Smash! Ransomware - Hvordan fjernes det?

Smash! Ransomware er et nyt ondsindet program fundet af MalwareHunterTeam. Det benytter billedsprog fra Super Mario brødrene (et platform videospil fra Nintendo), nærmere betegnet billedet af Super Svamp, der holder en kniv. Selvom det kalder sig selv et ransomware og opfører sig som et ransomware, kan det ikke betragtes som en af de farligste it-trusler, som ransomware-virusser jo er. Smash! Virus kan i bedste fald kaldes for en udviklingsversion. Det ville være forkert at kalde den en CryptoLocker, cryptomalware eller filkrypterende virus, for den hverken krypterer eller låser filerne. Smash! malware i sin nuværende version kan mere præcist kaldes for en skærmlåser.

Hvordan virker Smash! Ransomware?

Når Smash! Ransomwares nyttelast er blevet downloadet på en kompromitteret computer, får offeret vist seks velkomst popup-vinduer, som dukker op ét efter ét. Disse popup-meddelelser indeholder følgende hilsener:


smash ransomware

Velkommen

Hej og velkommen til

Velkommen

Smash! Ransomware

Velkommen

Jeg troede, at jeg ville ligge her helt alene.

Velkommen

Men nu…

Velkommen

Er du her! ?

WeHSnX

Så velkommen til helvede. Betal eller dine filer dør!

Alle disse popup’er har en OK-knap nederst i højre hjørne. Hvis du klikker på OK-knappen på den sidste popup, vil du få vist en anden popup-meddelelse, som er en slags løsesum-besked. Popup’en viser følgende:

Som du kan se i vinduet, bliver du bedt om at indtaste en syv-cifret kode for tilsyneladende at slippe af med virussen. Der er også en File Kill Timer over kode-feltet ved siden af billedet af Super Svampen. Men underligt nok så får du ikke nogle oplysninger om, hvordan du foretager betalingen, de forlanger. Ingen bitcoin-adresse, ingen kontakt e-mail, intet.


smash-ransomware-2

Endvidere er mange af Smash! Virus’ funktioner ikke kodet. Det gælder funktionen Now don’t kill my files! Knappen (dræb ikke mine filer), som er inaktiv. Denne funktion er tom:

private void Button1_Click(object sender, EventArgs e)

{

}

Når proceslinjen når 100%, åbnes et andet popup-vindue. Denne skærm indeholder en anden tæller, som tilsyneladende viser antallet af filer, som er blevet slettet.

Popup’en ser således ud:

Men i virkeligheden er ingen af dine filer blevet slettet. Det er blot en falsk advarsel. Dette malwareprogram har dog nogle ondsindede funktioner. Smash! Virus kan blokere visse programmer: Regedit (registreringsdatabase-editoren), Jobliste and CMD (Kommando) Prompt. Igen vil virussen vise popup-meddelelser, hvis du forsøger at køre de ovenfornævnte applikationer. Popup-meddelelserne oplyser følgende:

Taskmgr er ikke tilgængelig.

Ingen Jobliste til dig.

Regedit er ikke tilgængelig.

Ingen registreringsdatabase til dig.

Hvordan fjerner man Smash! Ransomware?

Det er ikke vanskeligt at tackle Smash! Ransomware. Du kan simpelthen genstarte din computer, eftersom denne virus ikke har en autostart-funktion, der indlæses, når du har genstartet din pc. Ikke desto mindre forbliver programmets ondsindede elementer stadig i systemet. Derfor er du nødt til at fjerne dem. De værktøjer, som kan rense systemet er følgende: Reimage og Spyhunter. De er rigtig gode anti-malwareprogrammer, så derfor anbefaler vi først og fremmest dem. Den manuelle fjernelse af ransomwareprogrammets efterladte dele kan udføres ved hjælp af vejledningen, som du finder i slutningen af indlægget.

Hvordan spredes Smash! Ransomware?

Det er stadig uklart, hvordan Smash! malware distribueres. Men dette malware er højst sandsynligt en konsekvens af, at man har åbnet en spam e-mail, en ondsindet annonce eller besøgt et kompromitteret domæne. Hvordan ved man, hvilke e-mails man kan åbne, hvilke annoncer man kan følge samt hvilke websider man kan besøge, og hvilke man skal holde sig langt væk fra? Der er ingen grund til en lang forklaring. Spam e-mails skal regelmæssigt slettes, annoncer skal man bare ignorere, og websteder, såsom torrents, voksent indhold, gratis spillewebsteder osv., er bedst at gå langt uden om. Kan du ikke modstå fristelsen? Så må du tage konsekvenserne.

1. Hvordan fjernes Smash! Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Smash! Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Smash! Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Smash! Ransomware.


3. Gendan filer, der er påvirket af Smash! Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Smash! Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-smash-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *