Parisher Ransomware - Hur tar man bort?

 

Parisher Ransomware är en variant av Mobef cryptomalware. Det släpptes sommaren 2016 och har redan infekterat mer än 20,000 datorer världen över. Kodningen av denna nya version av ”Mobef” riktar in sig på företag som tillhör datanätverk, samt vanliga användare – personliga datorer. Ingen av dessa kan känna sig säker. Viruset Parisher Ransomware utnyttjar den odödliga asymmetriska krypteringsalgoritmen för att kryptera särskilda filer (kommer att specificeras senare i artikeln). Det lämnar sedan offret med ett meddelande om lösensumma med flertalet e-postadresser, den enorma summan begärs i form av Bitcoins – vilket motsvarar ca. 3000 USD.

De specifika egenskaperna av Parisher Ransomware

Krypteringsprogrammet Parisher Ransomware krypterar alla arkiven .doc, .xls, .pdf med AES (Advanced Encryption Standard) chiffer i kombination med RSA (Ron Rivest, Adi Shamir och Leonard Adleman) algoritmer. Denna kombination av koder är vanligen känd som en asymmetrisk kryptering. Bilder som har filändelsen .jpg kommer inte låsas av denna krypterare. Parisher Ransomware lägger inte till några ytterligare filändelser på de krypterade filerna som majoriteten av krypteringsprogram gör. När datafilerna med de tidigare nämna filändelserna krypterats så kommer filen ENCRYPT1ON.KEY123 (innehållande krypteringsnyckeln) att skapas, och meddelandet med lösensumman vid namn 1NFORMAT1ONFOR.YOU kommer placeras i den skadade mappen som en textfil:

ID:7459374

PC:DC01

USER:administrator

=======

Hello there. I can decrypt your files.

Email me: parisher@protonmail.com

In case you don’t get a reply, please email me here*:

parisher@inbox.lv, parisher@mail.bg, parisher@india.com

* check your junk/spam folder first though 🙂

These files have been encrypted (please, keep this .log): C:Windows7459374.log

Överflödet av e-postadresser kan ses i meddelandet parisher@protonmail.com (den huvudsakliga), parisher@inbox.lv, parisher@mail.bg och parisher@india.comalla är tillhandahållna för att kunna kontakta de kriminella. 5 BTC, vilket motsvarar ca. 3,231,13 USD i dagens kurs är pengar som IT-skurkarna begär från sina offer. Dock är summan inte nämnd i själva meddelandet, storleken av lösensumman har rapporterats som krav senare av dessa kapare. Vi har ingen information om betalningar som utförts av påverkade användare, inte heller överföringen av den privata dekrypteringsnyckeln. Rådet är helt enkelt att inte gå med på några krav från dessa.

Så här ser skrivbordet ut efter en attack av krypteringsprogrammet Parisher Ransomware:

Vad ska man göra med de låsta filerna efter en attack av Parisher Ransomware?

Parishers kodning är inte dekrypteringsbar än. Det är fortfarande under analys. Kopiera dock filerna/ hårddiskarna för att kunna anvädan dekrypteraren när den väl släppts. För tillfället rekommenderas en återställning av datorn med kopiorna av den skadade datan. Testa att använda dig av filåterställningsverktyg, det finns en bred variation av professionella verktyg som t.ex. Recuva, produkter av Kaspersky m.m.

Varför är borttagningen av Parisher Ransomware ännu mer viktig än själva återställningen?

Ransomware virus kan fortsätta krypteringen av data. De kan kryptera alla särskilda filer på din enhet och även nya filer som du sparar på din dator vid varje omstart om det skadliga programmet stannar i din dators system. Av den anledningen måste du ta bort det innan du använder dig av en backup (återställning) eller nedladdat filåterställningsverktyg. Använd dig av ett professionellt program som t.ex. Reimage, Spyhunter eller Hitman för att eliminera skadeprogrammet Parisher. Starta om din dator i Felsäkert Läge med Nätverk och starta en av de rekommenderade anti-skadeprogrammen. De manuella borttagninsinstruktionerna har utvecklats för avancerade användare. Dessa kan du finns nedan i artikeln.

Hur sprids Parisher Ransomware och hur undviker man framtida attacker?

Parisher krypteringsprogram distribueras via ett fjärranslutningsprogram (remote access software) som heter RDP (Remove Access Protocol) och TeamViewer verktyg. Detta är enkelt att implementera om datorns system är känsligt eller oskyddat. Användare bör inte vänta med uppdateringar av säkerhetsprogrammen. Uppdateringar måste kontrolleras vid varje uppdatering av systemet då även dom kan ta in skadlig programvara till enheten. Att ha ett pålitligt säkerhetsverktyg som t.ex. Reimage är väldigt viktigt. Sådana professionella verktyg har ett realtidsskydd inkluderat som kan blockera skadliga koder och inte tillåta dessa att få fäste i datorns system.

Hur du tar bort Parisher Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Parisher Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Parisher Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Parisher Ransomware.


3. Återställ Parisher Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Parisher Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

Parisher Ransomware skärmdumpar

 
         
november 6, 2016 23:01, november 6, 2016 23:01
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *