OhNo! ransomware virus - Hvordan fjernes det?

OhNo! Ransomware virus blev opdaget for nyligt og scanninger har stemplet den som Trojan.Ransom. Ved første øjekast antog sikkerhedseksperter, at denne variant stadig var under udvikling, ligesom CryForMe er. De mente, at filkrypteringen ikke helt blev fuldført, og at ofrene ikke behøvede at være bange for, at deres filer ville blive ubrugelige. Men denne antagelse varede dog ikke længe. Ransomwareprogrammet pakker PowerShell moduler ud, som bruger .NET AesManaged, der frembringer nøglerne. Vi har lavet en meget nyttig artikel om et lignende emne: den hjælper brugerne med at undgå ransomware-infektioner og beskytte deres data mod kryptering.

Analyse af denne OhNo! computervirus

Overraskende nok så er Monero påkrævet i stedet for Bitcoin-betalingssystemet, når løsesummen skal sendes. Det er meget få eksemplarer, Kirk og eBayWall, der insisterer på at få Monero krypto-valuta. XMP angives som et digitalt vekselmiddel, der slet ikke kan spores, og som kunne gå hen og slå Bitcoin og tage dets plads (CNBC).


OhNo! ransomware virus

Forskere har endelig afsløret, at dette krypto-malware rigtig nok krypterer filerne med AES-nøgler. Den samme kryptografi bliver sat i gang af malware-eksemplarerne Balbaz og MMM. OhNo! krypterer ikke alle data på ofrenes computer, men har valgt specifikke placeringer, hvor det finder de filer, det vil ødelægge. Alle de eksekverbare dokumenter vil formodentlig blive krypteret sammen med alle oplysninger, der er gemt på Skrivebordet.

Endvidere vil indholdet i ”download ”-mappen også helt blive krypteret. Eftersom du nemt kan downloade de data du har mistet, er det ikke ligefrem en altødelæggende funktion. Det kan dog helt sikkert være en ulempe, hvis du ikke kan få adgang til de filer, der har fået vedhæftet en OhNo!-udvidelse. Men selvom du virkelig har brug for de eksekverbare filer, skal du ikke betale løsesummen (ZDNET).

Mange ransomware-infektioner udgiver sig for at være tilfældige eksekverbare filer for at skjule deres sande formål. I dette tilfælde har udviklerne af OhNo! besluttet at udforme deres nyttelast som en Google Chrome-applikation. Derudover vil krypto-virussen også udskifte baggrundsbilledet på computerens skrivebord med en statue, der tager sig til hovedet. Der findes et par anbefalinger til, hvad man skal gøre, når man har fundet ud af, at der er trængt et ransomwareprogram ind i systemet, som krypteret alle digitale data.

Fjernelse af ransomware og dekryptering af filer

Vi har indtil videre ikke fundet en konkret metode, der gendanner filer, som er påvirket af krypteringen. Men vi kommer imidlertid med flere valgmuligheder i slutningen af denne artikel. Vi henviser til muligheden for at gendanne Shadow Volume Kopierne eller brugen af universelle filgendannelsesprogrammer, der kan gendanne de ødelagte data. Der er ingen garanti for, at de metoder vil virke, men vi håber, at du vil prøve dem.

Den bedste løsning er imidlertid at få filerne tilbage fra et sikkerhedskopilager eller andre placeringer. Vi minder konstant vores brugere om, at de bør opbevare deres værdifulde data flere steder. Du kan f. eks gemme en bestemt mængde filer på forskellige USB-flashdrev. Hvis du ikke lige føler dig truet af ransomwarevirusser, så sikkerhedskopiér dine data, for det tilfælde at din computer skulle gå i stykker.

Det er altafgørende, at man husker på én ting: man skal fjerne ransomwareprogrammet og alle dets filer fra operativsystemet. Og det skal man gøre, inden man forsøger sig med filgendannelsen. Ellers vil de genoprettede filer atter krypteres. Fjern ransomwareprogrammet med Reimage.

Nogle ofre overvejer faktisk at betale løsesummen, så de kan få deres filer tilbage. I dette tilfælde kræver OhNo! Virus 2 XMR, som svarer til ca. 268,96 dollars. Selvom det ikke er en pebret pris, så sponsorerer du således fremtidige projekter angående ransomware, når du betaler disse penge. Hvis du skulle beslutte dig for at betale, så må du meget gerne dele dekrypteringsværktøjet med sikkerhedseksperterne. De vil måske kunne være i stand til at udvikle et gratis værktøj til andre ofre.

Ransomware-infektioner distribueres på flere måder. Først og fremmest skal du ikke åbne og læse e-mails fra mistænkelige/ukendte afsendere. Og det er højst risikabelt at downloade vedhæftninger i meddelelser, der har en masse stavefejl samt usammenhængende og ulogiske udsagn. Du skal også beskytte din Remote Desktop Protocol og opdatere software til den nyeste version.

1. Hvordan fjernes OhNo! ransomware virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, OhNo! ransomware virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af OhNo! ransomware virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med OhNo! ransomware virus.


3. Gendan filer, der er påvirket af OhNo! ransomware virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. OhNo! ransomware virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-ohno-ransomware-virus

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *