GNL Locker Ransomware - Hvordan fjernes det?

GNL Locker Ransomware

GNL Locker er et trojansk ransomware, som har visse ligheder med virusser, såsom Locky, Cryptowall, TeslaCrypt, CryptoHasYou, blot for at nævne et par stykker af dem. Forkortelsen ”GNL” står for German (tysk) Netherlands (Holland) Locker. Dette valg af lande er ikke tilfældigt – virussen tjekker IP adressen og sigter specielt efter tyske og hollandske brugere. GNL Locker anses for at være endnu en version af Hidden Tear open source (åbent styresystem) cryptomalware.

Om GNL Locker Ransomware

GNL Locker påvirker stort set alle versioner af Windows OS og krypterer forskellige filer, såsom tekst, audio, video-filer, arkiver osv. Data bliver krypteret med RSA-2048 algoritme (med en nøglelængde på 2048 bits) ved hjælp af et unikt AES kodeord med 32 tegn. ”.locked” udvidelsen bliver vedhæftet disse filer (f. eks bliver story.doc til story.locked). Krypteringsprocessen er skjult under svchost.exe host processen. Når den er gennemført, bliver skrivebordets baggrund udskiftet med UNLOCK_FILES_INSTRUCTIONS.PNG filen, i mapperne med de krypterede filer dukker UNLOCK_FILES_INSTRUCTIONS.TXT filen op, og UNLOCK_FILES_INSTRUCTIONS.HTML siden kan vises sig, når du åbner browseren. Hackerne kræver mellem 0.4 til 0.6 BTC (Bitcoins), det er mellem 150 og 250 dollars. De truer med at tredoble løsesummen, hvis de ikke modtager betalingen inden en bestemt dato. GNL Locker kan anvende .bat filen for at give kommandoer til Windows-kernen.

Hvordan spredes GNL Locker Ransomware?

GNL Locker cryptomalware spredes via spam e-mails og deres ondsindede vedhæftninger, som indeholder mistænkelige filer, der er inficeret med virussen. Disse e-mails kan også omfatte links til skadelige websider og består som regel af falske lotterisedler, annoncer, uventede pengeoverførsler til PayPal konti osv. Ransomwareprogrammer, såsom GNL Locker, formerer sig også ved hjælp af exploits kits, der udnytter systemets svage punkter. GNL Locker, ligesom KimcilWare ransomware, kan udnytte macro-funktionen.

Sådan dekrypterer man filer, der er krypteret af GNL Locker Ransomware

Der findes i øjeblikket ikke noget dekrypteringsværktøj. Men heldigvis bliver Shadow Volume Kopier ikke ødelagt af GNL Locker, og man kan derfor anvende dem til at gendanne de beskadigede filer. Dette kan blive gjort via Volume Copy Service. Derudover kan data gendannelsesværktøjer, såsom Photorec, Kaspersky antivirusprogrammer eller R-Studio anvendes.

Alt i alt rådes du på det kraftigste til at anvende sikkerhedskopieringssystemer, såsom Google Drive, Elephant Drive eller at lagre dine mest værdifulde data i et eksternt drev. Til virusfjernelse kan du anvende et professionelt antivirus værktøj, såsom SpyHunter, Malwarebytes eller StopZilla. Det ultimative vil dog være, at du på forhånd passer godt på dine data samt din computersikkerhed og installerer et anerkendt anti-malware program som beskyttelse.

1. Hvordan fjernes GNL Locker Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, GNL Locker Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af GNL Locker Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med GNL Locker Ransomware.


3. Gendan filer, der er påvirket af GNL Locker Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. GNL Locker Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-gnl-locker-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *