BitKangoroo ransomware - Hvordan fjernes det?

BitKangoroo krypto-virus er lige blevet opdaget, og sikkerhedseksperterne har allerede designet et gratis dekrypteringsprogram til den. Så der er bestemt ingen grund til at betale 1 BTC (ca. 1699,33 dollars) til bitcoin-tegnepungen 18aRr8X8TEum1cLcCZLRZw7HJTdboSawTw. Krypteringsprocessen fuldføres med AES-256 krypteringen, men ransomwareprogrammet er ikke blevet programmeret godt nok. På den anden side kan denne variant stadig være under udvikling, og det fundne eksemplar kan måske blot være en testkørsel. Dette specifikke ransomware virker som en skærmlås, som vil komme med de primære oplysninger om infektionen. Et af de ubehagelige træk ved dette ransomware er, at det ikke giver ofrene tid til at bestemme sig for, om de skal betale løsesummen eller ej. Hackerne tager tid på brugerne, og hvis de er for lang tid om at foretage transaktionen, bliver alle filerne slettet.

De væsentligste træk ved BitKangoroo ransomware

Den skadelige version af IEAgent.exe står som nyttelasten for dette ransomware. Den vil formodentlig blive placeret i AppData-mappen og derfra vil den begynde at foretage nogle specifikke ændringer i operativsystemet. Når Windows Registreringsdatabasenøgler bliver justeret til at køre den skadelige applikation, hver gang enheden genstartes, kan den skadelige proces ses i Windows Jobliste. Ifølge sikkerhedseksperterne er filen IEAgent.exe ikke en vigtig del af Windows, og ofte er denne proces tegn på en infektion.

BitKangoroo ransomware virus

Det interessante ved BitKangoroo virus er, at den giver ofrene begrænset tid til at overveje deres muligheder. Denne funktion er naturligvis lavet med henblik på at få folk til at forhaste sig, så de ikke har mulighed for først at finde ud af, at der findes en gratis fildekryptering. Først får man 60 minutter til at foretage transaktionen. Hvis hackerne ikke modtager en e-mail, der bekræfter det sendte beløb, vil de slette 1 fil som en trussel. Derefter får man yderligere 60 minutter. Når tiden udløber, vil straffen være hård: alle de krypterede data med vedhæftningen .bitkangoroo vil blive slettet.

Brugerne har derudover kun et enkelt forsøg til at gendanne deres filer, hvor de indtaster den korrekte kode til dekrypteringen. Hvis kombinationen viser sig at være forkert, vil infektionen udslette alle de krypterede filer. Denne funktion er imidlertid ikke færdiggjort. Hvis ofrene vælger at betale, er de nødt til at kontakte svindlerne på e-mailadressen [email protected]. Men det er der dog ingen grund til at gøre, for man kan nemlig dekryptere filerne med det gratis dekrypteringsprogram. Hent det her.

Sådan beskytter du dine filer mod kryptering

Her kan du få nogle gode råd til, hvordan du fremover beskytter dine filer mod kryptering. Du skal altid gemme dine filer i sikkerhedskopilagre. Hvis dine filer fra den første placering bliver ødelagt, har du mulighed for at få dem tilbage fra den anden placering. Nogle gange gemmer folk også deres filer på USB-flashdrev, hvilket fungerer som et alternativ til online sikkerhedskopi-tjenester. Disse muligheder er nemme at komme til og nemme at bruge. Så du bør bestemt overveje dem.

Sådan bliver ransomware-nyttelaster overført

De forskellige ransomwareprogrammer distribueres som regel sammen med skadelige spam-kampagner, exploit kits og på de sociale netværk. På de sidstnævnte domæner kan vildledende filer og links til falske artikler være årsagen til en krypto-virus. Hvis du er blevet tagget i et opslag med et link til en tilsyneladende chokerende hjemmeside, skal du ikke bare følge det. Derudover kan pornografisk materiale lejlighedsvis være en del af såkaldte rogue opslag, som distribuerer trojanske virusser. Hvis din indbakke endvidere modtager en e-mail fra en ukendt afsender, skal du heller ikke være for hurtig til at åbne den eller reagere på den. Skadelige vedhæftninger såsom .doc filer kan indeholde skjulte makroer.

1. Hvordan fjernes BitKangoroo ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, BitKangoroo virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af BitKangoroo ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med BitKangoroo virus.


3. Gendan filer, der er påvirket af BitKangoroo ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. BitKangoroo virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *