R980 Ransomware - Hvordan Fjernes Det?

 

R980 ransomware er en af de nyeste (hvis ikke den nyeste) fil-krypterende virus. Vi venter på, at der bliver foretaget en omfattende analyse af denne it-trussel. Indtil da vil vi gøre vores bedste for at give dig de fakta, som allerede er gjort kendt om denne ransomware virus.

Om R980 Ransomware

Man diskuterer i øjeblikket, om R980 virus kan kaldes et cryptomalware, idet nogle kilder hævder, at det ikke udfører en krypteringsproces. Men der er imidlertid flere påstande om, at dette ransomware rent faktisk krypterer data og til dette formål benytter asymmetrisk krypteringsalgoritme, som anvendes af de mest avancerede ransomwareprogrammer, der i øjeblikket er fremme (f. eks Jager ransomware osv.). Beskeden om løsesummen oplyser, at dataene er blevet krypteret med AES-256 og RSA-4096 kryptering. Det betyder, at der bliver udviklet to nøgler i løbet af krypteringsprocessen. Den ene nøgle er offentlig og bruges til krypteringen. Den anden er privat og skal bruges til dekrypteringen. Den sidstnævnte nøgle bliver gemt i en fjern server, som styres af de it-kriminelle. Denne nøgle koster penge og sættes derfor til salg. Beskeden om løsesummen lyder som følger:

!!!! ADVARSEL !!!! DINE FILER ER BLEVET KRYPTERET! !!!!

ALLE dine dokumenter, billeder, databaser samt andre vigtige filer er blevet krypteret med AES-256 og RSA4096. Du vil ikke være i stand til at gendanne dine filer uden den private nøgle, som er lagret i vores server. Et antivirusprogram kan ikke gendanne dine filer.

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

HVORDAN FÅR DU DINE FILER TILBAGE

: For at dekryptere dine filer er du nødt til at betale 0.5 Bitcoins (BTC).

Hvordan foretager du betalingen?

Først skal du købe Bitcoins (BTC). Du kan nemt købe Bitcoins på følgende websteder (du kan springe dette punkt over, hvis du allerede har Bitcoins).

https://www.coinbase.com/

https://coincafe.com/

https://bitquick.co/

Send 0.5 BTC til følgende Bitcoin-adresse – Du behøver ikke at sende det nøjagtige beløb. Men du skal mindst sende det beløb, for at vores system kan bekræfte betalingen.

BITCOIN ADRESSE: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr

Når du har betalt til ovenstående Bitcoin-adresse, vil vi give dig et link til et dekrypteringsprogram, som vil reparere dine filer.

Det vil blive sendt til en offentlig e-mailkonto, som vi har oprettet til dig:

https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe

Dekrypteringsprogrammet vil blive leveret inden for 24 timer.

Det kaldes ”DECRYPTION_INSTRUCTIONS”. Som du kan se, så kræver hackerne bag R980 fil-krypterende virus 0.5 BTC (Bitcoins), hvilket i øjeblikket svarer til 327,69 dollars. Beløbet skal veksles til crypto-valuta (dvs. Bitcoins), så disse it-svindleres identitet kan forblive ukendt. De oplyser, at nøglen vil blive sendt inden for 24 timer, efter at betalingen er gået igennem. Der angives ikke de nøjagtige filtyper, som R980 cryptomalware sigter efter. Men vi går ud fra, at det ødelægger alle slags filformater, eftersom ransomwareprogrammer er i stand til at ødelægge en lang række data.

Hvordan distribueres R980 Ransomware?

R980 ransomware anbringes i kategorien ’trojanske virusser’, for det benytter den velkendte spredningsmetode, som anvendes af den slags trusler. Med andre ord bliver der sendt spam e-mails til ofrene. Den slags e-mails er selvfølgelig inficeret, enten via de indlejrede links i dem eller via deres vedhæftninger. Derfor skal man generelt ikke følge nogen links, som følger med spam e-mails eller åbne deres vedhæftninger. Man kan være fristet til at se, hvad de indeholder, men man skal ikke lade sig narre af deres udseende. R980 cryptomalware kan også blive placeret på din computer ved hjælp af exploit kits, når du besøger nogle tvivlsomme domæner, såsom fildelings-websider. Exploit kits (f. eks Angler, Nuclear, Blackhole osv.) kører på den slags domæner, og når de registrerer visse sårbarheder i din computers software, installerer de ransomwareprogrammet på din pc.

Hvordan dekrypterer man filer, der er krypteret af R980 Ransomware?

I øjeblikket findes der ikke et dekrypteringsværktøj, der kan dekryptere de filer, der er krypteret af R980 encrypter. Og det er ikke en løsning at købe den dekrypteringsnøgle, som hackerne tilbyder dig. Brug din sikkerhedskopi eller tjek Shadow Volume kopierne. Anvend et professionelt værktøj til datagendannelse, hvis du har prøvet alle de andre muligheder for at få dine data tilbage. Den slags værktøjer omfatter software fra Kaspersky Lab, Recuva, R-Studio, PhotoRec osv. Inden da skal du lige tage et billede af det inficeret drev. Og til sidst skal du gøre det allervigtigste – fjerne malwareprogrammet med et af følgende automatiske værktøjer til fjernelse af malware: Reimage, SpyHunter eller Hitman. Disse værktøjer gør slettelsen af R980 encoder langt nemmere. Du kan også finde en manuel fjernelsesvejledning i slutningen af denne artikel.


Automatiske fjernelsesværktøjer til R980 Ransomware

 

Andre værktøjer

 
  0   0
    Spyhunter
  0   0
    Malwarebytes' Anti-Malware
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom R980 Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes R980 Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, R980 ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af R980 ransomware virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med R980 virus.


3. Gendan filer, der er påvirket af R980 cryptomalware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. R980 crypto-malware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 
 
august 15, 2016 08:20, august 15, 2016 08:20
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *