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Aviso Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Aviso Ransomware.


3. Gendan filer, der er påvirket af Aviso Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Aviso Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

           
oktober 30, 2016 07:46, oktober 30, 2016 07:46

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *