Cry ransomware - Hvordan fjernes det?

Hvis du ikke har lyst til at svømme i tårer, fordi du permanent har mistet alle dine filer, bør du sætte dig ind i crypto-ransomware virusser samt de nyttige metoder, der kan forhindre disse infektioner. Forebyggelse er bedre end helbredelse, og vi råder brugerne til at huske den sætning. Cry virus er endnu et medlem af gruppen ved navn ”ransomware”. Denne variant er designet efter bogen og kan nøjagtigt afbilde en typisk ransomware-infektion. Når Cry virus først har fundet vej ind i enheden, vil den gøre alt for at forblive uset, indtil krypteringsprocessen er fuldført. Vi må ikke glemme, at krypteringen altid foretages ved hjælp af stærke algoritmer, som gør dekrypteringen til en vanskelig sag. Det er grunden til, at det altid er bedre, hvis du er immun over for den slags virusser. Selv hvis du rent faktisk sender det påkrævet antal bitcoins for at få dekrypteringsnøglen, antyder sikkerhedsrapporter, at ofrene ret ofte bliver snydt. De modtager nøgler, som ikke er i stand til at dekryptere filer, eller svindlerne forsvinder simpelthen, efter at de har modtaget summen.

Om Cry Ransomware

Cry virus er ikke helt det udtrykte billede af en ransomware-infektion, men den følger en meget almindelig rutine. Efter at denne virus hemmeligt er blevet installeret på enheden, formår denne lille, eksekverbare fil at lave rod uden at blive opdaget i tide. Den sender forskellige oplysninger vedrørende brugeren til Command & Control serveren ved hjælp af UDP (det betragtes som et signal til svindlerne om, at en ny computer er blevet inficeret). Oplysningerne om ofrene kan blive oploadet i to domæner (Imgur.com og Pastee.org). Virussen kan endda regne ud, hvor den inficerede computer befinder sig. Endvidere bliver nøgler i Windows registreringsdatabase modificeret, så Cry Virus vil kunne starte sammen med andre af brugerens applikationer. Hver gang du genstarter din enhed, får den væmmelige nyttelast mulighed for at begynde krypteringsprocessen. Før det indleder den en skattejagt for at finde data, der er passende for kryptering. Cry virus sigter efter de mest populære former for dokumenter og kan ødelægge alle dine skattede filer.

Når krypteringsprocessen er fuldført, er Cry virus klar til at gøre opmærksom på sin eksistens. Faktisk går dette ransomware meget langt, for at de inficerede ofre skal tage denne infektion alvorligt. Først og fremmest tilføjer den en .cry-udvidelse til hver krypteret fil. Denne korte tilføjelse er en indikation på, at et stykke data er under indflydelse af en stærk algoritme (RSA-4096). Hvis brugeren forsøger at køre den slags filer, ville vedkommende blive slemt skuffet, for det vil ikke være muligt. Endvidere afslører Cry ransomware sin tilstedeværelse ved at tilføje en ny mappe kaldet ”old_shortcuts” og overføre de krypterede data til den. Men det virker umiddelbart som om, at udviklerne er usikre på, om man vil bemærke deres bestræbelser, så derfor tilføjer de yderligere to filer på skrivebord. Den ene er en .txt fil og den anden er .html, hvilket tyder på, at den vil lede dig hen til en ukendt webside (begge kaldes “!Recovery_[6 random characters]“). Cry virus er dog lidt pudsig; den foregiver, at den kommer fra Central Security Treatment Organization. Sådan en organisation findes slet ikke og du skal ikke lade det smarte navn narre dig til at betale den påkrævede sum på 625 dollars (1.1 Bitcoin). Man har også bemærket, at Cry virus sletter alle Shadow Volume kopierne.

Således ser indholdet af meddelelsen om løsesummen ud (som man kan læse, efter at man har logget ind på den angivne webside):

“Central Security Treatment Organization Department of pre-trial settlement

Advarsel: Dine filer er blevet krypteret!

Dine dokumenter, databaser, projektfiler, audio- og videoindhold samt andre vigtige filer er blevet krypteret med en ihærdig, stærk crypto-algoritme!!! For at få adgang til dine filer igen, er du nødt til at betale for dekrypteringen, som koster 625 dollars

Først når hele summen er betalt, vil du få det specielle software, som kan gendanne de krypterede data.

Vigtigt

Hvis hele betalingen ikke foretages inden for 4 dage og 4 timer, vil summen stige til 1250 dollars OBS Du skal ikke prøve på at dekryptere din filer på egen hånd! Det er fuldstændigt umuligt og kan ødelægge de krypterede data, og de vil dermed ikke længere kunne gendannes! Hvis den forhøjet sum stadig ikke betales inden for tidsrummet 4 dage og 4 timer, vil den unikke dekrypteringskode til dine filer blokeres, og det vil være umuligt at gendanne den!”

Hvordan dekrypterer man filer, der er krypteret af Cry Ransomware

Ransomware virusser har eksisteret i flere år, men dekrypteringen af krypterede filer forbliver en delikat sag. It-specialister er som regel nødt til at analysere nye varianter godt og grundigt, og først derefter er de i stand til at producere gratis nøgler til dekrypteringen. Så vi foreslår, at du venter på, at de knækker Cry virus og giver dig mulighed for at spare 625 dollars. Faktisk så truer svindlerne med at hæve beløbet til 1250 dollars, hvis du ikke køber dekrypteringsprogrammet inden for ca. 100 timer. Fremover skal du altid lave kopier af dine filer enten ved at sikkerhedskopiere dem eller ved at gemme dem på en USB-nøgle. Den slags faciliteter vil passe på dine filer, og du kan hente dine filer derfra, når som helst du vil. Eftersom Cry virus tilbyder at dekryptere en krypteret fil, skal du drage fordel af den mulighed. Hvis du har to versioner af filen, kan det måske gøre it-specialisternes dekrypteringsopgave lettere.

Hvordan distribueres Cry Ransomware?

Cry ransomware kan blive distribueret ved hjælp af de mest almindelige metoder, der spreder den luskede nyttelast. Du kan finde en mærkelig e-mail i din indbakke og gå ud fra, at den er harmløs. Men ved at åbne den og downloade dens vedhæftning byder du i virkeligheden en ransomware virus velkommen i dit computersystem. Derudover kan Cry ransomware blive implanteret, hvis du klikker på tilfældige popup-annoncer, annoncer eller besøger pornosider, spillesider eller andre websider med andet tvivlsomt indhold.

Slip tvivlen og fjern Cry virus fra din enhed med et avanceret værktøj, som har hjulpet andre brugere med at genoplive deres system efter et ransomware-angreb. Reimage, Spyhunter eller Hitman er ekstremt velegnet til denne opgave. Nedenfor kan du finde yderligere information om dekryptering/manuel fjernelse.

1. Hvordan fjernes Cry ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Cry virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Cry ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Cry virus.

3. Gendan filer, der er påvirket af Cry ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Cry virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.