LLTP Ransomware - Hur Tar Man Bort?

 

LLTP (Locker) krypteringsviruset klassas bland ransomwares som använder en kombination av chiffer för att komplicera dekrypteringen för sina offer. Först tillsätts en AES algoritm för att förstöra data med en allmän krypteringsnyckel, därefter krypteras den privata nyckeln med en RSA-kryptering. Alla dessa processer ser till att användarens data inte längre går att använda. I meddelandet med lösensumman kommer kaparna hänvisa till sig själva som ”LLTP Locker Team” och begär att all betalning sker via ett anonymt betalsystem: Bitcoin. LLTPail2tor.com är e-postadressen som offren kan skriva till om de stöter på svårigheter kring betalningen. E-postadressen kommer även vara nödvändig att kontakta efter att betalningen framgångsrikt skickats till Bitcoin-plånboken 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP. 72 timmar ges som tidsgräns för att offrena skall få samla sina tankar och besluta om de vill betala lösensumman eller ej. Även fast kaparna hävdar att de kommer radera den privata dekrypteringsnyckeln efter att tiden utgått, så anses inte vi att det är det bästa valet att ta.

Stegen som LLTP ransomware initierar

Krypteringsviruset LLTP verkar ha en del egenskaper gemensamt med TrumpLocker och VenusLocker infektioner. Skärmlåset inkluderar samma bild med en tecknad version av en mörk silhuett som har på sig en ikonisk anonym mask. Det verkar som detta ransomware inte influeras av det faktum att det eventuellt inte finns någon internetuppkoppling i den infekterade enheten.


Fil-krypteringen kan startas i offline-läge med. Moniestealer.co.nf tycks vara den domänen som LLTP viruset programmerats att kontakta och tillhandahålla särskilda detaljer om det infekterade offret. Som svar kommer kaparna inte tveka att skicka en allmän nyckel för krypteringen. Dock behöver enheten vara uppkopplad till internet för att detta skall kunna hända. Dock kommer LLTP ransomware kunna slutföra krypteringen oavsett.


Detta ransomware kommer att skapa nya mappar och undermappar för att lagra skadliga körbara filer, samt att kunna placera krypterade data på ett ställe kallad ”vault”. Det genererar även ett RAR-arkiv, men syftet för det är än underförstått. LLTP viruset kommer även se till att alla Shadow Volume kopior raderas eftersom den funktionen kan hjälpa användare att återställa filerna helt och hållet kostnadsfritt. Meddelandet med lösensumman kallas ReadMe.txt och LEAME.txt.


Det finns även en spansk version av meddelandet, detta innebär att det inte bara försöker infektera engelsk-talande användare. Den krypterade datan får den långa och unika filändelsen: .ENCRYPTED_BY_LLTP. Denna följer efter flertalet olika filer, vilket betyder att den inte har något problem med att upptäcka vilka körbara filer som skall krypteras med AES-256.

Hur kan jag återställa mina filer? LLTP ransomware har förstört dom

Tyvärr har vi inte direkt några positiva nyheter som svar på den här frågan. En dekryptering ligger fortfarande en bit bort, men vi hoppas att du inte frestat att betala lösensumman som kaparna begär. Förmodlingen kräver de runt 0,2 Bitcoin som motsvarar runt 203,66 USD. Om det är återställande verktyg som du bekymmrar dig över så bör du känna till att det redan finns ett flertal sådana verktyg. Du kan testa att dekryptera dina filer med någon utav dom, har du tur så fungerar en av dom. Men eftersom LLTP ransomware hotar med att permanent förstöra dina filer, så bör du först skapa en kopia på den kodade datan på ett säkert ställe (USB enhet eller något liknande). Ta därefter bort infektionen. Detta kan göras antingen manuellt eller automatiskt. Reimage, Spyhunter eller Hitman är program som kan hjälpa till med den automatiska borttagningen. För möjliga dekrypteringsalternativ bör du läsa hela artikeln.

Distribution av LLTP ransomware

Kapare distributerar LLTP ransomware via några olika sätt. Först skickar de ett skräppost-meddelande som erbjuder nedladdning av bifogat innehåll, vilket kommer innehålla lasten av infektionen. Du bör inte öppna slumpmässiga meddelanden i din inbox och försöka hålla din enhet ren från okända filer. Undvik också vilseledande annonser och att besöka suspekta hemsidor som enkelt kan resultera i en infektion med skadeprogram. Om du önskar ett mer säkert internetanvändande, då föreslr vi dig att du endast använder dig av legitima domäner och tjänster.



Automatisk LLTP ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som LLTP Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort LLTP ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan LLTP virus infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av LLTP Locker ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till LLTP ransomware.


3. Återställ LLTP virus påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker LLTP Locker ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

LLTP ransomware skärmdumpar

 
     
 
 
april 3, 2017 19:17, augusti 3, 2017 11:42
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *