CrY-TrOwX Ransomware - Hvordan Fjernes Det?

-  0
Type: Ransomware
 

CrY-TrOwX ransomware virus er en variant, der er baseret på den udbredte åben kildekode Hidden Tear. Derfor falder den under samme kategori som de Hidden-Tear-baserede kryptoinfektioner Katafrack og WanaDie. CrY-TrOwX virus kan for nemheds skyld kaldes for CrY på grund af dens nyttelast CrY.exe. Det er ikke vanskeligt at finde den, eftersom mange sikkerhedsværktøjer allerede er opdateret til at kunne spore denne variant. De følgende betegnelser henviser alle til denne ransomware-trussel: Gen:Heur.Ransom.HiddenTears.1, FileRepMetagen [Malware], Win32.Trojan.WisdomEyes.16070401.9500.9905 osv. Mere eller mindre alle antivirusprogrammer betragter den som skadelig.

CrY-TrOwX kryptovirus er baseret på Hidden Tear-projektet og vedhæfter udvidelsen .locked

Uden en dyb analyse af CrY-TrOwX kryptomalware kan vi sagtens påstå, at det ikke er et avanceret ransomware. Og det kan vi se ud fra det faktum, at den er baseret på Hidden Tear. Men tegnene på programmets ringe kvalitet stopper ikke dér. Det ser ud til, at hackerne lod deres Simple Mail Transfer Protocol (#) stå vidt åben. Sikkerhedseksperterne synes, at det er utroligt, at svindlerne efterlod deres offentlige email i koden, hvilket er en ret sjusket fejltagelse. Er det amatører, der leger pengeafpressere? I så fald mislykkedes deres forsøg.


CrY-TrOwX virus

Udvikleren bag CrY-TrOwX kryptovirus er umiddelbart en person med brugernavnet ”ismail”. Udvidelsen, som de krypterede data bliver markeret med, er .locked. Denne funktion er standard for en lang række ransomware-trusler, såsom Cyber Police Locker, jCandy og RedBoot.

Virussen bringer en besked om løsesummen i form af en READ_AND_CRY.txt. Teksten er ganske kort, og ofrene får kun få oplysninger om dekrypteringens beløb. De bliver opfordret til at kommunikere med hackerne via e-mailadressen kaya.kyasor99@yandex.com. Hvis du skriver til dem, vil svindlerne formodentlig oplyse dig om løsesummen og den bitcoin-wallet, de administrerer (Bitcoins strategiske placering i ransomware). Uanset hvad du gør, så skal du ikke betale løsesummen. Det vil kun vise hackerne, at de kan fortsætte med at lege pengeafpressere og forlange penge af uskyldige computerbrugere.

Mulig dekrypteringsmetode til filer, der er markeret med udvidelsen .locked

Hvis dit operativsystem er under indflydelse af CrY-TrOwX kryptovirus, skal du ikke gå i panik. Er der en anden måde, hvorpå du kan få fat på de filer, du har mistet på grund af krypteringen? Har du f. eks gemt dem på USB-flashdrev eller online lagerpladser? I så fald skal du endelig ikke tøve med at fjerne infektionen og få de tabte data tilbage. Men hvis du ikke har disse muligheder, er situationen lidt mere spidsfindig.

Der findes endnu ikke et officielt dekrypteringsprogram til dette ransomware. Men du kan forsøge dig med almindelige filgendannelsesværktøjer, som vi anbefaler i slutningen af denne artikel. Du bør også tjekke, om hackerne har fjernet Shadow Volume kopierne – hvis ikke, skulle du kunne gendanne filerne uden større besvær. Og så skal du fremover sikkerhedskopiere dine digitale data. Med et stigende antal ransomwareprogrammer kan vi kun sige, at det er altafgørende for din it-sikkerhed.

Beskyttelse mod ransomwarevirusser såsom CrY-TrOwX malware

CrY-TrOwX kryptovirus distribueres umiddelbart med vildledende e-mailpost. Hvis du lægger mærke til en ukendt afsender, skal du endelig ikke downloade eventuelle vedhæftninger eller klikke på nogen links. Hvis du gør det, kan skadeligt software så nemt som ingenting trænge ind i dit operativsystem og forårsage alvorlig skade. Derudover er det vigtigt, at du holder dig langt væk fra ukendte hjemmesider samt undgår nogen som helst kontakt med online popup-annoncer. For disse kan også være årsag til, at din enhed bliver forstyrret af skadeligt software.

Hvis du gerne vil holde dit operativsystem fri for virus, anbefaler vi, at du installerer et anti-malwareprogram, som kan beskytte det for enhver pris. Reimage er et pålideligt program, som bestemt vil beskytte din enhed mod skadeligt software. Installér det, kør regelmæssige scanninger og nyd godt af en sikker søgeoplevelse. Det vil samtidigt være skånselsløst mod parasitter, der trænger ind i din computer.

1. Hvordan fjernes CrY-TrOwX ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, CrY-TrOwX ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af CrY-TrOwX ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med CrY-TrOwX ransomware.


3. Gendan filer, der er påvirket af CrY-TrOwX ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. CrY-TrOwX ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

     
 

Om forfatteren

 
januar 2, 2018 16:27, januar 2, 2018 16:43
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *