Esmeralda Ransomware - Hur Tar Man Bort?

 

Esmeralda Ransomware är ett av de senare ransomware virusen som upptäcktes 28:e oktober 2016. Det känns igen som en ny version av Apocalypse ransomware av utredare för IT-säkerhet, även inkluderat utredare av Emsisoft. Esmeralda Ransomware upptäcks under följande namn av antivirus program: FileCryptor.NAT, Gen:Win32.Malware.aqW@aKCOPKj, Mal/FakeAV-CS, Ransom_ESMERALDA.A, TR/Samca.olqkw, Trj/GdSda.A, Troj.W32.Fsysna!c, Trojan.Win32.Fsysna.eabk, W32/Fsysna.CS!tr, W32/Trojan.BYDE-4649, Win32.Trojan.WisdomEyes.16070401.9500.996. Läs artikeln till slutet, du kommer förstå först i efterhand varför det är nödvändigt.

En kort analys av Esmeralda Ransomware

Krypteringsprogrammet Esmeralda har utvecklats för att utnyttja en standard asymmetrisk kryptering för att äventyra systemfilerna. De krypterade filerna som t.ex. DOC, DOCX, XLS, XLSX, JPG, PPT m.m. bifogas en krypterad filändelse. Exempelvis kommer My_photo.jpeg kommer döpas om till My_photo.jpeg efter krypteringen. När filerna har krypterats så blir de låsta och kommer inte kunna öppnas av användaren. Faktum är att dessa databehållare kommer vara helt värdelösa.

Efter en krypteringsrutin utförts framgångsrikt av Esmeralda Ransomware, då kommer en textfil med lösensumman How_to_Decrypt.txt placeras ut hos var och en av de äventyrade mapparna med de skadade filerna. Samma textfil med lösensumman kommer placeras ut som en Notepad-fil på användarens skrivbord och byta ut den tidigare bakgrundsbilden:

Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenience.

You need to contact the email below to restore the data of your system.

Email: esmeraldaencryption@mail.ru

You will have to order the Unlock-Password and the Esmeralda Decryption Software. All the instructions will be sent to you by email.

Som du kan se i de första meningarna av texten så presenterar det sig själv som ett säkerhetsmeddelande, men om du fortsätter läsa lägger du snabbt märke till att det är ett ransomware och krypteringskaparna ligger bakom det. De vill kontaktas på esmeraldaencryption@mail.ru vilket pekar till en rysk tjänsteleverantör för e-post. Detta kan ge grund för att ana att kodarna av Esmeralda Ransomware är från Ryssland.

En intressant del är att storleken av lösensumman och hur man överför dessa görs endast tydligt efter att man har kontaktat kaparna. Eftersom utvecklarna av detta skadliga program är kriminella i allt vad det innebär så rekommenderar vi att du inte har något med dessa och göra.

På vilket sätt infiltrerades Esmeralda Ransomware in i datorns system?

Esmeralda Ransomware (som alla ransomware virus) är inte bara ett krypteringsvirus, det är dessutom ett Trojan-virus. Detta betyder att det kan infiltreras in i datorer på det mest bedrägliga sätt. Det involverar skräppost, förklädda nedladdningar, kapade hemsidor m.m. För att inte riskera att råka ladda ned lasten av ransomwares så bör användaren ha ett anti-skadeprogram som skyddar på datorn för att hålla säkerheten optimal. Ett rekommenderat exempel på ett sådant program är Reimage som bör uppdateras regelbundet vid användning. En ytterligare säkerhetsåtgärd är att låta skräpposten på ens e-post förbli ett förbjudet område. Dessutom måste användare vara försiktiga med nya nedladdningar och inspektera installatörerna mer genomgående, samt neka okända tillägg.

Hur låser man upp låsta filer och ta bort infektionen?

En dekrypterare är fortfarande ett framtida mål. Av den anledningen kommer du inte kunna låsa upp dina filer för tillfället. Du kan endast använda dig av återställningspunkter via en systemåterställning just nu. Som första åtgärd för en extern enhet användas, dock endast om de användes före infektetingen utfördes. Tyvärr kommer du inte kunna använda Volume Shadow kopior eftersom de blir raderade. Som en andra åtgärd kan man använda professionella verktyg som Recuva eller andra återställningsverktyg av Kaspersky Lab m.m.

Denna paragraf är ett måste att läsa före åtgärdena ovan. Esmeralda Ransomware måste tas bort före en återställnings utförs. Anledningen är ganska självklar, viruset kan nämligen fortsätta sin kryptering om det förblir i systemet som aktiv. Avbildningen av den infekterade enheten kan även göras före borttagningen av ransomwaret. För att ta bort trojanen Esmeralda, utför en full genomsökning av datorn med Reimage, Spyhunter eller Stopzilla. Effektiviteten av dessa anti-spionprogrammen är placerade i ovan nämnd ordning. De manuella borttagningsintruktionerna kommer här nedan. De kan vara svåra att implementera framgångsrikt eftersom du har med en ransomware-attack att göra med.

Hur du tar bort Esmeralda Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Esmeralda Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Esmeralda Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Esmeralda Ransomware.


3. Återställ Esmeralda Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Esmeralda Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 
 
november 28, 2016 11:37, november 28, 2016 11:37
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *