HappyDayzz Ransomware - Hur Tar Man Bort?

 

När krypteringsviruset HappyDayzz tog sina första steg, var säkerhetsforskare ivriga med att associera detta ransomware med Globe ransomware då de båda har liknande hotbrev. Det är säkerligen ett ärligt misstag då instruktionerna nästan ser identiska ut. Dock kunde man snart avgöra att HappyDayzz ransomware var ett helt separat virus. Det innehar egenskaper som en teknisk support som sägs vara tillgängligt hela tiden. Människor som har otur nog att bli offer för den här infektionen får instruktioner om att kontakta HappyDayzz via antingen Skype (nsyaneksab.aked) eller blackjockercrypter@gmail.com. Under konversationen kommer kaparna avslöja den totala summan i Bitcoin som krävs för en dekryptering. Dessutom kommer dom säkerligen även informera vilken Bitcoin-plånbok överföringen skall gå till.

Full rapport om HappyDayzz ransomware

Efter att krypteringsviruset HappyDayzz har krypterat filerna färdigt så kommer det inte bara skada deras funktionalitet, de kommer dessutom döpas om så de inte känns igen. Före den originella titeln kommer blackjockercrypter@gmail.com läggas till. Sedan kommer tidigare namn ändras till en slumpmässig sekvens av bokstäver och nummer. Därefter följer en unik filändelse, men som blir identisk med alla de skadade filerna: .happydayzz. Som du kanske redan gissat så kommer alla de påverkade filerna vara helt värdelösa. Exempel på hur krypterad data kan se ut: blackjockercrypter@gmail.com.[random_combination].happydayzz.

Kaparna kommer att förklara att det ända säkra sättet att återfå sina filer på är genom att kontakta dom och ta reda på mer angående betalningen som skall utföras. I det huvudsakliga hotbrevet kommer kaparna inte nämna deras Bitcoin-plånbok (konto), inte heller någon exakt summa. Dock rekommenderar de sina offer att skicka dom två krypterade filer. Skurkarna kommer sedan dekryptera dessa gratis för att visa att de har kapaciteten för det. Även om det visar sig att de inte bluffar så råder vi starkt emot att betala för deras dekrypteringsnyckel. Eftersom kaparna känner till att de kan hjälpa säkerhetsforskare att skapa ett dekrypteringsverktyg genom att dekryptera två filer gratis, så ser dom till att dessa två är under 5 MB.

Enligt rapporter från offer (tydligen distributeras den här varianten fortfarande), så har utvecklarna av HappyDayzz ransomware beslutat att använda sig av en AES kryptering. Filen som tillhandahåller instruktioner innehar namnet ”How to Recover Encrypted Files.hta”. Bilden ovan visar hur filen kommer att se ut. Bli inte vilseledd av titeln Globe som visas på toppen. Trotts sina likheter så är dessa två utvecklade av olika kapare.

Vad gör jag med filerna som HappyDayzz ransomware har förstört?

Tidigare offer har nämnt att universala verktyg för dekryptering har misslyckats. Bli dock inte upprörd så enkelt: det finns andra sätt att återfå filerna på. Vi har ingen information gällande om HappyDayzz ransomware raderar Shadow Voluem kopior. Av den anledning bör varje offer kontrollera om dessa förblev orörda. Om de är intakta kan en återställning utföras. Har du dock lyckats lagra en backup på en extern enhet innan datorn blev infekterad, då bör du inte ha några svårigheter att terfå dina filer därifrån. Innan du gör det dock rekommenderas det att du tar bort HappyDayzz ransomware först, om du återställer filerna med infektionen kvar kan viruset kryptera dessa med nämligen. För borttagningen av ransomwaret, använd dig då av ett anti-skadeprogram. Reimage, Spyhunter eller Malwarebytes kommer ta hand om infektionen utan avbrott.

Vilka källor för HappyDayzz ransomware kan vi identifiera?

HappyDayzz viruset kan använda gamla knep för distribution. Lasten kan hittas i e-postmeddelanden som skickats ut under skräppost kampanjer. De flesta av dom innehåller bifogat innehåll som är kapabla att infektera dig med de mest hemska typer av skadeprogram. En annan taktik kan också användas: så kallade ”exploit kits” som utnyttjar sårbarheter kan användas för distribution av HappyDayzz ransomware, eller andra typer av virus med. Om du värdesätter din säkerhet, försök då undvika att besöka domäner som kan användas för att infektera dig med virus.

Hur du tar bort HappyDayzz ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan HappyDayzz infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av HappyDayzz ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till HappyDayzz.


3. Återställ HappyDayzz ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker HappyDayzz radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

HappyDayzz ransomware skärmdumpar

 
     
 

Om författaren

 
april 11, 2017 09:30, april 11, 2017 09:30
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *