PayDay Ransomware - Hvordan Fjernes Det?

 

PayDay ransomwares kildekode er baseret på open-source ransomwareprojektet Hidden Tear, som er tilgængeligt på github.com. Ransomwareprogrammet er opkaldt efter videospillet PayDay: The Heist, der er udviklet af Overkill Software. Plottet i spillet kredser om fire røvere, som samarbejder for at gennemføre forskellige væbnede røverier. Temaet er tilpasset ransomwareprogrammet, hvor konceptet passer perfekt.

Billedet af PayDay Ransomware

PayDay krypto-malware er programmeret til at kryptere følgende filtyper med AES-256 algoritme:

.raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .sav, .spv, .grle, .mlx, .sv5, .game, .slot, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses.

Brugeren med den inficerede maskine får vist de krypterede filer med .sexy-udvidelsen vedhæftet til dem. Fil.raw bliver f. eks omdøbt til File.raw.sexy. Efter krypteringen viser PayDay crypto-locker en besked om løsesummen på portugisisk:

Seus arquivos foram Sequestrados!

TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.

O que fazer?

Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:

  1. Crie uma carteira BTC aqui: ***blockchain.info/***
  2. Compre R$950,00 BTC com dinheiro em: ***
  3. Envie os BTCs comprados para o endereço: *****
  4. Acompanhe a transferência em: ***blockchain.info/address/***
  5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
  6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt

O que é Bitcoin:

Importante:

  1. Ninguém pode te ajudar, a não ser eu!
  2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
  3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
  4. Seus arquivos só poderão ser descriptografados depois do pagamento.
  5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica 😉

I grove træk bliver det oversat til:

Dine filer er blevet kapret!

Alle dine dokumenter, database, downloads, billeder samt andre vigtige filer er blevet krypteret ved hjælp af AES-algoritmen (samme kryptering, som anvendes af den amerikanske regering) med et alfanumerisk kodeord med 150 tegn, udviklet fra denne computer og sendt til en hemmelig server på internettet, som kun jeg har adgang til.

Hvad gør du?

For at få fat i dette kodeord og dekryptere dine filer, er du nødt til at betale et beløb på $ 950.00 i BTC (BITCOIN). For at foretage betalingen og modtage kodeordet, skal du følge denne lille vejledning:

Opret en BTC-portefølje her: *** blockchain.info/***

Køb R $ 950,00 BTC med penge i: ***

Send de købte BTC’er til adressen: ****

Følg overførslen på: *** blockchain.info/address/***

Efter at betalingen er bekræftet, send mig en e-mail med anmodning om kodeordet:

CATSEXY@PROTONMAIL.COM

Kort efter vil jeg sende en komprimeret fil, der indeholder to filer: et dekrypteringsprogram i .exe og kodeordet i en .txt

Hvad er Bitcoin:

Vigtigt:

Det er kun mig, som kan hjælpe dig!

Du har kun 120 timer (5 dage) til at foretage betalingen, derefter vil jeg slette kodeordet.

Det er nytteløst at installere/opdatere Antivirusprogrammet, formatere computeren, anmelde det til politiet osv.

Dine filer kan kun dekrypteres efter betalingen.

Når du har dekrypteret dine filer, så formatér din computer, installér et godt Antivirus og vær mere forsigtig med, hvor du klikker;)

Så vi kan dermed antage, at PayDay crypto-virus sigter efter portugisisktalende brugere. Beskeden om løsesummen, som bliver placeret på skrivebordet som en HTML-fil, indeholder sceneriet fra spillet PayDay: The Heist, og omdirigerer til følgende websted:

Løsesumsbeskeden kaldes for !!!!!ATENÇÃO!!!!!, som på dansk betyder !!!!!OPMÆRKSOMHED!!!!! Hackeren/hackerne bag PayDay krypteringen forlanger R$950 (brasilianske Real) betalt i bitcoins til BTC-adressen 1HGYr8g4Jv9EH6qgvEPFFFN9LYMkivFP7L. Beløbet er det samme som 284,82 dollars. Dette, sammen med sproget i beskeden, giver os en ret god idé om, hvor programmørerne bag PayDay krypteringen kommer fra. Man får fem dage til at afregne med de kriminelle, og kontaktadressen er catsexy@protonmail.com.

Vedrørende distributionen af PayDay Ransomware

PayDay er en trojansk hest/ransomware. Som det blev antydet i slutningen af beskeden, skal brugerne være mere forsigtige med, hvor og hvad de klikker på. PayDay virussen vil højst sandsynligt inficere computersystemet, hvis man klikker på links i spam e-mails og åbner deres vedhæftninger, især når den slags e-mails og vedhæftninger ligner vigtige papirer. Derfor skal brugerne holde sig langt væk fra spam-mappen i deres e-mailkonto. PayDay filkrypteringsprogrammet er en af den slags ransomware-virusser, som spredes ved hjælp af massive spam e-mailkampagner.

Fjern PayDay Ransomware

Det anbefales, at man fjerner PayDay malwareprogrammet ved at køre en fuld systemscanning med Reimage, Spyhunter eller Malwarebytes. Selvom dette ransomware ikke har tilknytning til noget andet malware, kan PayDay ransomware muligvis smide et andet malware ind i det inficerede system. Derfor anbefales en automatisk fjernelse. Du skal blot huske, at du er nødt til at lave kopier af de krypterede filer inden (til hjælp for et fremtidigt dekrypteringsprogram fra it-sikkerhedseksperter).

Hvad angår dekrypteringen af de kompromitterede data, så er der tre muligheder til din rådighed. Den første er sikkerhedskopiering – alle placeringer bortset fra det lokale (system) – herunder flytbare drev, cloud-lagring osv. Den anden mulighed er at kigge i den lokale lagring, som kaldes Shadow Volume Service. Den tredje mulighed for at gendanne de tabte data er software til datagendannelse, såsom Recuva.



Automatiske fjernelsesværktøjer til PayDay Ransomware

 
 
Bemærk: Denne Reimage-prøveversion tilbyder gratis at finde parasitter, såsom PayDay Ransomware, samt hjælpe med deres fjernelse.Du kan selv fjerne fundne filer, processer og poster i registreringsdatabasen, eller du kan købe en fuld version.  Vi kan have tilknytning til nogle af disse programmer. Alle oplysninger er til rådighed i bekendtgørelsen.

1. Hvordan fjernes PayDay Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, PayDay Ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af PayDay Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med PayDay Ransomware.


3. Gendan filer, der er påvirket af PayDay Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. PayDay Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

PayDay Ransomware skærmbilleder

 
     
 

Om forfatteren

 
januar 7, 2017 07:30, januar 7, 2017 07:30
 
   
 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *