File Spider Ransomware - Hvordan Fjernes Det?

-
 0
Type: Ransomware
 

File Spider ransomware virus er en ny trussel fra krypto-malwaregruppen, og den blev opdaget d. 10. december 2017. Sikkerhedsforskerne fandt 2 primære eksemplarer af denne infektion, og begge er oprettet som .doc-filer:

BAYER_CROPSCIENCE_OFFICE_BEOGRAD_93876.doc og CUMMINS_SERBOMONTE_DOO_72225.doc. Det ser ud til, at filen kører en PowerShell ligesom OhNo! Ransomware, som vi omtalte tilbage i august 2017.

Krypto-virussen File Spider består af to dele: en fil til kryptering, der kaldes for enc.exe, og en til dekryptering, der er oprettet som dec.exe. Den sidstnævnte fil er den primære GUI (grafisk brugerflade). Ofrene vil blive opfordret til at læse de løsesumsbeskeder, den frembringer, og som fortæller, at filerne er krypteret, og at brugerne skal gå ind på den anbefalede TOR-hjemmeside. Mange krypto-virusser har TOR-domæner: My Decrypter er et af dem. Hvis brugerne forsøger at dekrypterer filerne på andre måder, vil alle deres data måske gå tabt for evigt. Brugerne vil umiddelbart gå ud fra, at de åbner en af løsesumsbeskederne, når de klikker på HOW TO DECRYPT FILES.url. Men det vil rent faktisk køre en enc.exe fil.


File Spider ransomware


Automatiske fjernelsesværktøjer til File Spider ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom File Spider Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

File Spider crypto-virus krypterer filer, har en TOR-hjemmeside og en grafisk brugerflade

Det kommer ikke som nogen overraskelse, at File Spider krypto-malware vedhæfter udvidelsen .spider til de ødelagte, digitale data. Når brugerne downloader den skadelige .doc-fil og ”Aktivér Redigering” (Enable Editing), vil powershell.exe køre. Som følge heraf vil ransomwareprogrammet have placeret en enc.exe. Derpå kontakter infektionen hjemmesiden Yourjavascript.com og downloader et skadeligt Java Script. Infektionen kommer ikke bag på os, eftersom aktiviteten af (Krypto-malware trusler betydeligt er taget til i omfang).


File Spider virus

Hackerne anvender ofte skadelige makroer. Og det resulterer i, at svindlerne vil kunne udføre skadelige opgaver, shell-kommandoer og applikationer. Derfor skal du altid være forsigtig, når du downloader .doc-filer. Der er en hel del skadelige tricks, som hackerne kan udnytte, når det gælder Microsoft Office-filer: læs mere her.

Når du aktiverer redigeringsfunktionen, vil den skadelige opgave kunne udføres automatisk (uden din viden). Så husk på det, at når du finder en .doc-fil som vedhæftning i en e-mail. Inden du downloader filen, skal du sikre dig, at afsenderen er pålidelig (selv Mac-brugere skal være opmærksomme).

Hvis ofrene har nogle spørgsmål, opfordrer hackerne dem til at anvende e-mailadressen spider@protonmail.ch. Men ikke for at forhandle med udviklerne af File Spider krypto-malware, for det er nytteløst. Hackerne vil stadig forlange en løsesum for fildekrypteringen, så der er ikke så meget at gøre ved det. Du skal naturligvis ikke betale det påkrævede beløb, for svindlerne er nok slet ikke i stand til at dekryptere filerne (Ransomware: De 3 vigtigste grunde til, at du aldrig nogensinde skal betale). Og det kan endda være, at de er ude på at narre dig og lade dem i stikken, så snart du har betalt løsesummen.

Der findes endnu ikke noget dekrypteringsværktøj til File Spider virus: prøv alternative metoder

I øjeblikket kan sikkerhedsforskerne ikke tilbyde dig en garanteret løsning på krypteringen. Det ser imidlertid ud til, at File Spider ransomware er i gang med at sprede sig. Det betyder, at sikkerhedsforskerne skulle kunne indhente nok oplysninger til at udvikle et gratis filgendannelsesværktøj. Indtil da skal ofrene ikke betale det påkrævede beløb, for det vil kun støtte fremtidige ransomware-projekter. Prøv et universelt filgendannelsesværktøj, der måske også er i stand til at hjælpe dig med at gendanne dine data til deres oprindelige form.

Derudover burde du kigge på Shadow Volume kopierne. Eller rettere sagt skal du tjekke, om ransomwareprogrammet har slettet dem i løbet af krypteringsprocessen. Det er muligt, at udviklerne af denne ransomware-infektion er fra Tyskland, men man kan ikke sige det med sikkerhed.

Hvad skal man gøre for at slippe af med File Spider krypto-malware

Inden du forsøger dig med en af mulighederne for filgendannelse, foreslår vi, at du fjerner de skadelige filer først. For ellers kan ransomwareprogrammet nemlig kryptere dine data igen, selvom du finder en metode til at gendanne dine data. Derfor kan du følge vejledningen forneden, så du manuelt kan slippe af med krypto-virussen. Ellers kan du anvende , som er til stor nytte, når det gælder om at holde computeren fri for malware. Overvej at installere dette ekstremt pålidelige anti-malwareprogram og nyd godt af en mere sikker søgeoplevelse.

Hvad angår distributionen af ransomware, kan vi minde dig om de to mest populære metoder. Disse infektioner spredes først og fremmest via skadelige spam-kampagner. I andre tilfælde kan årsagen til ransomware være et ukorrekt beskyttet RDP. Sidst men ikke mindst kan nogle ransomware-infektioner ende i operativsystemet, efter at brugeren har klikket på skadelige online annoncer.


1. Hvordan fjernes File Spider ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, File Spider ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af File Spider ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med File Spider ransomware.


3. Gendan filer, der er påvirket af File Spider ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. File Spider ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

     
 

Om forfatteren

 
december 22, 2017 16:01, december 22, 2017 16:01
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *