Mahasaraswati ransomware - Hvordan fjernes det?

 

Mahasaraswati ransomware er en nyere ransomware-trussel, der er opkaldt efter den ottearmet hinduistiske gudinde, og meddelelsen fra dette cryptomalware har denne gudinde som baggrund. Mahasaraswati encoder anvender, ligesom TeslaCrypt, CryptoLocker og CryptoWall ransomwareprogrammer (bare for at nævne nogle få) asymmetrisk krypteringsalgoritme for at ødelægge offerets data.

Om Mahasaraswati Ransomware

Når Mahasaraswati ransomware først befinder sig på din computer, begynder det krypteringsprocessen. Der bliver udviklet den offentlige RSA-nøgle og den private AES-nøgle. Den private nøgle lagres i en fjern server, som styres af de it-kriminelle. Ransomwareprogrammet vedhæfter en så at sige klodset udvidelse (.id-[UNIQUE USER’S ID].{Mahasaraswati(@)india.com}.xtbl) til de krypterede filer. How_to_decrypt_files.txt-filen placeres i hver mappe med de krypterede filer, og How_to_decrypt_files.png udskifter baggrunden på dit skrivebord. Disse to filer indeholder meddelelsen om løsesummen, som i øjeblikket er på 3 BTC (1.425,18 dollars i skrivende stund), hvilket er en ret heftig kompensation i forhold til andre ransomwareprogrammer, såsom Locky, der kræver ca. 0.5 BTC (237,59 dollars). Men for hvert døgn der går, stiger løsesummen med 2 BTC (950,21 dollars). Meddelelsen indeholder også en detaljeret vejledning vedrørende betalingen samt en kontakt e-mailadresse (mahasaraswati@india.com). Interessant nok tilbyder hackerne at dekryptere op til 10 MB af de krypterede tekstfiler og billeder for således at bevise, at de virkelig har dekrypteringsnøglen og er i stand til at dekryptere data.

Hvordan spredes Mahasaraswati ransomware?

Mahasaraswati ransomwares primære distributionsmetode er spam e-mails med ondsindede links eller deres inficerede vedhæftninger. Disse e-mails er enten sendt fra en ukendt afsender eller forestiller officiel post fra lovlige myndigheder eller virksomheder. Eftersom denne fil-encrypter er en trojansk virus, kan den være forklædt som en nyttig applikation. Hvis du i sidstnævnte tilfælde har valget enten at åbne posten eller installere en applikation (som bogstaveligt talt betyder at blive inficeret), vil exploits ikke gøre dig den tjeneste. De vil gå efter sårbarheder i systemet og åbne et smuthul, så ransomwareprogrammer kan trænge ind.

Hvordan dekrypterer man filer, der er krypteret af Mahasaraswati Ransomware?

Det er så uheldigt, at der i øjeblikket ikke findes et dekrypteringsværktøj. Denne crypto-virus sletter Shadow Volume Kopier, så den tjeneste vil ikke være til nogen nytte i dette tilfælde. Men du kan imidlertid stadig køre et datagendannelsesværktøj, såsom PhotoRec, R-Studio osv. Generelt anbefales det, at man sikkerhedskopierer data på en ekstern harddisk. Den skal ikke være tilsluttet hele tiden, men du skal regelmæssigt opdatere den.

For at fjerne Mahasaraswati ransomware kan du anvende et fremragende anti-malwareprogram, såsom Reimage, SpyHunter, Malwarebytes eller StopZilla. Følg fjernelsesvejledningen til dette ransomware nedenfor.


Automatiske fjernelsesværktøjer til Mahasaraswati ransomware

 

Andre værktøjer

 
  0   0
    Spyhunter
  0   0
    Malwarebytes' Anti-Malware
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom Mahasaraswati ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes Mahasaraswati ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Mahasaraswati ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Mahasaraswati ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Mahasaraswati ransomware.


3. Gendan filer, der er påvirket af Mahasaraswati ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Mahasaraswati ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

           
august 3, 2016 08:10, august 3, 2016 08:10

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *