Esmeralda Ransomware - Hvordan Fjernes Det?

 

Esmeralda ransomware er en af de nyeste ransomware-virusser, som blev opdaget d. 28. oktober 2016. It-sikkerhedsforskere, herunder efterforskere fra Emsisoft, betragter den som en ny version af Apocalypse ransomware. Antivirusprogrammer finder Esmeralda crypto-ransomware under følgende navne: FileCryptor.NAT, Gen:Win32.Malware.aqW@aKCOPKj, Mal/FakeAV-CS, Ransom_ESMERALDA.A, TR/Samca.olqkw, Trj/GdSda.A, Troj.W32.Fsysna!c, Trojan.Win32.Fsysna.eabk, W32/Fsysna.CS!tr, W32/Trojan.BYDE-4649, Win32.Trojan.WisdomEyes.16070401.9500.996. Læs hele artiklen – bagefter vil du være klar over, hvorfor det er nødvendigt.

En kort analyse af Esmeralda Ransomware

Esmeralda CryptoLocker gør brug af standard asymmetriske kryptering for at ødelægge offerets datafiler. De krypterede filer, såsom DOC, DOCX, XLS, XLSX, JPG, PPT osv., får vedhæftet udvidelsen .encrypted. For eksempel bliver My_photo.jpeg kaldt for My_photo.jpeg.encrypted, efter at den er blevet krypteret. Når filerne er blevet krypteret, bliver de låst og er dermed utilgængelige for brugeren. Faktisk bliver disse data-beholdere gjort fuldkommen ubrugelige.

Efter at Esmeralda cryptomalware har gennemført en vellykket kryptering, dukker der en løsesum-besked, How_to_Decrypt.txt, op i alle de forvanskede mapper med de ødelagte filer. Den samme besked i form af en Notepad-fil viser sig på offerets skrivebord i stedet for den tidligere baggrund:

Windows har fundet en kritisk fejl og du skal med det samme gendanne dine data. Adgangen til systemet er låst og alle data er blevet krypteret for at undgå, at informationen offentliggøres eller misbruges. Du vil ikke være i stand til at få adgang til dine filer, og hvis du ignorerer denne besked, kan du miste alle data. Vi beklager ulejligheden.

Du er nødt til at kontakte e-mailadressen forneden for at gendanne data i dit system.

Email: esmeraldaencryption@mail.ru

Du er nødt til at bestille Unlock-Password samt Esmeralda dekrypteringssoftware. Vejledningen vil blive sendt til dig med en e-mail.

Som man kan se fra de første ord i beskeden, introducerer den sig som en systemsikkerhedsnotifikation, men hvis du læser videre, er du ikke i tvivl om, at du har med ransomware og crypto-hackere at gøre. De vil gerne have, at man kontakter dem på esmeraldaencryption@mail.ru e-mailen, som peger på den russiske e-mailudbyder, og det kan give os grund til at tro, at hackerne bag Esmeralda filkrypterende virus er russere.

Med hensyn til oplysningerne om løsesummens størrelse og betalingsproceduren er det kun noget man får fortalt, hvis man kontakter de it-kriminelle. Eftersom udviklerne af dette skadelige program er kriminelle i ordets egentlige forstand, kan vi bestemt ikke råde dig til at tage kontakt til dem.

Hvordan trænger Esmeralda Ransomware ind i systemet?

Ligesom alle andre ransomware-virusser er Esmeralda ransomware ikke alene et cryptomalware, men også en trojansk virus, hvilket betyder, at den infiltrerer systemet på den mest svigagtige måde. Det indbefatter angreb i form af spam e-mails, forklædte downloads, hacket websider osv. Så for at man ikke kommer til at downloade ransomwareprogrammets nyttelast på sin pc, skal man holde sig til de generelle it-sikkerhedsregler, såsom at have et autoriseret anti-malwareprogram i computersystemet (f. eks Reimage), som regelmæssigt skal opdateres. Derudover skal spam-mappen være forbudt område, som man skal gå langt uden om. Endvidere skal man være mere forsigtig med gratis downloads og grundigt undersøge deres installationsprogram ved at udelade en standard installation.

Hvordan låser man filerne op og fjerner infektionen?

Sikkerhedsanalytikerne har endnu ikke fået udviklet et dekrypteringsprogram til denne virus. Derfor er du ikke i stand til at låse dine filer op på nuværende tidspunkt. Du kan kun bruge sikkerhedskopier eller forsøge at gendanne filerne. Med henblik på den første løsning kan du anvende USB-flashdrev eller andre flytbare drev, men kun hvis de blev brugt, før infektion fandt sted. Du vil desværre ikke kunne at bruge Shadow Volume kopierne, eftersom de er blevet slettet. Med henblik på anden løsning kan du anvende professionelle værktøjer, såsom Recuva, gendannelsesværktøjer fra Kaspersky Lab osv.

Faktisk skal man læse dette afsnit inden det ovenstående. For man skal nemlig fjerne Esmeralda malware, inden man går i gang med gendannelsen af data. Grunden er ret indlysende – virussen kan fortsætte med at kryptere, hvis den forbliver aktiv i systemet. Man kan dog tage et øjebliksbillede (imaging) af det inficerede drev inden fjernelsen af ransomwareprogrammet. For at fjerne Esmeralda Trojan kan du køre en fuld systemscanning med with Reimage eller Spyhunter. Rækkefølgen på disse anti-spywareprogrammer svarer til deres effektivitet. En alternativ løsning er en manuel fjernelse. Men vær opmærksom på, at den kan være vanskelig at gennemføre korrekt, eftersom du har med et ransomware-angreb at gøre.



Automatiske fjernelsesværktøjer til Esmeralda Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom Esmeralda Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes Esmeralda Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Esmeralda Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Esmeralda Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Esmeralda Ransomware.


3. Gendan filer, der er påvirket af Esmeralda Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Esmeralda Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
november 15, 2016 07:23, november 15, 2016 07:23
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *