CTB-Faker Ransomware - Hvordan Fjernes Det?

 

CTB-Faker ransomware er en ny variant af ransomware, som prøver at efterligne CTB-Locker ransomware. Men den har ikke held med den mission, for den er ude af stand til at kryptere data. CTB-Faker virus låser kun ofrets data i et arkiv, hvilket ligger langt fra det, de grundige ransomwareprogrammer gør, såsom det nyligt udsendte Microsoft Decryptor ransomware.

Om CTB-Faker ransomware

I stedet for rent faktisk at kryptere offerets filer, så flytter CTB-Faker virus dem hen i et ZIP-arkiv. Denne ransomware-trussel anvender WinRAR til at placere alle filer med følgende udvidelser i et C:Users.zip ZIP-arkiv, som er beskyttet med et kodeord. Udvidelserne er:

.exe, .msi, .dll, .jpg, .jpeg, .bmp, .gif, .png, .psd, .mp3, .wav, .mp4, .avi, .zip, .rar, .iso, .7z, .cab, .dat, .data

Derefter oprettes 2 filer: your personal files are encrypted.txt og index.html. Your personal files are encrypted.txt placeres på C-drevet og i Program Data mappen i drevet. Index.html filen vil også blive anbragt i Program Data mappen på C-drevet. Disse to filer indeholder meddelelsen om løsesummen. Hackerne bag CTB-Faker malware meddeler, at deres ondsindede program har en stærk krypteringsalgoritme, nemlig SHA-512, og at en unik nøgle – RSA-4096 – er udviklet til dekrypteringen af offerets data. Det hævdes, at den er gemt i en dark server. Størrelsen på løsesummen er 50 dollars, så disse it-svindlere virker i det mindste ikke grådige. Desuden giver de dig 7 dage til at overføre beløbet, medmindre kompensationen for de data vil blive fordoblet. Bitcoins-adressen er 1NgrUc748vG5HerFoK3Tkkb1bHjS7T2w5J. De it-kriminelle anmoder også om, at man sender overførsels-id via e-mail til miley@openmailbox.org for at få dekrypteringsnøglen. Denne e-mail angives også til hjælp og support. Der oplyses også om en alternativ BTC-adresse – 3MTTgd2BaPndUYkmGjiacaPLkuWsiPUzM3, ligesom der er en alternativ e-mailadresse – help@openmailbox.org.

CTB-Faker-hackerne truer med at ødelægge nøglen, hvis offeret ikke overholder reglerne, som angives i meddelelsen. De siger, at man kun kan få sine data tilbage, hvis man betaler løsesummen. Men det passer ikke. Læs det følgende afsnit, så du kan lære, hvordan du kan få dine filer tilbage helt gratis, uden at du skal beskæftige dig med kriminelle.

Hvordan distribueres CTB-Faker ransomware?

CTB-Faker cryptomalware spredes via pornosider. Dvs. falske profilsider på sidstnævnte hjemmesider distribuerer dette ransomware, og de indeholder kodeord og links til striptease-videoer, der er beskyttet med et kodeord. Når en bruger følger de angivne links, bliver ZIP-filen downloadet på vedkommendes computer. I øjeblikket er denne ZIP-fil hostet på JottaCloud. Når Zip-filen er pakket ud og den eksekverbare køres, begynder CTB-Faker virus sit beskidte arbejde.

Hvordan dekrypterer man filer, der er krypteret af CTB-Faker ransomware?

Man kan rent faktisk forhindre CTB-Faker virus i at låse data. Når du får en pop-up med et falsk grafikkort-fejl, idet du forsøger at se den formodede striptease-video, er ransomwareprogrammet godt i gang med sin udåd. Hvis du slukker din computer på det pågældende tidspunkt, vil du løse problemet. Hvis du har det oprindelige installationsprogram til CTB-Faker ransomware, som du har downloadet, kan du hente hjælp på følgende link – http://www.bleepingcomputer.com/forums/t/619672/ctb-faker-help-and-support-topic-your-personal-files-are-encryptedtxt/. Dekrypteringsprogrammet vil frigives i løbet af få minutter.

Hvis du har brug for dine data omgående, kan du lave en kopi af det oprindelige installationsprogram og fjerne CTB-Faker ransomware med et af de følgende kraftige automatiske anti-malware-programmer: Reimage, Spyhunter eller Malwarebytes. Du kan derpå benytte din sikkerhedskopi. Hvis du ikke har nogen sikkerhedskopier af dine data, kan du tjekke dine Shadow Volume kopier, hvis du har anvendt Shadow Volume tjenesten. Hvis ikke, så kan du forsøge dig med gendannelsesværktøjer, såsom Recuva, R-Studio, PhotoRec osv. Vær smart og sikkerhedskopiér dine data fra nu af.

Du kan også fjerne CTB-Faker virus ved at følge vores trin-for-trin vejledning nedenfor. Du skal blot huske på, at i den slags tilfælde er en automatisk fjernelse altid en prioritet, da den kan yde meget mere end manuelt arbejde, også selvom du er en erfaren bruger. Hed og lykke.



Automatiske fjernelsesværktøjer til CTB-Faker Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom CTB-Faker Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes CTB-Faker Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, CTB-Faker Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af CTB-Faker Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med CTB-Faker Ransomware.


3. Gendan filer, der er påvirket af CTB-Faker Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. CTB-Faker Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
juli 26, 2016 07:44, juli 26, 2016 07:44
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *