DoNotChange ransomware - Hvordan fjernes det?

 

Vi har konkluderet, at DoNotChange krypto-virus fokuserer på den engelsk- og russisktalende del af samfundet online, eftersom beskeden om løsesummen, der placeres i ofrenes maskine, er oversat til de to sprog. Ransomwareprogrammer er jo kendt for at kryptere filer, og DoNotChange ransomware vil helt bestemt gøre filerne ubrugelige, men dette særlige eksemplar indlemmer også en identifikationskode i hver krypteret eksekverbare fil. Filerne beholder deres originale navn, men får påsat noget ekstra information (ofrets ID-nummer og .cry-udvidelsen i stedet for den oprindelige). Den gode nyhed er, at hvis ofrets ID-nummer er 7ES642406, er sikkerhedseksperterne i stand til at hjælpe dem med at kryptere filerne fuldstændig gratis.

Flere oplysninger om DoNotChange ransomware

DoNotChange krypto-virus begyndte sin karriere d. 29. marts 2017. Tingene så sikkert strålende ud for hackerne, men eftersom sikkerhedseksperterne allerede er i stand til at hjælpe nogle af ofrene med at gendanne deres filer, er atmosfæren nok blevet lidt mere dyster. Udviklerne af DoNotChange virus har valgt at bruge AES-algoritme til at kryptere filerne, udvikle to nøgler og lagre den private dekrypteringsnøgle i deres private server. Svindlerne forlanger 250 dollars for denne nøgle samt dekrypteringsprogrammet. De første instrukser oplyser ikke noget om en bitcoin-wallet, som betalingen skal sendes til. De to filer ’How to DECODE FILES !!!.txt’ og ’How to decipher FILES !!!.txt’ beder folk om at kontakte hackerne via en e-mail.

Når ofrene har sendt deres ID-nummer til Tom.anderson@india.com, DE_CODER@mail2tor.com eller scryptx@meta.ua, vil de modtage yderligere instrukser. De vil formodentlig blive oplyst om den nøjagtige bitcoin-wallet. Hvis ofrene sender deres ID-kode til alle tre e-mailadresser, men ikke får noget svar, kan de kontakte skurkene på en anden måde. Det er nemlig meningen, at de så skal downloade og installere TOR-browseren. Med den applikation er det muligt at få adgang til websider, der ikke er tilgængelige for internetbrugere med mere populære browsere. Det er meningen, at brugerne skal få adgang til webstedet 5akvz3kp6qbqmpoo.onion, hvis det ikke lykkes dem at få kontakt per e-mail.

Navnet DoNotChange er udledt af, at beskeden om løsesummen strengt forbyder folk at ændre filnavnene. Hvis de gør, kan det ødelægge muligheden for filgendannelse. Men du skal ikke tro på, at udviklerne af DoNotChange ransomware faktisk har tænkt sig at dele den private dekrypteringsnøgle.

Udvidelsen .cry bliver ikke kun vedhæftet af DoNotChange ransomware. CryPy er en ældre variant, som også bruger dette navn. For nyligt fortalte vi om en gruppe hackere, der kalder dem selv for Mafia Malware Indonesia. Men det er endnu ikke blevet bekræftet, om DoNotChange virus kommer fra disse svindlere. Så snart sikkerhedseksperterne offentliggjorde oplysninger om deres nyeste opdagelse, understregede de, at man under ingen omstændigheder skal betale det beløb, som DoNotChange virus forlanger som løsesum.

Gendannelse af filer, som DoNotChange ransomware har krypteret

Hvis dit ID-nummer matcher med 7ES642406, så skal du kontakte MalwareHunterTeam via Twitter eller på deres officielle hjemmeside. De vil formodentlig være i stand til at hjælpe dig med at kryptere de filer, som DoNotChange har markeret med udvidelsen .cry. Nedenfor beskriver vi andre metoder til filgendannelse, men vi vil gerne understrege én ting – Computerbrugere bør opbevare deres data på flere steder, så de kan være sikre på, at hvis de mister deres data det ene sted, så har de mulighed for at gendanne dem fra et andet. Opbevar dine data i sikkerhedskopilagre eller opbevar dem på USB-flashdrev. USB-erne skal bare ikke sidde i computeren hele tiden, for det kan være, at ransomwareprogrammet er designet til at kryptere filer, der opbevares på flashdrev.

Hvordan bliver man inficeret med DoNotChange ransomware?

Det er endnu ikke blevet bekræftet, hvordan DoNotChange virus præcis bliver spredt. Vi går ud fra, at hackerne bruger samme tricks: skadelige e-mails, exploit kits eller inficerede annoncer. Husk, at disse er de tre mest almindelige måder, man kan blive inficeret med ransomware på. Deres nyttelast vedhæftes e-posten, og hvis computerbrugerne downloader dem, inviterer de en krypto-virus indenfor.

Lad os gå videre til fjernelsen af DoNotChange ransomware. Inden du gendanner filerne, skal du fjerne alle spor af malwareprogrammet fra din enhed. Spyhunter, Malwarebytes eller Plumbytes kan hjælpe dig med at begynde og færdiggøre en vellykket fjernelsesproces.


Automatiske fjernelsesværktøjer til DoNotChange ransomware

 

Andre værktøjer

 
  0   0
    Spyhunter
  0   0
    Malwarebytes' Anti-Malware
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom DoNotChange ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes DoNotChange ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, DoNotChange virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af DoNotChange ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med DoNotChange virus.


3. Gendan filer, der er påvirket af DoNotChange ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. DoNotChange virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

DoNotChange ransomware skærmbilleder

 
         
april 12, 2017 07:22, april 12, 2017 07:22

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *