Ransomwared virus - Hvordan fjernes det?

Ransomwared er en ny krypto-virus, som malwareforskerne opdagede i slutningen af december 2018. Navnet stammer fra den udvidelse, som denne løsesum-krævende trussel anvender til at markere de krypterede filer (’.ransomwared’). Svindlerne drager fordel af den slags infektioner på en mere specifik måde – nemlig fra de betalinger, som ofrene frivilligt sender til dem, for at de til gengæld kan modtage den unikke dekrypteringsnøgle til deres viruslåste data.

Nu til dags er computerejerne mere opmærksomme på virtuelle virusinfektioner og hvordan de kan undgå dem, og endvidere er crypto-lockers hurtigt ved at blive udskiftet med crypto-miners, så udviklerne af Ransomwared ransomware må virkelig lave det helt store show og skræmme ofrene slemt, så de dermed beslutter sig for at betale svindlerne frem for at lede efter andre løsninger. Ransomwared virus anvender typisk Scareware metoder, såsom en popup-besked angående løsesummen og markerer de krypterede filer med en unik vedhæftning osv.

Men uanset hvad hackerne siger, har de fantastiske it-sikkerhedseksperter allerede fundet ud af en måde at låse de filer, der er inficeret med Ransomwared kryptovirus, op helt gratis. Hvis du i øjeblikket roder med dette berygtede malware, så læs videre i denne artikel, så du kan finde de gendannelsesmetoder, der passer dig bedst, samt hvad du skal gøre, for at de løsesum-krævende trusler aldrig inficerer din pc igen.

Hvordan fungerer Ransomwared virus

Navnet Ransomwared virus afslører, hvilken kategori denne trussel tilhører – ransomware. Du har sikkert hørt om disse krypto-infektioner, såsom GandCrab, WannaCry og Locky, som også arbejder efter det samme princip, nemlig at påvirke computerens sikkerhed, sørge for vedholdenhed, låse personlige filer, vise sig for ofret og forlange en betaling for dekrypteringskoden. Selvom dette gælder for alle ransomware, er der nogle visuelle og tekniske afvigelser, som gør Ransomwared kryptovirus til et unikt eksempel.

For det første når Ransomwared ransomware trænger ind i Windows OS (Mac OS computere er immune over for det), gør det alt for at forblive ubemærket af sikkerheden, så installationsprocessen ikke bliver afbrudt. Dette medfører, at truslen føjer skadelige filer til forskellige systemmapper, modificerer registreringsdatabasenøgler og endda standser antivirus. Og derefter begynder kryptovirussen at scanne hele computeren for at finde de målrettede filer, såsom billeder, videoer, musik, og kryptere dem med en Symmetrisk DES algoritme. Når disse data er blevet identificeret, hvilket er nødvendigt, for at systemfilerne ikke bliver låst, så computeren holdes i gang, hvormed offeret stadig kan betale løsesummen, bliver der føjet en specifik udvidelse ’.ransomwared’ til slutningen af de ramte filers navne (’file1.mp3 bliver til ’file1.mp3.ransomwared’).

Derefter afslutter Ransomwared ransomware invasionen og viser sig for offeret på den grafiske brugerflade som en popup-besked om løsesummen, hvor der står:

Recovery

You are ransomwared! To recover your files, email us and buy recovery code

[email protected]

Svindlerne forlanger, at brugeren kontakter dem angående gendannelsesnøglen, som ikke er gratis. Det er ukendt, hvor meget udviklerne af Ransomwared kræver, men det kan variere fra et par hundrede til flere tusinde dollars i deres foretrukne Kryptovaluta, så de kan forblive anonyme. Vi kan absolut ikke råde dig til at betale, uanset hvor lille beløbet er, for det hjælper hackerne til at forbedre deres malware og distribuere endnu mere.

På trods af at det faktisk kun lige er blevet opdaget af malwareforsker Leo, var der for nogle måneder siden en meget lignende ransomware-infektion, som en anden it-sikkerhedsekspert, kendt som @struppigel, fandt ved hjælp af samme streng. Men det vides dog stadig ikke, om den nuværende Ransomwared virus er en forbedret version af en tidligere eller om den er et separat projekt. Du kan finde yderligere tekniske oplysninger på Virustotal.com.

Hvordan bliver Ransomwared kryptovirus spredt og hvordan kan man undgå den

Ransomwared ransomware begynder, ligesom andre kryptoinfektioner, med Malspam. Darkweb er fuld af afslørede e-mailadresser, som alle kan købe, hvilket er til stor nytte for distributionen af virusinfektioner. Hackerne køber en bunke e-mails, til hvilke de sender en såkaldt social engineered besked og en vedhæftet fil med et ransomware-installationsprogram, som ligner en almindelig .docx- eller .pdf-fil. Den slags phishing e-mails kommer typisk fra en ukendt afsender, og er meget korte, uklare og opfordrer til, at man åbner vedhæftningen for at få yderligere information.

Somme tider kan disse e-mails virke legitime og se ud som om, de kommer fra regeringen, politiet, bank, hospital, en ansat, en arbejdsgiver eller endda en ven. Når offeret åbner filen og aktiverer makroer (som er nødvendigt for at kunne se indholdet), går opsætningen af Ransomwared virus i gang, og det kompromitterer hurtigt systemet fuldstændigt via baggrundsprocesser.

Hvis du gerne vil forhindre det, anbefaler vi dig på det kraftigste til at lære, hvordan du Identificerer skadelige e-mails, samt overvejer andre sikkerhedsforanstaltninger, såsom anti-malwareprogrammer. Vi har den Ultimative beskyttelsesvejledning mod ransomware, som også kan hjælpe.

Sådan fjerner du Ransomwared virus og gendanner filerne

Takket være malwareeksperten, bedre kendt som @demonslay335 på Twitter, kan man dekryptere Ransomwared virus. Eftersom det officielle dekrypteringsværktøj stadig ikke kan fås på Hjemmesiden NoMoreRansom.org, er den eneste løsning nok, at du tager kontakt til @demonslay335 og venligst beder om hjælp med at låse filerne op.

Hvis du er en meget ansvarlig computerbruger og regelmæssigt foretager Sikkerhedskopier, så har du ligeledes en hurtig metode til at få rettet op på denne situation. Du kan gendanne dine filer og rense systemet for virus ved hjælp et gendannelsespunkt lige før infektionen. Men altså kun hvis du har en sikkerhedskopi. Vær opmærksom på, at denne løsning ikke er egnet for dem, der gerne vil gendanne data markeret med udvidelsen .ransomwared, som ikke er sikkerhedskopieret. Hvis filerne ikke er vigtige eller du ikke har lyst til at benytte et antivirus-produkt, så kan du fortsætte med en fuld Systemgendannelse.

Vi anbefaler, at du kører en gratis scanning med enten Spyhunter eller Reimage både efter systemgendannelse og efter dekryptering med en speciel kode, for således kan du være helt sikker på, at systemet er renset. Disse anti-malwareprogrammer vil oplyse dig om den aktuelle tilstand i dit system og om eksisterende virusinfektioner samt tilbyde en nem fjernelse, blot ved at du følger de angivne retningslinjer. En detaljeret forklaring og visuel vejledning, der fortæller, hvordan man fjerner Ransomwared virus og gendanner de inficerede filer, kan du finde i slutningen af dette indlæg.

Automatiske fjernelsesværktøjer til Malware

1. Hvordan fjernes Ransomwared virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Ransomwared virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Ransomwared virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Ransomwared virus.

3. Gendan filer, der er påvirket af Ransomwared virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Ransomwared virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.