Bart Ransomware - Hvordan fjernes det?

Bart Ransomware

Bart Ransomware til din tjeneste: en innovativ virus, der benytter en ganske ligetil strategi, hvorved den viser verden, at en omfattende krypteringsproces ikke nødvendigvis altid behøver at være vellykket. Virussen har nogle sjældne kvaliteter, som man ikke har set og brugt før. DEFLATE algoritme til komprimering bliver taget i brug for at indsamle alle de værdifulde, personlige filer, som normalt ville blive kodet med krypteringsnøgler. Bart ransomware skiller sig ud fra mængden: den gemmer alle disse data i en ZIP arkivfil og låser den. Kun et korrekt kodeord kan hjælpe brugerne med at få adgang til deres filer. Men i sidste ende er alle ransomware virusser skåret over den samme læst: de er alle ude efter penge.

Om Bart Ransomware

Udviklerne af Locky ransomware er umiddelbart også ansvarlige for dette it-angreb. Hvis man bor i Rusland, Ukraine eller Hviderusland, behøver man ikke frygte Bart virus, for den inficerede fil er programmeret til at slette sig selv, hvis brugeren skulle befinde sig i et af disse lande. Bor man imidlertid andre steder, kan man blive udsat for Bart ransomware.

Denne virus kan gemme sig i %Temp% mappen som en eksekverbar og ikke som en iøjefaldende fil. Når den downloadede fil (RocketLoader malware) har gjort sig selv køreklar, vil den også downloade Bart ransomware. Når virussen er gået i gang med sit arbejde, vil en række symboler og navne, som identificerer filer, spille en stor rolle. De følgende filer med stifinder-navne, såsom tmp, winnt, Application Data, AppData, PerfLogs, Program Files (x86), Program Files, ProgramData, temp, Recovery, $Recycle.Bin, System Volume Information, Boot, Windows vil ikke blive ødelagt.

Men over hundrede filer egner sig til at blive ødelagt. Den følgende liste omfatter kun nogle af de potentielle tilfælde: .n64, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z. Når de egnede filer er fundet, vil de blive placeret i ZIP arkivfilen og modtage en udvidelse, der med navnet .bart vil identificere, hvilke filer er arkiveret. Derefter vil de valgte filer ikke fungere. Bart ransomware hackerne er naturligvis hurtige til at tilbyde deres assistance. Følgende besked fremkommer på skrivebordet (i form af recover.nmp og recover.txt):

’!!! VIGTIG INFORMATION!!!

Alle dine filer er krypteret.

Dekryptering af dine filer er kun mulig med den private nøgle, som befinder sig i vores hemmelige server.

Hvis du gerne vil modtage din private nøgle, skal du følge et af disse links:

[Links til TOR-hostede sider]

Hvis alle adresserne ikke er tilgængelige, skal du følge disse punkter:

[Vejledning til installation af TOR Browser og adgang til betalingsportalen]

!!! Dit personlige identifikations ID: [128-bit lang identifikation] !!!’

Denne besked kan i øvrigt blive vist på andre sprog afhængig af brugerens indstillinger: engelsk, spansk, italiensk, fransk og tysk. Bart ransomware har endda oprettet en Decryptor Bart Side med alle de nødvendige oplysninger, man skal bruge, hvis man vil have sine filer igen: løsesummens størrelse, hvordan man køber bitcoins og hvor de skal overføres til. Men selvom Bart virus er et omfattende svindelnummer, har det tilsyneladende ikke indflydelse på Shadow Volume kopierne, hvilket øger muligheden for at kunne gendanne filerne.

Hvordan dekrypterer man filer, der er krypteret af Bart ransomware?

Sikkerhedsforskere har endnu ikke fundet en måde at knække Bart ransomware på. Det kommer fra meget dygtige hackere, og man kan ikke besejre det uden at få sved på panden. Vi kan kun anbefale, at du sikkerhedskopierer dine filer, hvis du nu skulle blive inficeret med Bart virus. Desuden bliver Shadow Volume kopierne som sagt ikke rørt, så brugerne kan sagtens gendanne dem. Vi bliver ofte spurgt om det samme spørgsmål: mine filer betyder meget for mig, kan jeg betale løsesummen og få mine filer tilbage? Og vores svar er altid det samme: det er ikke værd at give hackerne, hvad de vil ha’. Især når de kræver en stor løsesum: 3 BITCOINS. Ofrene kan også anvende et gendannelsesværktøj til zip-fil. Det er måske muligt at gendanne filerne med en meget lang dekrypteringskode, som produceres af gendannelsesprogrammet. Men denne proces kan dog tage lang tid; det er trods alt ikke en nem opgave, programmet udfører.

Hvordan spredes Bart ransomware?

Bart virus spredes via e-mail vedhæftninger med titlen ”photo” med .zip udvidelser. Den downloadede fil har JavaScript indlemmet i sig. Scriptet er i stand til at downloade Bart ransomware og køre det med Trojan-Downloader, såsom Bartalex. Hvis du lider af denne infektion, gør du bedst i at anvende Spyhunter, Reimage eller Hitman til fjernelsen. Et af disse anti-malware værktøjer vil automatisk fjerne det fra din computer og fortsætte med at beskytte systemet fremover.

1. Hvordan fjernes Bart Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Bart virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Bart Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Bart virus.


3. Gendan filer, der er påvirket af Bart Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Bart virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-bart-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *