CryptoShocker Ransomware - Hvordan fjernes det?

Folk bør regelmæssigt modtage information om nylavede virusser og potentielt uønskede programmer (PUP’er). I denne artikel fokuserer vi på et bestemt nyt ransomware-produkt, som kaldes CryptoShocker. Det forekommer ikke som et innovativt tiltag fra hackernes side, idet det følger tidligere randomwareprogrammers spor.

Om CryptoShocker Ransomware

Truslerne fra CryptoShocker ransomware står ikke til diskussion, uanset hvordan man ser på det. Denne virus er snedig og egoistisk, og fast besluttet på at behage sine skabere ved at forsøge at overbevise brugerne om, at det er en logisk og praktisk løsning at betale løsesummen. Men sikkerhedsforskere har gjort mange forsøg på at åbne brugernes øjne for den ubestridelige sandhed – at man ikke så meget som blot et kort øjeblik skal overveje at overføre penge til disse it-kriminelle.

CryptoShocker ransomware starter sit virke umiddelbart efter sin sejrrige infiltration i computersystemet. Det opfører sig som en gammel krigsveteran og skjuler sin eksistens for det uopmærksomme øje ved hjælp af en camouflage i form af en eksekverbar fil. Disse tilsyneladende funktionsdygtige filer er gemt i kategorier såsom: %AppData, %Roaming%, %User’s Profile%, %My Documents%, %Desktop%, %Windows%. Så man skal først og fremmest undersøge disse steder for tilfældige filer såsom: windows-update.exe, 32r209239032r.exe, svchost.exe eller wsus.dll. Så nu hvor programmet har gemt sig selv på ægte trojanske virus manér, er tiden inde for CryptoShocker at fortsætte med sine usle planer.

CryptoShocker ransomware begynder at kryptere filer med en AES-krypteringskode. Man har ikke helt anslået, hvor stærk den valgte kode er. Undersøgelser er kun kommet frem til, at den kan variere fra 128 til 512 bit-kryptering. Filer, som er krypteret af CryptoShocker, får tilføjet .locked udvidelsen. Så hvis brugeren har en fil ved navn dog.jpg, vil den efter ransomware-krypteringen hedde dog.jpg.locked. Hackerne bruger denne taktik for at skræmme deres ofre endnu mere, idet de nærmest er vidne til krypteringen.

Folk, som ikke har nogen anelse om, hvad en ransomware-infektion er, kender naturligvis ikke alle detaljerne og kravene på forhånd. CryptoShocker ”hjælper” med at placere en ATTENTION.url fil på skrivebordet. Når man åbner den, vil man kunne se en sammensætning af krav, som kaldes ”If they ever want to execute the encrypted files again” (Hvis du gerne vil udføre dine krypterede filer igen”. Der kræves en løsesum på 200 dollars, som man skal overføre i bitcoins.

Hvordan dekrypterer man filer, der er krypteret af CryptoShocker Ransomware?

I øjeblikket er der endnu ikke lavet et værktøj, der fokuserer på dekrypteringen af CryptoShocker ransomware. Men vi er sikre på, at sikkerhedsforskere er i gang med at frembringe et nyt gendannelsesværktøj af maksimal effektivitet. Indtil da kan du benytte universelle gendannelsesværktøjer, såsom PhotoRec og R-Studio. Det er ikke altid, at de virker, men i nogle tilfælde er disse applikationer i stand til at gendanne de krypterede data. Eller i det mindste dele af dem. Og hvis du derudover har været smart nok til at sikkerhedskopiere dine filer, har du dermed en ukompliceret løsning på problemet.

Hvordan spredes CryptoShocker Ransomware?

CryptoShocker virus har ikke en officiel omdeler. Faren for at komme til at lide under en ransomware-infektion ligger faktisk gemt i brugernes e-mailkonto. Spam post er kendt for at sprede virusser og fremme ransomware-infektioner via upålidelige vedhæftninger. Folk falder somme tider i de professionelt udformede fælder, fordi meddelelserne ser ud til at komme fra lovlige og officielle kilder. De kan ligne ægte tilbud til opdatering af dit software eller andet fra en pålidelig virksomhed. Vedhæftningerne bliver tilføjet e-mailen og er simpelthen ulve i fåreklæder.

Hvis du kan genkende dig selv i dette scenario og ved, at du har åbnet en sådan meddelelse, så skal du skynde dig at scanne din computer med et antivirus program, såsom Spyhunter, Hitman eller Reimage. Du kan måske nå at sætte en stopper for dette vanvid, hvis krypteringen af dine filer endnu ikke er påbegyndt. Hvis den er, kan du benytte de førnævnte anti-malware programmer til at overvinde denne virus.

1. Hvordan fjernes CryptoShocker Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, CryptoShocker Ransomware trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af CryptoShocker Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med CryptoShocker Ransomware.

3. Gendan filer, der er påvirket af CryptoShocker Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. CryptoShocker Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.