LowLevel04 Ransomware - Hur Tar Man Bort?

 

LowLevel04 Ransomware upptäcktes i oktober år 2015, och det fortsätter att attackera sårbara datorer. Denna filkrypterare har varit speciellt aktiv i Grekland och Bulgarien genom att attackera servrar och rikta in sig i huvudsak på företagare. Medans attackerarna har rapporterats ha IP-adresser vilket pekar mot Nederländerna (t.ex. 89.248.172.159) och Turkiet.

En kort introduktion av LowLevel04 Ransomware

Kryptoprogrammet LowLevel04 Ransomware använder sig av AES (Advanced Encryption Standard) krypteringsalgoritmer för att kryptera lagrade data på hårddisken, flyttbara enheter och även nätverksenheter. De filer det siktar in sig på är följande:

.3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay, .bck, .bkp, .bcp, .cdr, .mid, .nef, .nrw, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, .pst, .ppt, .rtf, .rw2, .odt, .ods, .pem, .sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer, .crw, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, .p12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, .msi, .ie5, .ie6, .ie7, .ie8, .ie9, .ini, .inf, .lnk, .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip

De krypterade filerna får en oorr. prefix. Exempelvis ”Presentation.ppt” kommer få filändelsen oorr.Presentation.ppt. Den krypterade filen är faktiskt ändrad genom att lägga till ett antal lager av information gällande dekrypteringen. De fem lagrena av dekrypteringsinformationen är följande: den krypterade filen, filens storlek före krypteringen, RSA-2048 krypteringsnyckel, storleken av nyckeln och identifieraren av LowLevel04 infektionen – dess prefix.

Den körbara filen av LowLevel04 Ransomware som kallas Data.exe, den tar bort sig själv efter att krypteringen är över. Alla filerna som sedan skapats under krypteringsprocessen rensas också. Dessutom kommer kommandona ”wevtutil.exe cl Application, wevtutil.exe cl Security ochs wevtutil.exe cl System” kommer också implementeras för att ta bort Applikation, Säkerhet och System event loggarna, vilket i sin tur kommer göra det omöjligt att undersöka attacken av den äventyrade datorn.

Help recover files.txt filen som innehåller meddelandet om lösensumman kan lokaliseras i de infekterade mapparna. Det finns en grekisk version med. Meddelandet på engelska ser ut såhär:

4 BTC, vilket motsvarar 2,947,28 USD är lösensumman. Entry122717@gmail.com och entry123488@india.com är kontaktadresserna. Även fast offer har rapporterat att de har fått dekrypteringsnyckeln efter att lösensumman betalats, så rekommenderar vi ändå inte att gör det. Du kan aldrig veta om attackerarna kommer försöka stjäla din data en eller flera gånger om.

Hur lyckas LowLevel04 Ransomware infektera datorn?

Krypteringsprogrammet LowLevel04 Ransomware distributeras genom att hacka (kapa) fjärranslutningar via en kryptoanalytisk attack kallad ”brute-force-attack”. Denna form av attack utförs genom att testa ett antal olika lösenord tills den rätta är funnen. När tillgång till den ovan nämna tjänsten har tagits fram så kommer lasten av krypteringsprogrammet laddas ned och äventyra systemet.

Hur dekrypterar du dina filer och tar bort infektionen?

Det finns inget dekrypteringsverktyg från pålitliga källor tillgänglig än. Av den anledningen är en dekryptering inte ett alternativ. Kopiera ändå filerna på den infekterade hårddisken. En positiv nyhet är dock att Shadow Volume kopior inte påverkas av LowLevel04 Ransomware viruset, så du kan använda dom. Om du inte vet hur du återställer dina filer med Shadow Volume kopior så kan du följa denna länk: http://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/. Om Shadow Volume tjänsten inte är tillgänglig så kan du alltid försöka ge dig på ett filåterställningsprogram som t.ex. Recuva, PhotoRec m.m.

Innan du börjar experimentera med Shadow Volume tjänsten eller laddar ned några filåterställningsverktyg, så bör du ta bort LowLevel04 viruset från din dator. Ladda ned Reimage, Spyhunter eller Hitman och genomför en full genomsökning av datorn. De manuella borttagningsinstruktionerna av krypteringsviruset finner du här nedan:


Automatisk LowLevel04 Ransomware verktyg för borttagning

 

Andra verktyg

 
  0   0
    Spyhunter
  0   0
    Malwarebytes’ Anti-Malware
 
Notera: Reimage försök ger detektion av parasiten som LowLevel04 Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort LowLevel04 Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan LowLevel04 Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av LowLevel04 Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till LowLevel04 Ransomware.


3. Återställ LowLevel04 Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker LowLevel04 Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

LowLevel04 Ransomware skärmdumpar

 
     
 
 
november 17, 2016 11:30, november 17, 2016 11:30
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *