CryptoCat Virus - Hvordan Fjernes Det?

 

Ligesom efteråret kaster bladene af træerne, begynder ransomware-virusserne af drysse ned. Denne gang blev vores opmærksomhed fanget af en variant med et ganske pudsigt navn: CryptoCat. Det er ikke sjovt, når denne lille missekat uden tilladelse roder i dine personlige filer. CryptoCat er et af den slags ransomwareprogrammer, som benytter RSA-2048 kryptering og som stærkt opfordrer folk til at betale den påkrævede sum penge. Denne gang har svindlerne valgt at være lidt mere grådige, idet de forlanger ca. 878.80 dollars (1.45 BTC) som betaling for dekrypteringsnøglen. Den slags virusser er ekstremt truende på grund af, at der altid er fare for at miste alle filer, som er gemt i enheden.

Om CryptoCat Virus

CryptoCat virus er opkaldt efter en af sine funktioner. Den vedhæfter en særlig udvidelse til alle de krypterede filer: .cryptocat. Når krypteringen er overstået og svindlerne har modtaget en besked om den nye, inficerede bruger, vil de være i stand til at gå videre med deres næste punkt. Enhver lyssky programmør er naturligvis ude på at få profit via de svigefulde strategier. CryptoCat virus er derfor også fokuseret på muligheden for at forstørre dens økonomiske ressourcer med hjælp fra de uheldige ofre. Men før ransomwareprogrammet kan have den luksus at anmode om betaling for dekrypteringen, er det nødt til at plante dets nyttelast i brugerens enhed. Hvordan det sker, vil vi komme nærmere ind på i næste afsnit. Først vil vi forsøge at uddybe den ”rejse”, enhver af den slags virusser foretager. Først og fremmest efterlader CryptoCat virus sin eksekverbare i en af mapperne, såsom System, Temp eller Lokal. Den slags skadelige filer er som regel ikke mærkbare, eftersom deres udseende virker helt normalt. Derpå modificerer denne nyttelast Windows registreringsdatabasenøgler, så de starter sammen med andre filer, der normalt køres efter genstart. Nu kan CryptoCat virus begynde at kryptere filer med den førnævnte algoritme: RSA-2048. Inden det, er ransomwareprogrammet selvfølgelig nødt til at køre en scanning for at finde ud af, hvilke filer det kan ødelægge. De valgte data kan indeholde udvidelser som disse (men også forskellige andre): .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm. CryptoCat ransomware tilføjer også filer, såsom ”CryptoCat.Ink” eller ”Your files are locked !.txt”, der informerer brugerne om, hvordan de skal forholde sig til denne situation. Beskeden om løsesummen lyder som følger:

Support e-mail: mls82@hush.ai mls82@bk.ru

Dine personlige filer, som er krypteret på denne computer: fotos, videoer, dokumenter osv.

Krypteringen blev udført ved hjælp af en unik, offentlig nøgle RSA-2048, som er udviklet til denne computer. For at dekryptere filerne er du nødt til at få fat i den private nøgle. Den eneste kopi af den private nøgle, som kan gøre dekrypteringen af filerne mulig, befinder sig i en hemmelig server på internettet; serveren vil ødelægge nøglen efter 168 timer. Derefter vil ingen være i stand til at gendanne filerne. For at få den private nøgle til denne computer, skal du betale 1.45 Bitcoin (~611 USD)

Din Bitcoin-adresse: 1DoW7ifYKAsGvBzCQR5nvdgt3qcc7M15Do

Du er nødt til at sende 1.45 Bitcoin til den angivet adresse og rapportere det til e-mail kundeservice. Bitcoin-adressen, til hvilken betalingen blev foretaget, skal stå i e-mailen.

Hvordan dekrypterer man filer, der er krypteret af CryptoCat Virus?

Selvom beskeden om løsesummen fortæller, at ofrene skal betale det påkrævet beløb inden for 168 timer, skal de endelig ikke gøre det. Det kan ende skidt, hvis du køber dekrypteringsnøglen, for det er mange penge at miste. Det er meget bedre at lave kopier af de krypterede filer for det tilfælde, at ransomwareprogrammet sletter dem permanent. Og så bør du følge vores metoder vedrørende dekryptering. Desuden er vi overbeviste om, at sikkerhedsforskere vil arbejde hårdt på at udvikle et værktøj, der kan gendanne filer, der er ramt af CryptoCat virus. Fremover skal du sikkerhedskopiere dine filer eller gemme dem på USB-sticks.

Hvordan distribueres CryptoCat Virus?

CryptoCat virus benytter de samme distributionsmetoder som alle andre ransomwareprogrammer. Svindlerne sender højst sandsynligt inficeret post ud og håber på, at modtagerne vil åbne disse beskeder og downloade vedhæftningerne. Vi anbefaler derfor, at du er meget forsigtig, når du tjekker dine e-mails. Du skal sikre dig, at al post kommer fra legitime kilder. Du skal altid tjekke først, inden du downloader vedhæftninger eller klikker på et tilfældigt link. For begge disse metoder kan nemlig blive brugt til at sprede ransomware virusser, og ikke kun CryptoCat varianten.

Vi anbefaler, at du fjerner alle spor af CryptoCat virus med et effektivt værktøj, såsom Reimage, Spyhunter eller Malwarebytes. At betale løsesummen vil altid være den forkerte beslutning.



Automatiske fjernelsesværktøjer til CryptoCat virus

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom CryptoCat Virus, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes CryptoCat virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, CryptoCat virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af CryptoCat virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med CryptoCat virus.


3. Gendan filer, der er påvirket af CryptoCat virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. CryptoCat virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
september 26, 2016 17:00, september 26, 2016 17:00
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *