Coin Locker Ransomware - Hvordan Fjernes Det?

 

Selvom Coin Locker ransomware anvender en simpel krypteringsteknik, den såkaldte Cæsar-kryptering, kan den alligevel give dig noget af en hovedpine. Navnet på denne kryptering stammer fra selveste Julius Cæsar, som krypterede beskeder ved at erstatte hvert bogstav med et bogstav et vist antal punkter længere nede i alfabetet.

Om Coin Locker Ransomware

Denne Cæsar-kryptering, som Coin Locker ransomware anvender, er kendt under titlen ROT4. Denne særlige kryptering udskifter det indledende bogstav med et bogstav fire pladser længere nede i alfabetet. F. eks bliver bogstavet ”A” erstattet med ”E” og så videre. Således fungerer denne krypteringsalgoritme. Coin Locker fil-encrypter går efter alle filer, undtagen dem, som indeholder ordene: ”Mozilla”, ”Google”, ”Windows” og ”Notepad” i deres sti. Det tilføjer ”. encrypted ”-udvidelsen til filnavn-udvidelserne ved de krypterede filer. ”book.pdf” bliver f. eks til ”book.pdf.encrypted”.

Når krypteringen er overstået, smider Coin Locker ransomware en ”coin.Locker.txt”-fil i hver mappe med de krypterede filer. Denne fil indeholder beskeden om løsesummen, der lyder som følgende:

Du er blevet inficeret med Coin Locker malware.

Alle filer i dette system er blevet krypteret.

For at få adgang til dine filer igen skal du bruge Coin Locker dekrypteringsprogrammet.

For at få vores software er du nødt til at få adgang til det dybe net med TOR, download TOR her:

https://www.torproject.org/download/download-easy.html.en

Start TOR og navigér hen til vores webside:

http://unjbvgrxu2mpobuj.onion

Følg punkterne på webstedet, for at du kan bruge dekrypteringsprogrammet, og dine filer vil blive låst op.

Som du kan se, så indeholder meddelelsen et link til et TOR-websted, hvor betalingen tilsyneladende skal foretages. Størrelsen på løsesummen skulle efter sigende svinge mellem 50 til 500 dollars. Som sædvanligt skal de veksles til crypto-valuta, dvs. bitcoins.

Hvordan spredes Coin Locker Ransomware?

Coin Locker virus har to distributionsmetoder. Den første er den typiske for trojanske virusser, dvs. den teknik, hvor der sendes inficerede spam e-mails til offeret. I disse spam e-mails er der indlejret ondsindede links, eller der medfølger ondsindede vedhæftninger. De kan være forklædt som vigtige e-mails fra virksomheder, såsom velkendte forsendelsestjenester (FedEx) eller myndigheder (Told og Skat). De kan også være uden afsender. Uanset hvad, så skal man ignorere den slags e-mails. Den anden distributionsmetode, som Coin Locker ransomware anvender, involverer BlackHole (exploit kit). Dette EK downloader og installerer ransomwareprogrammet i dit computersystem, når du følger nogle kompromitterede links og besøger ondsindede websider. Derfor er det vigtigt, at du lytter til din browser, når den sætter nogle URL’er på den sorte liste og advarer dig om mulige fare ved at besøge dem. Derudover er ordentlige antivirusprogrammer, såsom Reimage eller SpyHunter et must.

Hvordan dekrypterer man filer, der er krypteret af Coin Locker Ransomware?

It-sikkerhedsforskeren Nathan Scott har udviklet et dekrypteringsprogram til Coin Locker crypto virus. Dekrypteringsnøglen kan downloades fra følgende link: http://download.bleepingcomputer.com/Nathan/Coin_Locker_Decrypter.exe. Når du har downloadet og installeret dette program, skal du dobbeltklikke på det og køre det. Det er et brugervenligt værktøj. Al vejledning beskrives klart og tydeligt, når du har startet det. Den anden del af arbejdet består i at slette malwareprogrammet fra din computer. Til den opgave kan du benytte et automatisk anti-malware værktøj, såsom Reimage, SpyHunter eller Malwarebytes. Du kan også følge vores gratis vejledning til manuel fjernelse af Coin Locker ransomware nedenfor.



Automatiske fjernelsesværktøjer til Coin Locker Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom Coin Locker Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes Coin Locker Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Coin Locker Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Coin Locker Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Coin Locker Ransomware.


3. Gendan filer, der er påvirket af Coin Locker Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Coin Locker Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
august 22, 2016 07:31, august 22, 2016 07:31
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *