WannaCryptor ransomware - Hvordan fjernes det?

Sidst i marts 2017 blev der opdaget en hel del krypto-virusser. Ransomware-infektionen WannaCryptor, også kendt som Wannacry, viste sit ansigt omkring den 26. marts. De samme hackere, der har designet denne virus, har også udviklet Wcry, der danner baggrund for WannaCryptor. De er begge ret nye (Wcry kom frem i februar 2017), og der hersker ingen tvivl om deres primære hensigt: at bruge uhæderlige metoder til at fratage folk deres penge. WannaCryptor efterlader interessant nok et dropbox.com link, som er kilden til et dekrypteringsprogram. Men det er naturligvis ikke så enkelt, som der ser ud. Hvis man downloader den eksekverbare fil, vil den vise en ”Wanna ”-liste, der forklarer, at man skal betale 300 dollars for at gøre filgendannelsesprogrammet funktionelt. Det er omkring 0.28798 BTC, som er den valuta, hackerne bruger.

Analyse af WannaCryptor ransomware

WannaCryptor ransomware kombinerer AES- og RSA-kryptering, i modsætning til det foregående program, Wcry, som kun brugte AES. Det virker som om, at hackerne har forsøgt at producere et mere sofistikeret ransomware, som skulle være endnu mere skræmmende. Løsesumsbeskeden, som kaldes !Please the Read Me.txt! kommer med en kort forklaring på situationen og tilbyder folk, at de kan downloade programmet til dekryptering af filerne. Mere står der ikke i beskeden, men der må af gode grunde jo være flere detaljer.


Wanna Dekrypteringsprogrammet kaster umiddelbart mere lys over sagen. Når man har downloadet en fil fra dropbox, vil man kunne se i vinduet, at dekrypteringsprogrammet ikke virker. Så snart man kører filgendannelsesværktøjet, vil et stopur begynde at tælle ned. Og efter et tidsrum vil prisen på dekrypteringen stige. Man kan også gå ind i forskellige afsnit, såsom ”About bitcoin”, ”How to buy bitcoins?” og ”Contact Us”. Det sidstnævnte vil formodentlig oplyse en eller anden form for adresse, som vil gøre folk i stand til at komme i kontakt med udviklerne af WannaCryptor virus.


Endvidere har programmet også en bitcoin-wallet, hvortil man skal sende den krævede sum bitcoins. Hvis man betaler, skal man klikke på ”Check Payment”, som afgør, om betalingen er nået frem til bestemmelsesstedet. Men vi kan ikke garantere, at hackerne vil holde deres del af aftalen. Det kan være, at dekrypteringsprogrammet ikke kan gendanne alle de data, som ransomwareprogrammet har ødelagt. Og så har du bare smidt 300 dollars ud på ingenting. Der bliver umiddelbart ikke vedhæftet nogen udvidelse til de krypterede data.

Hjælp til datagendannelse: WannaCryptor ransomware-udgaven

Vi kan ikke anbefale, at man betaler for det dekrypteringsværktøj, som udviklerne af WannaCryptor virus har designet. Det virker nok slet ikke, og det vil dine penge ikke lave om på. Desuden er hackerne som regel ret ligeglade med at holde en hæderlig stil, og derfor er de ligeglade med deres ofre, de tænker kun på penge. Hvis du er blevet offer for WannaCryptor ransomware, vil du ikke være i stand til at køre en god portion af dine filer. Men inden du går i panik, skal du prøve at gendanne dine data helt gratis. Læs det følgende afsnit angående Shadow Volume Kopier og universelle gendannelsesværktøjer. Så der er ingen grund til at få sved på panden, hvis du altså har gemt dine filer i sikkerhedskopilagre. Så skal du bare fjerne WannaCryptor virus og derefter gå i gang med at dekryptere resten af filerne.


WanaDecrypt0r virus

Hvordan invaderer WannaCryptor ransomware enheden?

To af de mest populære metoder til distribution af ransomware er overførslen af skadelig e-post og infektioner via exploit kits. Ransomwareudviklere kan sigte efter din indbakke og indlemme skadelig post på din konto. Hvis de gør, vil du kunne bemærke underlige e-mails, som tilsyneladende informerer dig om gode tilbud eller præmier. Men du skal ikke følge links, der findes i den slags post. Derudover kan forskellige vedhæftninger foregive at være harmløse filer, som i virkeligheden gemmer på et ransomware.

Man skal være ekstremt forsigtig med ransomwareprogrammer. Man kan fjerne denne infektion manuelt, men det kan tage et stykke tid. Anti-malwareprogrammer, såsom Reimage, Spyhunter og Malwarebytes tilbyder en hurtigere løsning på problemet. De vil naturligvis ikke kunne hjælpe med filgendannelsesprocessen, men de vil fjerne alle spor af WannaCryptor virus.

Opdatering pr. 15. maj 2017. Du har måske allerede hørt, at WannaCry har spredt sig som en løbeild. Brugere i hele verden blev inficeret og det skabte naturligvis en masse opmærksomhed i medierne. Selv forretningsselskaber blev involveret i dette helt uventede, massive ransomware-udbrud. På kort tid inficerede Wannacry en masse computere med Windows operativsystem. Heldigvis blev infektionen forhindret i at brede sig yderligere, men brugere og sikkerhedsforskere anbefaler, at man passer på. I dag har man også fundet flere copycats af WannaCry, hvoraf nogle af dem stadig er under udvikling. Du beskytter dig selv bedst ved at drage fordel af de vigtige opdateringer, som Microsoft har udgivet. Endvidere skal du gemme dine data i sikkerhedskopilagre.

1. Hvordan fjernes WannaCryptor ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, WannaCrypt virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af WanaCrypt0r

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med WannaCry virus.


3. Gendan filer, der er påvirket af WannaCry ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. WannaCryptor ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-wannacryptor-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *