Enjey ransomware - Hvordan fjernes det?

Enjey krypto-virus tilhører gruppen med ransomware, og den giver ofrene besked på at sende en e-mail til [email protected]. Hackerne kommer ikke med megen anden information om eksemplaret i den besked, som virussen planter i systemet, hvilket efterlader ofrene i en vildrede. De får besked på at købe bitcoins, men beløbet nævnes ikke. Endvidere bemærkes der heller ikke noget om hackernes bitcoin-wallet. Alle disse oplysninger vil umiddelbart blive nærmere forklaret, hvis man korresponderer med hackerne via e-mail. I øjeblikket kan ofrene kun bruge almindelige metoder til gendannelse af data, såsom at gendanne Shadow Volume kopierne. Det er muligt, at Enjey virus laver en kommando for at fjerne dem, men du bør alligevel tjekke dem. Enjey-varianten kaldes også for Enjoy Crypter ransomware.

Hvordan opfører Enjey ransomware sig?

En variant fra 2016, som kaldes RemindMe, ligner, eller er mere eller mindre tilknyttet, den nye Enjey virus. Man gætter på, at begge disse infektioner har den samme opbygning, eller at det er de samme modbydelige hackere, som har udviklet dem. Uanset hvilken antagelse er den rigtige, skal man ikke føle sig intimideret til at betale det beløb, de forlanger. Ofrene er nødt til at sende en e-mail, hvor de skriver ”Hey I need a decoder” samt en unik sætning, der indeholder deres personlige ID-kode. Som svar vil svindlerne angiveligt kontrollere det antal filer, som er blevet ødelagt af krypteringen, og beslutte sig for en individuel løsesum for hvert offer.

Enjey virus’ nyttelast har vist sig enten at være en doc.exe eller en doc.pdb fil, og den vil formentlig gøre alt i sin magt for at besætte enhederne. Nyttelasten kan være placeret et sted på D-drevet. Så vidt vi ved, skulle ransomwareprogrammet ikke være i stand til at låse din skærm, og du vil således have mulighed for at få adgang til dit system, men ikke til de filer, som er blevet ødelagt af den stærke krypteringsalgoritme. Det er desværre ikke alle sikkerhedsværktøjer, der kan finde Enjey virus. Eftersom der ikke er så stor en mulighed for at dekryptere de data, der beskadiges af dette eksemplar, råder vi dig til at holde dig langt væk fra steder, hvor du kan risikere sådan en infektion.

Inden virussen placerer en Enjey README_DECRYPT.txt eksekverbar fil og ændrer filnavnene med en .enjey udvidelse (i fuld længde: [email protected]), skal den først udføre en række andre ændringer. Windows registreringsdatabasen kan begynde at omfatte nye poster, og shadow Volume kopierne kan blive slettet. Derudover vil nyttelasten forsøge at kontakte sin C&C-server for at informere hackerne om ofrets ID-nummer samt antallet af krypterede filer.

Sådan kan filer, der er ødelagt af Enjey ransomware, dekrypteres

Enjey ransomware vil ødelægge forskellige slags filer og gøre dem totalt ubrugelige. Og ifølge hackerne kan de kun gendannes, hvis du kontakter svindlerne på adressen [email protected]. Men hvis du begynder at tale med disse dygtige svindlere, vil de tage fusen på dig. Der er mange inficerede ofre, som har fulgt hackernes ordre, og er blevet slemt skuffet, da de ikke fik et dekrypteringsprogram. Derudover kan Enjey virus forlange vanvittigt store summer, lige fra 0.1 bitcoin til skyhøje beløb. Enjey virus vil ikke udgøre en trussel, hvis du har gemt dine filer i sikkerhedskopilagre, inden infektionen fandt sted. For hvis du har beskyttede kopier af dine filer et andet sted end på din harddisk, vil du være i stand til at få dem tilbage, uden at du behøver at stresse med en fil-dekryptering.

Sådan finder Enjey ransomware vej ind i systemet

Enjey ransomware kan komme fra skadelig spam-post, som lander i din indbakke. Du bør regelmæssigt rense dine konto, og kun åbne/downloade filer fra de beskeder, som uden skyggen af tvivl er legitime. Post fra hackere er som regel kortfattet, fuld af grammatiske fejl og stammer fra mærkelige e-mailadresser. Hvis du bemærker bizarre e-mails i din indbakke, skal du ikke åbne dem. Og hvis du gør, skal du ikke downloade de eksekverbare filer, som følger med. For det kan være en nyttelast, der er i stand til at ødelægge dine filer. Du kan også komme ud for et ransomware, hvis du besøger domæner, som er under indflydelse af exploit kits. Endvidere skal du være forsigtig, når du bruger sociale netværkssider, for de kan intetanende distribuere malwarefyldte artikler, indlæg og beskeder.

Inden du fjerner Enjey ransomware fra dit system, skal du kopiere alle de krypterede data, som er markeret med en .enjey udvidelse. Derefter skal du køre en fuld sikkerhedsscanning med et effektivt anti-malwareprogram, såsom Reimage, Spyhunter eller Malwarebytes. Nedenfor kan du finde flere oplysninger om manuel fjernelse af ransomware.

1. Hvordan fjernes Enjey ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Enjey Crypter ransomware trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Enjey virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Enjey ransomware.

3. Gendan filer, der er påvirket af Enjey Crypter ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Enjey virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.