OzozaLocker Ransomware - Hur Tar Man Bort?

 

OzozaLocker är ett rannsomware virus som upptäcktes mellan den 21 till 25:e november 2016 av IT-säkerhetsanalytiker från MalwareHunterTeam. Detta nya ransomware visar sitt meddelande om lösensumma på ett intressant sätt, ett popup meddelande dyker nämligen upp efter att offret har klickat på en krypterad fil två gånger. Än mer viktigt att nämna gällande skadeprogrammet OzozaLocker är att ett gratis dekrypteringsprogram har släppts av forskare från Emsisoft. Du hittar länken dit nedan i artikeln.

Vad är redan känt om OzozaLocker ransomware?

Krypteringsviruset OzozaLocker använder sig av .locked ändelsen för att markera krypterade filer. På så sätt kan man se de hälsosamma filerna mot de krypterade, exempelvis blir wallpaper.jpg efter en låsning wallpaper.jpg.locked. Följande filtyper kan påverkas av detta ransomware:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .rim, .w3x, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .fos, .mov

Meddelandet med lösensumman kallad HOW TO DECRYPT YOU FILES.txt (det är tydligt att skurkarna glömt lägga till bokstaven R i slutet av YOU) släpps som en Notepad fil. Det innehåller följande meddelande:

Files has been encrypted.

If you want to decrypt, please, send 1 bitcoin to address 1J6X2LzDrLyR9EoEDVJzogwW5esq5DyHRB and write me to

e-mail: Santa_helper@protonmail.com

Your key: zmhhyzh4MUd6zwdNd00yY1A2s0s1wvJBemz4vfBZbDVTRFF0u2xRTFduTzg3aTZnR2c

Det är tydligt i meddelandet att det t.o.m. är fler bokstäver som saknas. Dessa kodare visar tydligt att förmågan att läsa och skriva inte riktigt finns där. Summan av lösensumman är 1 BTC vilket motsvarar idag ca. 730,45 USD. BTC adressen som tillhandahålls är densamma i varje infekterat fall av OzozaLocker, Dock är nyckeln i slutet olik var gång. Dels ser du informationen om kontoadressen till kaparna, dit alla betalningarna flödar. Sedan ser du den unika nyckeln (koden) som genereras till varje ägare av en äventyrad dator. Och som en tredje bit av informationen har du e-postadressen Santa_helper@protonmail.com där kodarna av OzozaLocker presenterar sig som tomtens hjälpredor, dock är julkänslan långt ifrån i det här fallet.

Gällande distributeringen av virusinfektionen OzozaLocker så finns det inga specifika sätt dokumenterade. Därav måste det klargöras igen om det sprids på de konventionella metoder som andra ransomwares. Det inkluderar skräppost, bifogat innehåll i e-postmeddelanden, falska nedladdningar och infekterade hemsidor. Dessa kan vara de huvudsakliga metoderna för distribution av OzozaLocker ransomware.

Eliminera OzozaLocker Ransomware och återställ dina filer

Som tur är så finns det alla möjliga sätt utvecklade för att kunna ta bort hotet OzozaLocker och återställa datan. Först och främst måste du kopiera den låsta datan innan du använder ett anti-skadeprogram för att ta bort OzozaLocker, glömmer du det kan du nämligen inte använda den väkända dekrypteraren vi kommer att presentera för dig. Vi rekommenderar antingen Reimage, Spyhunter eller Malwarebytes som ant-skadeprogram. Det finns även instruktioner nedan om hur man tar bort OzozaLocker manuellt. Har du dock inte hanterat något liknande tidigare så är det bättre att använda Reimage exempelvis. De välkända dekrypterarna kan du ladda ned gratis här.



Automatisk OzozaLocker Ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som OzozaLocker Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort OzozaLocker Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan OzozaLocker Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av OzozaLocker Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till OzozaLocker Ransomware.


3. Återställ OzozaLocker Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker OzozaLocker Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

OzozaLocker Ransomware skärmdumpar

 
     
 

Om författaren

 
december 29, 2016 08:53, december 29, 2016 08:53
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *