XData ransomware - Hvordan fjernes det?

 

XData ransomware virus blev opdaget den 18. maj. XData er et ransomware, der har valgt at fungere som en fil-encoder. Ifølge analysen af msdcom.exe-nyttelasten, så bliver dette særlige ransomware-eksemplar muligvis distribueret med den trojanske virus Heur, eftersom mange sikkerhedsværktøjer viste dens potentielle tilstedeværelse. Krypteringsprocessen, som denne infektion påfører på digitale filer, angives at blive udført med AES-algoritme. Forskerne har umiddelbart fået meldingerne fra snesevis af brugere, der forklarer, at deres filer er blevet ændret til, så de indeholder udvidelsen .xdata.

En beskrivelse af dette ransomware

I beskeden om løsesummen får ofrene besked på at finde PC-nøglefilen, som skulle indeholde udvidelsen ”.key.~data~”. Der står, at den er placeret et eller andet sted på C-drevet alt afhængigt af operativsystemet. Individuelle ofre vil blive betragtet forskelligt, når de unikke ID-numre fordeles. Der er nok beviser fra de infektioner, der kom før denne, til at antage, at beløbet på løsesummen vil variere. Det vil nok blive fastsat i forhold til antallet af krypterede dokumenter, billeder, videomateriale og andre slags digitale filer.

Derefter vil brugerne ikke længere kunne bruge de krypterede data – de vil simpelthen ikke kunne starte dem. Det er meget almindeligt, at udviklerne af ransomware ikke fortæller den nøjagtige løsesum i .txt-filerne, de oplyser det gerne i e-mails. I filen HOW_CAN_I_DECRYPT_MY_FILES.txt kan man finde følgende e-mailadresser: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com.

XData infektionens nyttelast er helt klart filen msdcom.exe. Sikkerhedsforskere antyder, det er en uopfordret proces, og hvis den kører i din Jobliste, skal du vide, at den er total ubrugelig. Tidligere blev denne potentielt skadelige procedure ført ind i operativsystemet af en W32/SDBOT Orm. Nu er denne fil blevet valg til at pakke yderligere eksekverbare filer ud og begynde den primære proces: filkrypteringen. Det vil også omfatte andre procedurer, såsom ekstra poster i Windows registreringsdatabasenøglerne og forbindelse til C&C-servere.

Du skal ikke spilde din tid med at kontakte hackere via de medfølgende e-mails. Svindlerne vil simpelthen oplyse den præcise løsesum og den bitcoin-wallet, som man skal sende den til. Selvom du retter dig efter kravet og sender dem beløbet, så kan du ikke være sikker på, at du får dine filer tilbage.

Ransomwareudviklere er tilbøjelige til at forsvinde, når deres konti er blevet fyldt med bitcoins. Så du vil bare smide dine penge ud af vinduet. Da der ikke er nogen tidsbegrænsning for betalingen af løsesummen, har du en masse tid til at dekryptere dine filer, uden at du behøver at frygte, at de vil blive ødelagt permanent.

Hvordan gendanner du filerne?

På nuværende tidspunkt er der ikke blevet lavet et originalt dekrypteringsprogram, men der er en god mulighed for, at det vil komme. Så i stedet for at betale løsesummen, bør du undersøge andre løsninger. Shadow Volume kopierne kan f. eks være urørt, og gendannelsen af dem kan dermed stadig være mulig. Derudover kan du bruge software, som er designet til at gendanne krypterede data. Efter afsnittet om distributionen af ransomware bliver begge disse løsninger uddybet nærmere.

Men hvis du har være forsigtig nok til at gemme dine filer i sikkerhedskopilagre, skal du blot fjerne infektionen og gå videre med at gendanne dine data fra disse lagre. For at fjerne alle spor af de skadelige procedurer, anbefales du at bruge Reimage, Spyhunter eller Hitman, som kan spore og fjerne XData ransomware-processen.

Sådan kan skadelige nyttelaster blive distribueret

Skadelige eksekverbare filer kan befinde sig i e-post, som ryger ind i din indbakke. Den form for spam-beskeder giver sig som regel ud for at komme fra respektable myndigheder, men i virkeligheden er det hackere, som har frembragt dem. Du skal ikke downloade filer, som følger med som vedhæftninger, for de kan højst sandsynligt starte forskellige slags skadelige procedurer. Endvidere kan ransomwareprogrammer snige sig ind pga. sårbare websider og inficerede annoncer. Peer-to-peer-deling spiller også en afgørende rolle, når det drejer sig om trojanske virusser.


Automatiske fjernelsesværktøjer til XData ransomware

 

Andre værktøjer

 
  0   0
    Spyhunter
  0   0
    Malwarebytes' Anti-Malware
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom XData ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes XData ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, XData virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af XData ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med XData virus.


3. Gendan filer, der er påvirket af XData ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. XData virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

XData ransomware skærmbilleder

 
         
maj 28, 2017 20:17, maj 28, 2017 20:17

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *