Zyklon Locker - Hvordan fjernes det?

Zyklon Locker er en ransomware virus, som er opkaldt efter et kemisk våben, man brugte under Anden Verdenskrig. Den blev opdaget af malware-analytiker Katja Hahn og anses for at være en modificeret version af GNL Locker (læs det følgende afsnit).

Om Zyklon Locker Ransomware

Når Zyklon Locker trænger ind i dit computersystem, anbringer det en .bat fil, som kaldes freepalistine.bat, i %AppData% mappen. Denne eksekverbare begynder at scanne de data, der skal krypteres. Alle slags filer kan blive krypteret: tekst, audio, video-filer, billeder osv. NAS (netværksharddisken) kan også kompromitteres. Zyklon Locker krypterer data med AES-512 kryptering og tilføjer .locked (ligesom GNL Locker) eller .zyklon udvidelsen til de krypterede filer. Derefter opretter den UNLOCK_FILES_INSTRUCTIONS.txt filen i hver mappe med de krypterede data, UNLOCK_FILES_INSTRUCTIONS.png filen udskifter din baggrund på skrivebordet og UNLOCK_FILES_INSTRUCTIONS.html indlæses, hver gang du starter din browser. Disse filer indeholder meddelelsen om løsesummen med yderligere vejledning. Metoden med filnavnene er ligeledes taget fra GNL Locker. Den påkrævede løsesum er i øjeblikket ca. 0.6 BTC (Bitcoins), hvilket svarer til 250 dollars. Kompensationen for gendannelsen af data vil blive tredoblet (den tredje lighed med GNL Locker), hvis betalingen ikke sker, inden den anførte dato. Det vil ikke hjælpe at genstarte computeren, for virussen tilføjer poster i registreringsdatabasen til Windows Opstart og begynder, hver gang Windows starter.

Hvordan spredes Zyklon Locker ransomware?

Zyklon Locker ransomware (trojanske virus) kravler ind i din computer ved hjælp af spam e-mails med ondsindede links og deres ondsindede vedhæftninger. Disse e-mails er forklædt som officiel post fra officielle virksomheder (f. eks DHL, FedEx osv.). De kan endda have logoer og andre tegn på ”ægthed”. Men de er i virkeligheden falske, og det kan man sikker på, ud fra det sted de befinder sig, nemlig spam-mappen. For det andet kan hackere anvende exploit kits, såsom Nuclear exploit kit, Angler exploit kit, Neutrino exploit kit for at inficere brugerne med malware, især dette ransomware.

Hvordan dekrypterer man filer, der er krypteret med Zyklon Locker ransomware?

Der er desværre ikke udviklet noget dekrypteringsværktøj til denne virus endnu. Det ser ud til, at Zyklon Locker virus sletter Volume Shadow kopier, så det er selvsagt, at VSS (Volume Shadow Kopi tjenesten) ikke vil være til nytte her. På trods af det, kan man anvende gendannelsessoftware, såsom PhotoRec, R-Studio osv. Til forebyggelse bør du sikkerhedskopiere dine data i en eller anden ekstern lagerenhed samt installere et officielt anti-malware program. Professionelle anti-malwareprogrammer, såsom Reimage eller Spyhunter kan også fjerne Zyklon Locker ransomware fra dit computersystem. Nedenfor kan du følge Zyklon Locker fjernelsesvejledningen.

1. Hvordan fjernes Zyklon Locker ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Zyklon Locker trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Zyklon Locker

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Zyklon Locker.

3. Gendan filer, der er påvirket af Zyklon Locker, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Zyklon Locker prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.