El Polocker Ransomware - Hvordan Fjernes Det?

 

El Polocker (eller Los Pollos Hermanos) ransomware sigter efter australske brugere. Denne ransomware-trussel benytter den populære AES krypteringsalgoritme til at kryptere offerets filer. På samme måde som CryptoFortress krypterer El Polocker cryptomalware også unmapped åbne netværksdelinger. Man spekulerer på, om programmet har rumænske rødder, og disse spekulationer udspringer fra den blanding af engelske og rumænske strenge ved de eksekverbare samt PowerShell scriptet. Det skulle benytte temaet til ”Breaking Bad” tv-serien. Derfor kaldes dette ransomware også for Breaking Bad ransomware.

Om El Polocker Ransomware

Den asymmetriske AES-kryptering, der anvendes af El Polocker filkrypterende virus, involverer to nøgler: den offentlige og den private. Den offentlige nøgle, som bliver smidt på dit skrivebord, kaldes for seckeys.DONOTDELETE. Men dens tilgængelighed er begrænset. Denne ransomware virus sigter efter filer, der har følgende filnavn-udvidelser:

.jpg, .csv, .vsdx, ..ai, .pub, .one, .dotx, .xml, .doc, .xsl, .docx, . Xlsx, .crt, .pem, .p12, .db, .mp3, .jpg, .jpeg, .txt, .rtf, .pdf, .rar, .zip, .psd, .msi, .tif, .wma, .lnk, .gif, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ods, .raw, .pst, .ost

El Polocker crypto malware vedhæfter .HA3-udvidelsen til disse datafiler. Hver fil bliver krypteret med den unikke AES-nøgle. Derefter bliver den private RSA-nøgle downloadet fra C&C (Command and Control) serveren for yderligere at kryptere den enkelte AES-nøgle.

Udviklerne af Los Pollos Hermanos ransomware forlanger 450 australske dollars betalt i bitcoins. Hvis du ikke betaler inden for deres angivne tidsfrist, truer de med at sætte løsesummen op til 1000 australske dollars. Deres support e-mail er theonewhoknocks6969@mailinator.com. Hackerne tilbyder at dekryptere en fil gratis for at bevise, at de er i stand til at gendanne dine data.

Hvordan spredes El Polocker ransomware?

Los Pollos Hermanos virus er en trojansk virus. Og den benytter sig af falske spam e-mails. Offeret modtager en spam e-mail med en falsk DHL-meddelelse, som kræver betaling for ubetalte afgifter. Denne e-mail indeholder et link til en zip VBS-fil hosted i DropBox. Filen hedder Penalty.vbs. Når den intetanende bruger åbner filen, eksekveres PowerShell scriptet og offerets data ødelægges.

Hvordan dekrypterer man filer, der er krypteret af El Polocker Ransomware?

Der findes endnu ingen dekrypteringsnøgle til filer, der er krypteret af El Polocker cryptomalware – en nøgle, som skal udvikles af it-sikkerhedseksperter. Vi råder dig på det kraftigste til ikke at skynde dig at betale løsesummen. Det ville være en fejltagelse, for udviklerne af malwareprogrammet vil umiddelbart ignorere dig. Denne fil-encrypter sletter Shadow Volume kopier og deaktiverer systemgendannelse samt Windows automatiske opstartsreparation-funktion. Så hvis du ikke har en sikkerhedskopi, kan du prøve med et datagendannelsesprogram, såsom R-Studio, PhotoRec, Recuva osv.

Det er super vigtigt, at du sikkerhedskopierer dine data og skaber diskbillede. Sikkerhedskopiér dine uberørte data på unmapped harddiske, lav en kopi af din inficerede harddisk og vent på, at dekrypteringsprogrammet kommer ud (hvis du altså ikke har sikkerhedskopieret dine filer på forhånd, så du nu kan bruge kopierne i denne situation), hvis datagendannelsesværktøjerne ikke kunne gendanne dine inficerede filer. Du skal blot huske, at sikkerhedskopiering og gendannelse skal ske, efter at du har fjernet El Polocker virus. Til dette formål kan du anvende Reimage eller Spyhunter, som er automatiske anti-malwareprogrammer, der kan rydde godt og grundigt op i dit computersystem. Du kan også anvende vores manuelle fjernelsesvejledning til denne ransomware virus. Se nedenfor.



Automatiske fjernelsesværktøjer til El Polocker Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom Polocker Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes El Polocker Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Polocker Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af El Polocker Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Polocker Ransomware.


3. Gendan filer, der er påvirket af El Polocker Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Polocker Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
juli 31, 2016 08:05, juli 31, 2016 08:05
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *