Shade Ransomware - Hvordan fjernes det?

Shade Ransomware er en infektion, der kan kryptere dine personlige filer, så du ikke vil være i stand til at åbne eller bruge dem mere. For at få dine krypterede filer tilbage, vil du blive bedt om at betale en løsesum. Men det betyder dog ikke, at du vil få dine filer tilbage, hvis du betaler løsesummen. Mange gange bliver brugerne snydt og bedraget. Derfor anbefaler vi, at du læser mere om dette særlige ransomware og undersøger de tilgængelige muligheder i denne situation. Dette ransomware kendes også under navnet Troldesh virus.

Om Shade Ransomware

Som du allerede ved, så forsøger udviklerne af den ondsindede applikation Shade Virus at tjene penge, idet de inficerer brugernes computersystem, krypterer deres filer og derefter anmoder dem om at betale løsesummen. Dette ransomware kan kryptere alle de mest populære filudvidelser, såsom .jpg, .doc, .mp3 osv. De krypterede filer får udvidelserne .xtbl eller .ytbl. Udviklerens e-mailadresse bliver tilføjet filnavnet (dog ikke altid), f. eks {[email protected]}.xtbl.

Når dine bliver er blevet krypteret, vil du hverken være i stand til at åbne eller bruge dem på nogen måde. Brugerne bliver som regel truet til at betale løsesummen så hurtigt som muligt, for ellers vil deres filer forblive krypteret for altid. Du vil måske blive bedt om at sende en af de krypterede filer til de it-kriminelle, så de kan sende en dekrypteret version af filen tilbage til dig for dermed at bevise, at de har dekrypteringsværktøjet og at det vil løse dine problemer, når du betaler løsesummen.

Da der for øjeblikket ikke findes en metode til at dekryptere dine filer, råder vi dig til at fjerne Shade ransomware fra din computer og vente på en effektiv løsning. Det er vigtigt, at du fjerner dette ransomware fuldstændigt, for resterne af dette malware kan forårsage yderligere problemer vedrørende din it-sikkerhed.

Selvom du kan udføre denne fjernelse manuelt, anbefaler vi, at du scanner din computer med et pålideligt anti-malware program bagefter. Du kan enten benytte Reimage, SpyHunter eller Malwarebytes til denne opgave. I slutningen af denne artikel kan du finde en detaljeret fjernelsesvejledning. Hvis du har nogle spørgsmål vedrørende dette emne, er du velkommen til at kontakte os i kommentarsektionen nedenfor.

1. Hvordan fjernes Shade Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Troldesh virus trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Troldesh ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med .xtbl extension virus.

3. Gendan filer, der er påvirket af .ytbl extension virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Shade Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.