PornBlackMailer virus - Hvordan fjernes det?

Ransomware-virussen PornBlackMailer blev opdaget i slutningen af januar 2018. Selvom den kategoriseres som kryptomalware, så bruger den faktisk ikke krypteringsalgoritmer til at kryptere digitale data. Hackerne har designet denne infektion som et yderst påtrængende malware, der anvender såkaldte scareware-metoder.

Kryptovirussen PornBlackMailer distribueres via hjemmesider med pornografisk indhold. Den har til hensigt at presse penge af folk, idet den beskylder dem for uanstændig opførsel, ja hackerne går endda så langt som til at beskylde folk for at sprede børneporno, hvilket er en alvorlig forbrydelse (Loven om børnepornografi). Udviklerne af ransomwareprogrammet Matrix kommer med lignende trusler.

PornBlackMailer virus beskylder ofrene for at sprede børnepornografi, men den krypterer ikke filer

Svindlerne skræmmer deres offer, idet de hævder, at de har indsamlet forskellige slags oplysninger om brugeren, har taget kompromitterende skærmbilleder af det aktive skrivebord samt indsamlet andre slags data. Det første offer for PornBlackMailer virus skrev om sin oplevelse på Reddit og fortalte, at den skadelige fil kaldes for Xvideos. Når filen køres, frembringer den en READ_ME.txt fil med de væmmelige beskyldninger og krav.

Hackere har faktisk ofte brugt lignende trusler i ransomwarevirusser: “Cyber Command of Oregon”, “Cyber Command of Washington”, eller “FBI Department of Defense”. Dér blev ofrene også truet med, at oplysninger om dem ville blive sendt til retshåndhævende myndigheder (Ransomware kommer med trusler om børneporno på gebrokkent engelsk).

PornBlackMailer virussen forklarer, at hvis ofrene ikke betaler løsesummen inden for den angivne tidsramme (24 timer), vil de indsamlede kompromitterende data automatisk blive sendt videre til retshåndhævende myndigheder såsom CIA eller FBI. Men disse trusler er dog som regel ikke andet end et fupnummer, medmindre brugerne rent faktisk har været involveret i distribution af børnepornografi (hvilket vi ikke håber, du er).

PornBlackMailer indsamler oplysninger om din geografiske placering og tager 4 skærmbilleder af dit skrivebord. Derefter udskifter malwareprogrammet skrivebordets baggrund med et skræmmende billede.

Hackerne insisterer på, at man sender 0.01 BTC til tre angivne bitcoin-wallets. Bitcoin-beløbet svarer i øjeblikket til 76,94 dollars, men den pris er man nødt til at tredoble, eftersom løsesummen skal sendes til tre punge. Når man tager i betragtning, at folk gerne vil undgå at komme i fængsel, er et offer på ca. 231 dollars ikke så slemt. Men den truende besked er uægte, og folk skal ikke spilde deres penge på den.

PornBlackMailer virus bliver aktivt distribueret, for man støder regelmæssigt på nye nyttelaster. Derfor er det vigtigt, at du er forsigtig på internettet. Vi foreslår, at du generelt holder dig fra hjemmesider med pornografisk indhold. Det er ikke første gang, at hjemmesider såsom Pornhub har været involveret i dårlige nyheder.

Mere om distributionen og fjernelsen af PornBlackMailer ransomware

PornBlackMailer virus skulle efter sigende blive spredt ved hjælp af hjemmesider med porno. Det er blot endnu en påmindelse om, at man bør undgå den form for hjemmesider. Det er helt normalt, at annoncer på disse domæner er fyldt med malware. Spam-kampagner kan dog også levere nyttelaster fra kryptomalware. Derfor skal du ikke downloade tilfældige filer, som du modtager i din email-konto.

Eftersom PornBlackMailer ikke krypterer data, er der ingen grund til at komme ind på mulige dekrypteringsmetoder. Vi vil imidlertid gerne benytte enhver mulighed for at skabe opmærksomhed. Så beskyt dine data ved at sikkerhedskopiere dem.

Hvis du gerne vil slippe af med virussen, er du nok nødt til at køre en scanning med et anti-malwareprogram. Du kan også forsøge at fuldføre en manuel fjernelse, men det kan være lidt vanskeligt for folk, der ikke har erfaring med fjernelse af malware. Så hvis du derfor vælger et anti-malwareprogram, vil det ikke alene hjælpe dig med at slippe af med denne væmmelige PornBlackmailer virus, det vil også beskytte dig mod infektioner fremover. Til denne vigtige opgave anbefaler vi Reimage. Brugerne vil ikke blive skuffet, når de anvender dette effektive værktøj med funktioner af høj kvalitet og brugervenlige brugerflade.

1. Hvordan fjernes PornBlackMailer virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, PornBlackMailer virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af PornBlackMailer virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med PornBlackMailer virus.

3. Gendan filer, der er påvirket af PornBlackMailer virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. PornBlackMailer virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.