KratosCrypt Ransomware - Hvordan fjernes det?

Sikkerhedsforskere har bemærket en tilføjelse til stamtræet med crypto-ransomware. Endnu en gren voksede, da KratosCrypt ransomware blev født og begyndte at terrorisere folk. It-kriminelle bruger en asymmetrisk algoritme, der krypterer filer i computersystemet, for helt at forvanske dataene. Den eneste redning er den dekrypteringsnøgle, som tilbydes i bytte for et pengebeløb. I dette tilfælde er løsesummen så lille, at det er helt usædvanligt: kun 20 dollars, som skal betales som 0.03 Bitcoins. Men vi ignorerer dette tilbud og foreslår, at brugerne gør det samme.

Om KratosCrypt Ransomware

KratosCrypt ransomware placerer en ekstra post i Windows registreringsdatabasen. Som følge deraf får virussen mulighed for at kryptere filer, hver gang den inficerede bruger starter computeren. Den vil fuldstændig ignorere antivirus- og firewall programmer, der kan være installeret som beskyttelse. Ringere scannere vil ikke være i stand til finde denne KratosCrypt virus i tide, før den ødelægger alle dine filer. Hvis du allerede lider under de ondsindede koder fra dette ransomware, er vi her for at vise dig, hvordan du kan pleje din computer, så den bliver rask igen.

Hvordan krypterer KratosCrypt ransomware alle dine filer? Den vælger at fortsætte med AES algoritmen og 256-bit krypteringen for at kryptere de fundne data. Efter at den har krypteret dine filer, tilføjer den en autentisk udvidelse til hver eneste ødelagte fil: .kratos. Hvis du f. eks havde en fil med navnet mybirthday.jpg, vil den være omdannet til mybirthday.jpg.kratos. Endvidere bliver informationen vedrørende dekrypteringen placeret som en README_ALL.html. Du kan læse den herunder:

KratosCrypt

Dine dokumenter, fotos, databaser samt andre vigtige filer er blevet krypteret!

For at dekryptere dine filer er du nødt til at købe det specielle software – ”Kratos Decryptor”.

Købet skal ske via netværk til en særlige pris: BTC 0.03.

Hvordan får man fat i ”Kratos Decryptor”?

Opret en Bitcoin Wallet (vi anbefaler Blockchain.info)

Køb det nødvendige antal Bitcoins

Glem ikke overførselsgebyret i Bitcoin netværket (0.0005 BTC).

Her er vores anbefalinger:

LocalBitcoins.com – Den hurtigste og nemmeste måde at købe og sælge Bitcoins på;

CoinCafe.com – Den mest enkle og hurtige måde at købe, sælge og bruge Bitcoins;

BTCDirect.eu – Den bedste for Europa;

CEX.IO – VISA / MasterCard;

CoinMama.com – VISA / MasterCard;

HowToBuyBitcoins.info – Find hurtigt ud af, hvordan du køber og sælger bitcoins i din lokale valuta;

Send BTC 0.03 til følgende Bitcoin adresse:

1FQJEfRizDMGw4bvw7k7Bfy3jg1FBxxQMC

Send en e-mail med OVERFØRSELS-ID til denne adresse:

[email protected]

Du vil modtage en e-mail med download-link + KODEORD.

De potentielle ofre kan være de følgende typer data: svg, .php, .jpg, .jpeg, .jps, .bmp, .tiff, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .pdf, .html, .rtf, .psd, .ps, .odt, .odp, .odx, .ibooks, .xlp, .db, .dbf, .mdf, .sdf, .mdb, .sql, .rar, .7z, .zip, .vcf, .csv, .xml. For at gøre dekrypteringen endnu mere vanskelig, vil KratosCrypt virus højst sandsynlig også slette Shadow Volume kopierne.

Hvordan dekryptere man filer, der er krypteret af KratosCrypt Ransomware?

Vi har gode nyheder: Michael Gillepsie, også kendt som demonslay335, har udviklet ”Hidden Tear Brute Forcer”, som opretter den private dekrypteringsnøgle til brugerne og dem, som anvender ”Hidden Tear Decrypor”, så de kan gendanne de krypterede data. Så hvorfor skulle du spilde dine penge, også selvom det er et lille beløb? Du skal aldrig betale løsesummen. Selvom dekrypteringsprogrammet endnu ikke er udviklet til andre ransomware-virusser, er det ikke en god ide at overgive sig til hackerne.

Hvordan spredes KratosCrypt Ransomware?

For det meste præsenteres ransomware-virusser for brugerne i deres e-mailkonto. Post med vedhæftninger, der i virkeligheden distribuerer KratosCrypt virus, er de skyldige. Disse meddelelser kan være sammensat så de ligner notifikationer fra lovlige instanser. Men når du åbner den slags vedhæftninger, er det den lige vej ind i infektionens arme. Du skal generelt være forsigtig med, hvad du klikker på og downloader. Sociale medieplatforme og fildelingshjemmesider kan også være gerningsmændene bag denne infektion. Du skal være forsigtig og afværgende, når det drejer sig om surfing på nettet. Et andet godt råd er at bruge anti-malware værktøjer, som er professionelt sammensat til at beskytte brugerne mod virusser. Spyhunter, Hitman og Reimage kan blive betroet denne opgave.

1. Hvordan fjernes KratosCrypt Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, KratosCrypt virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af KratosCrypt Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med KratosCrypt virus.

3. Gendan filer, der er påvirket af KratosCrypt Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. KratosCrypt virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.