FLKR Ransomware - Hvordan Fjernes Det?

 

Hackerne har vist ikke tænkt sig at være blidere ved internetbrugerne. Vi har fået øjet på en intimiderende krypto-ransomware virus, og denne artikel vil fokusere på at give en passende beskrivelse af denne variant. For det første kaldes den for FLRK virus og den er parat til at kryptere ofrenes filer næsten på samme måde, som enhver anden infektion, der tilhører denne ransomware-kategori. Vi er vant til at bekæmpe kryptering, som udføres med RSA- eller AES-algoritme. Det er de mest almindelige krypteringer, og de kommer derfor ikke som nogen nyhed for sikkerhedsanalytikerne, som er vant til at se dem i aktion. FLKR virus afviger dog på dette punkt ved at vælge en usædvanlig krypteringsmetode. En alternativ kryptering, som kaldes Blowfish, har fået den ondskabsfulde opgave at omdanne filer til utilgængelige eksekverbare. Det er en såkaldt symmetrisk blok-algoritme, som nu bliver udnyttet af hackere. Det kan godt være, at du ikke lige har tid til at læse om ransomware-virusser nu, men du vil helt sikkert blive belønnet med sikkerhed og ro i sindet.

FLKR Ransomwares funktioner

Når FLKR virussens nyttelast er landet i dit system og har placeret sit flag for at demonstrere sin dominans, vil dit system gennemgå nogle ændringer. For at nyttelasten kan starte automatisk er den først og fremmest nødt til at foretage nogle vigtige ændringer i nøglerne i Windows Registreringsdatabasen, især i dem, som starter applikationer efter genstart. Det vil ikke være let at spore en infektion med et ransomware, eftersom disse processer gemmer sig bag almindelige navne. Selvom du tjekker din Jobliste, vil de igangværende processer ikke omgående vække mistanke. Okay, så FLKR virus kan nu starte automatisk – hvad kommer der ellers til at ske?

Tja, ransomwareprogrammet vil gå i gang med et andet vigtigt formål: kryptering af filerne. Men inden da er den skadelige eksekverbare nødt til at køre grundige scanninger for at finde passende data, som har mest værdi for offeret. Derefter vil Blowfish-krypteringen blive anvendt på de valgte filer, og de vil ikke længere være brugbare. Som vi allerede har antydet i det første afsnit, så er dette en ret usædvanlig kryptering, som ransomware-udviklerne har valgt. Og apropos de krypterede filer, så vil hver og en af de ødelagte filer få vedhæftet udvidelsen _morf56@meta.ua. Dette signalerer hvilke data, som er under indflydelse af ransomware-virussen. Sikkerhedsforskere har bemærket, at INSTUCT.txt-filen placeres i brugerens system, så vedkommende kan blive klar over situationen. Følgende citat stammer fra den tekst, som tekstfilen indeholder:

Information is encrypted with a strong password.

To decrypt it e-mamorf56@meta.ua for instructions.

Reserver communication channel – this jabber: fhmjfjf@default.rs

Use jabber only when this conversation via e-mail is not possible.

(Information er krypteret med et stærkt kodeord.

For at dekryptere den e-mamorf56@meta.ua for vejledning.

Reserver kommunikationskanal – denne jabber: fhmjfjf@default.rs

Brug kun jabber, hvis denne samtale via e-mail ikke er mulig).

Hvordan kan man blive inficeret med FLKR Ransomware? Hvordan kan man undgå det?

It-specialister understreger altid risikoen for at blive inficeret med en ransomware-virus via ondsindede spam-kampagner. Det er den primære kilde til den slags virusser. Faktisk er antallet af skadelig spam-post stigende, hvor både nye og gamle varianter udsender spritnye kampagner. Hvis du modtager en interessant e-mail, skal du altid være sikker på, at afsenderen er legitim. De følgende titler er eksempler på inficerede e-mails: ” “There is a problem with your flight ticket” (Der er et problem med din flybillet), “Your Facebook account has been deleted” (Din Facebook-konto er blevet slettet), “Tax return: URGENT” (Selvangivelse: HASTER). Hvis du bemærker noget, der bare tilnærmelsesvis minder om det, skal du være meget forsigtig. Du skal altid huske på, at meddelelserne skal være sendt fra de originale e-mailadresser, der tilhører kendte myndigheder. Hvis der nogle uoverensstemmelser, så skal du kontakte den officielle adresse og finde ud af sandheden. Du skal ALDRIG, og vi gentager, ALDRIG downloade vedhæftninger fra de meddelelser, som du modtager i din indbakke.

Er det muligt at dekryptere filer, som er ødelagt af FLKR Ransomware

I øjeblikket kender vi ikke til et værktøj, der kan dekryptere dine filer uden nogen komplikationer. FLKR ransomware er en ny infektion, og forskerne har brug for at undersøge den nærmere. Først da kan et dekrypteringsværktøj komme på tale. Så indtil videre må du vente. Du skal ikke kontakte hackerne på de medfølgende kontaktadresser, for det vil ikke give dig en pålidelig løsning. Du skal fremover huske at gemme dine filer i en lagringsplads til sikkerhedskopier, så ransomware-virusser ikke kan vinde over dig.

FLKR ransomware kan fjernes med Reimage, Spyhunter eller Malwarebytes. Men inden da skal du lave kopier af de krypterede filer, så du ikke mister dem, hvis infektionen sletter dem, inden den bliver fjernet. En manuel fjernelse af ransomware-infektioner kan være risikabel, for du kan komme til at lave skadelige ændringer i dit system. Vi kan kun råde dig til at gøre det, hvis du har erfaring med at fjerne malware.



Automatiske fjernelsesværktøjer til FLKR Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom FLKR Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes FLKR Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, FLKR Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af FLKR Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med FLKR Ransomware.


3. Gendan filer, der er påvirket af FLKR Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. FLKR Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om forfatteren

 
januar 9, 2017 07:28, januar 9, 2017 07:28
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *