KillSwitch Ransomware - Hvordan Fjernes Det?

 

KillSwitch ransomware er en ny ransomware virus, som man mener, er baseret på det såkaldte open source-projekt Hidden Tear, på grund af den måde sikkerhedsværktøjerne genkender den ((Gen:Heur.Ransom.HiddenTears.1). CryptoKill.exe er kilden til den skadelige aktivitet, som er begrænset til den følgende placering: UserProfile/Documents/test. Sikkerhedseksperterne anser ikke denne variant for at være så avanceret, men den udgør alligevel en trussel for Internetsamfundet.

Filkrypteringen sættes i gang ved hjælp af AES-256 krypteringen, som opretter en offentlig krypteringsnøgle og en privat krypteringsnøgle, som er gemt i de hemmelighedsfulde hackeres server. I det nye vindue, som ransomwareprogrammet frembringer som en besked om løsesummen, kommer hackerne dog ikke med nogen hints om nogle krav. Overraskende nok kræver de ingen bitcoins for dekrypteringskoden. Måske er svindlerne ikke ude efter penge, men ren ødelæggelse.

Der bliver indlemmet en original udvidelse i de digitale data, som påvirkes af kryptografien: .switch. Filerne, der får denne markering, kan ikke længere bruges, for de kan ikke længere starte ordentligt. Infektionen sigter sammenlagt efter 17 forskellige filtyper. Inden krypteringen bliver sat i gang, vil nyttelasten formodentlig køre en scanning for at finde egnede data. Filer, som slutter med .ott, .pdf, .PPT, .txt, .xml eller .csr er indtil videre kun nogle af dem.

Der vil formentlig køre en skadelig proces i Windows Jobliste, men den kan tage form som en tilsyneladende uskadelig procedure, som ikke vil tiltrække sig nogen opmærksomhed. Der kan også være yderligere poster i Windows registreringsdatabasen, som gør nyttelasten i stand til at køre automatisk efter hver genstart af systemet. Vi går ud fra, at Windows operativsystemerne er de primære mål.

Eftersom der ikke nævnes noget om nogen løsesum, er dette eksemplar ret forvirrende. Hvorfor have besværet med en virus, som ikke er i stand til at bringe profit? Ikke desto mindre kan filerne i den grad blive ødelagt, og brugerne vil være interesseret i at finde alternative gendannelsesmetoder. Der er nogle ting, man bør vide om disse muligheder.

Valg af filgendannelse

For det første skal vi lige nævne, at sikkerhedseksperterne ikke har produceret et gratis dekrypteringsprogram. Men vi mener, at denne infektion nok ikke er så vanskelig at overvinde. I mellemtiden kan du forsøge at finde andre løsninger. Det er vigtigst at vide, at det er en glimrende beslutning at gemme sine filer i sikkerhedskopilagre. Hvis du opbevarer din digitale information flere steder, kan det hjælpe dig med at gendanne filerne, hvis et af stederne ødelægges. I dette tilfælde vil de kopier, du har gemt på en harddisk, blive ødelagt.

Hvis du imidlertid har placeret kopier af dine filer i en online opbevaring eller beskytter dem i et USB-flashdrev, så skal du huske på, at du skal fjerne ransomware-virussen, før du gendanner filerne. KillSwitch infektionen kan indeholde et element, der om nødvendigt vil kryptere filerne igen. Derfor råder vi dig til, at du enten fjerner infektionen manuelt eller bruger et anti-malwareprogram til samme formål. Reimage, Spyhunter eller Hitman er nogle af de professionelle programmer, der kan hjælpe dig med at fjerne malware.

Årsagen til ransomware

De forskellige krypto-virusser kan bruge specifikke midler til infiltration. I nogle tilfælde kan der bruges skadelige spam-kampagner til at distribuere eksekverbare filer, som senere hen viser sig at være ransomware. Man kan ikke sætte fingeren på den præcise strategi, for dette malware kan trænge ind ved tilfældige downloads fra fildelings-domæner eller via peer-to-peer netværk. Du skal altid undgå at installere materiale, der ikke er yderst vigtigt eller som kommer fra ukendte tredjeparts udviklere.

Sidst men ikke mindst skal vi lige genopfriske din hukommelse om, at det er et dårligt valg at betale løsesummen, når det gælder disse krypto-virusser. Hackerne er upålidelige og vil nok ikke give ofrene de funktionelle nøgler.



Automatiske fjernelsesværktøjer til KillSwitch ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom KillSwitch Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes KillSwitch ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, KillSwitch ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af KillSwitch ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med KillSwitch ransomware.


3. Gendan filer, der er påvirket af KillSwitch ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. KillSwitch ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

KillSwitch ransomware skærmbilleder

 
     
 

Om forfatteren

 
juli 5, 2017 07:28, juli 5, 2017 07:28
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *