Spora virus - Hvordan fjernes det?

Januar var godt hyllet ind i sin vintersøvn, da sikkerhedseksperterne opdagede et af de hidtil mest komplicerede ransomware-eksemplarer i 2017. Spora krypto-virus er en væmmelig infektion, som helt klart er konstrueret af professionelle, som har investeret en masse sved i dette projekt. Den distribueres via skadelig spam-post, som for det meste sendes til russisktalende brugere: dette eksemplar sigter med andre ord efter denne gruppe brugere. Selvom den benytter sig af den samme strategi som mange andre forudgående medlemmer af ransomware-kategorien, skiller virussen sig ud med sin indviklede krypteringsproces og en webside med en smart designet betaling/dekryptering. Derudover er den anderledes end andre af slagsen, eftersom den ikke fjerner gamle eller vedhæfter nye udvidelser til de eksekverbare filer, som den krypterer med algoritmer. De inficerede ofre får et ID-nummer, som de kan logge ind med på websiden Spora.bz. Måske har hackerne tænkt, at hvis de konstruerer et mere usædvanligt domæne for betalingen/dekrypteringen, vil de have en større chance for at få de beløb, de forlanger. Det ID-nummer, du indtaster i log ind-feltet, vil automatisk vise detaljer om din infektion: den vigtigste ting er antallet af filer, som er krypteret.

Hvis du gerne vil vide mere, skal du blot læse videre.

Flere nyttige oplysninger om Spora virus og det unikke ved den

Vi er stødt på mange infektioner i de mange år, vi har skrevet artikler om it-infektioner og det er vores erfaring, at enhver wannabe-hacker kan lave en ukompliceret ransomware-virus ved hjælp af open-source-koder. Men ind imellem designer dedikerede programmører mesterværker, som det gør ondt at se på som følge af deres indviklet beskaffenhed. Spora ransomware er helt klart en af den slags infektioner, som pludseligt dukker op og viser sikkerhedseksperterne, at de skal på hårdt arbejde for at finde en kur. Denne infektion spredes i e-mails og er vedhæftet eksekverbare filer, der, når de køres, vil begynde Spora’s processer. Overraskende nok så sigter ransomwareprogrammet ikke efter mange filer, men holder sig til de mest populære typer, som findes på enhver computer. Ja, hvorfor gå efter hundredvis af filtyper, når de populære næsten altid befinder sig i enheden? Spora virus forsøger at ramme Word-dokumenter, PDF-filer, billeder, ZIP- og RAR-filer osv. .KEY-filen udfører en ekstrem indviklet krypteringsproces. Vi vil ikke gå så meget i detaljer med det, men kan nævne, at der anvendes en kombination af RSA- og AES-algoritmerne til krypteringsprocessen for at sikre, at sikkerhedseksperterne har en meget lille chance for at lave et gratis dekrypteringsprogram. Spora virus ødelægger også alle Shadow Volume kopierne for yderligere at mindske muligheden for en filgendannelse.

Man har fundet ud af, at ransomwareprogrammet arbejder med tre eksekverbare. Når det er begyndt at køre, placerer det først en close.js fil i, formodentlig, en Temp-mappe. Derefter får den fil følgeskab af en yderligere eksekverbar, der er ansvarlig for en vellykket krypteringsproces. Den har ikke noget specielt navn og kan oprettes forskelligt til hvert offer. Den tredje fil, som Spora virus anvender, er en slags .docx eksekverbar, som vil udløse en besked, der angiver, at ”Word ikke kan åbne filen, fordi filformatet ikke stemmer overens med filudvidelsen”.

Vi har allerede nævnt, at Spora virussens webside for betalingen/dekrypteringen er lidt anderledes. De inficerede ofre er nødt til at indtaste deres ID-numre for at kunne få adgang til den fulde version af websiden. Det betyder, at hvis du ikke er kompromitteret af Spora, vil du ikke blive inviteret til dens fest-side. Men det vil imidlertid ikke være nok at indtaste ID-kombinationen: man er også nødt til at tilføje .KEY-filen på websiden. Først da vil websiden være i stand til at komme med en pris for dekrypteringen, alt afhængigt af det antal filer, der er krypteret. Udover at tilbyde fil-dekryptering og en fuld gendannelse af systemet, prøver hackerne virkelig at få så meget ud af situationen som muligt. Folk kan købe immunitet mod andre ransomware-infektioner, som disse væmmelige programmører vil fremstille. Det er et tegn på, at de har planer om at lave flere ransomwarevirusser fremover. På det følgende billede kan du se et eksempel på en skadelig e-mail (på engelsk)

Sådan en kompliceret krypteringsmetode: er der nogen mulighed for at overvinde Spora virus?

På grund af den måde Spora virus har valgt at kryptere sine ofres filer, er det ret svært at sige, om der snart vil komme et gratis gendannelsesværktøj. Komplicerede eksemplarer som dette har umiddelbart brug for yderligere analyse, for at man kan lave et dekrypteringsprogram. Vi råder dig til at forholde dig rolig og rationel: du skal ikke lade dig narre til at betale hackerne for dekrypteringen. Men du skal dog gendanne 2 filer gratis: det kan hjælpe sikkerhedseksperterne med at frembringe et gratis værktøj. Selvom virussen i øjeblikket hovedsageligt sigter efter russisktalende brugere, kan vi sagtens forestille os, at den hurtigt går i andre retninger, når tiden er inde. Hvis du gerne vil have et godt råd, så kan vi udstyre dig med de to mest nyttige metoder, hvormed du kan være immun overfor ransomware: gem dine filer i sikkerhedskopilagre eller opbevar dem andre sikre steder. Hvis du bliver inficeret, behøver du ikke at bekymre dig om filgendannelse, eftersom du er i stand til at få dem igen fra dine gemmesteder.

Sådan kommer Spora virus ind i computerenheden

Udviklerne af Spora ransomware sender e-mails med inficerede vedhæftninger til tilfældige personer. Hvis du åbner den vedhæftede fil, giver du virussen lov til at begynde sit beskidte arbejde. Derfor skal din indbakke altid være fri for spam. Ikke desto mindre er det sommetider ekstremt svært at skelne mellem en pålidelig besked og helt igennem svindel. Vores råd til dig er, at du aldrig åbner post fra ukendte kilder. Du skal kun åbne vedhæftninger, når du er helt sikker på, at de er fuldstændig ufarlige.

Eftersom Spora virus sletter Shadow Volume kopierne og benytter sig af andre tricks for at komplicere fildekrypteringen, er gode råd dyre, hvad det angår. Men du skal fjerne ransomwareprogrammet så hurtigt som muligt, og Reimage, Spyhunter eller Malwarebytes kan hjælpe dig med den proces.

Opdatering pr. 24. januar 2017. Akkurat som vi forudså, gik der ikke lang tid førend denne ransomware-infektion begyndte at gå efter folk af anden nationalitet. Først var det stort set kun folk fra Rusland, der modtog disse skadelige spam e-mails. Men nu kan folk fra forskellige lande blive udsat for Spora virus. Derudover har man bemærket, at Spora overføres af en server, som spreder ransomware-kæmper såsom Cerber og Locky. Det kan aldrig ende godt: så vær ekstrem forsigtig, eftersom det stadig er uvist, hvilke lande der er i dens sigte.

Opdatering pr. 6 februar 2017. Sikkerhedseksperter har bemærket, at Spora virus har indlemmet en ny distributionsmetode. Nu spredes den også via Google Chrome, når brugerne bliver foreslået at opdatere deres browser. Man vil formentlig støde på et vindue med EITest Chrome Font-opdateringen, men man skal ikke gå med til at installere den.

Opdatering pr. 20 marts 2017. Takket være sikkerhedseksperternes analyse er det nu meget nemmere at genkende Spora-infektionen. Endvidere ser det ud til, at denne variant har taget en ny webside i brug: Torifyme.com

1. Hvordan fjernes Spora virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Spora ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Spora virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Spora ransomware.


3. Gendan filer, der er påvirket af Spora virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Spora ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-spora-virus

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *