KillSwitch Ransomware - Hur Tar Man Bort?

 

KillSwitch är ett nytt ransomware virus som antas baseras på den öppna källan Hidden Tear Project på grund av hur säkerhetsverktyg känner igen det (Gen:Heur.Ransom.HiddenTears.1). CryptoKill.exe är källan till den skadliga aktivitet och begränsas till följande plats: UserProfile/Documents/test. Säkerhetsforskare anser inte att det här är en sofistikerad variant, men det utgör fortfarande ett hot på internet.

Processen för filkrypteringen startas med hjälp från AES-256 chiffern som skapar en lokal nyckel för kryptering och även en privat nyckel för dekryptering, den sista lagrar kaparna på sina hemliga servrar. I det nya fönstret som ransomwaret genererar för hotbrevet finns inga uppgifter om kraven som kaparna har. Förvånadsvärt nog krävs inga Bitcoins för dekrypteringsnyckeln, det kan vara så att skurkarna endast vill föstöra utan vinst.

En originell filändelse kommer att läggas till på den digitala datan som influeras av krypteringen: .switch. Filer som markeras med detta kommer inte längre kunna användas och kan inte heller startas. Totalt infekterar infektionen 17 stycken olika filtyper. Innan kodningen kan implmenteras antas lasten utföra en genomsökning för att hitta passande data. Filer som slutar på .ott, .pdf, .PPT, .txt, .xml eller .csr är bara några exempel.

En skadlig process kommer troligen köras på enhetshanteraren, men den kan också ta skepnaden av ett till synes ofarlig process som inte ser misstänksam ut. Dessutom kommer ytterligare filer placeras i Windows registret, dessa tillåter sedan att lasten startas automatiskt vid varje systemstart. Vi antar att Windows operativsystem är de huvudsakliga målen.

Eftersom det inte finns några krav i hotbrevet så är det här specifika exemplaret ganska förvirrande. Varför skapa ett virus som sedan inte ger några förtjänster? Oavsett så kan filer ändå förstöras och användare kommer att bli intresserade av att finna alternativa lösningar för att återfå filerna. Det finns ett par saker att lära dig angående detta.

Alternativ för fil-återställning

Först och främst så har säkerhetsforskare inte lyckats utveckla en gratis dekrypterare än. Dock tror vi inte att det här ransomwaret är allt för svår att besegra. Under tiden kan vi leta efter alternativa lösningar. Det viktiga att känna till är att lagra filerna på en backup-enhet anses vara en brilliant plan. Att spara digital information på flera platser kommer att hjälpa dig återhämta filerna om en källa skulle förstöras. Under sådana tillfällen kan kopior som du lagrad på hårddisken skadas.

Har du lagrat dina filer på ett online-lager eller håller det säkert förvarat på en USB-enhet- då bör du känna till att ransomware viruset måste tas bort innan filerna återställs. KillSwitch infektionen kan innehålla element som kan återkryptera filerna som återställs annars. Vi föreslår att du antingen eliminerar infektionen manuellt eller använder dig av ett anti-skadeprogram för samma syfte. Reimage, Spyhunter eller Hitman är professionella program som kan hjälpa dig ta bort skadorna framgångsrikt.

Källor för ransomwares förklarat

Olika krypteringsprogram kan följa specifika metoder för infiltration. I en del fall kan skräppostkampanjer användas för att distribuera körbara filer som sedan upptäcks som lasten för ransomwaret. En specifik strategi bör inte ses över den andra, skadeprogram kan nämligen även komma från olika nedladdningar, fildelningar och även peer-to-peer nätverk. Försök alltid att undvika installera material som inte är viktiga eller kommer från okända tredjeparts utvecklare.

Som en sista notering bör vi förfriska ditt minne med att betalning för krypteringsvirus är ett dåligt beslut. Kapare är opålitliga och kanske inte ger sina offer funktionella nycklar.



Automatisk KillSwitch ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som KillSwitch Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort KillSwitch ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan KillSwitch ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av KillSwitch ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till KillSwitch ransomware.


3. Återställ KillSwitch ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker KillSwitch ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

KillSwitch ransomware skärmdumpar

 
     
 

Om författaren

 
juli 6, 2017 09:37, juli 6, 2017 09:37
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *