Smash! Ransomware - Hur Tar Man Bort?

 

Smash! Ransomware är ett nytt skadligt program som upptäckts av MalwareHunterTeam. Det använder sig av en del av Super Mario Bros utseende (ett plattform-spel av Nintendo), nämligen supersvampen – fast som håller i en kniv. Fast det kallar sig själv ett ransomware och har egenskaper som ett ransomware så kan det inte klassas som ett av de farligaste inom IT-världen av just ransomwares. Smash! Ransomware kan kallas som en under utvecklingsversion som bäst. Det vore fel att namge det som en crypto-locker, crypto-malware eller file-encrypting virus som de flesta andra ransomware är på engelska. Detta beror på att det varken krypterar eller låser filerna. Smash! Ransomware i sin nuvarande version kan mestedels namnges som ett skärmlås.

Hur fungerar Smash! Ransomware?

När lasten av Smash! Ransomware väl har laddats ned på en äventyrad dator så kommer offret visas sex olika popup-fönster som dyker upp en efter den andra. Dessa popup meddelanden innehåller följande välkomstmeddelande:

smash ransomware

Welcome

Hi and welcome to

Welcome

Smash! Ransomware

Welcome

I thought i would lay here all alone.

Welcome

But now…

Welcome

Your are here!:)

WeHSnX

So Welcome to HELL. Pay or your files die!

Alla dessa popups har en OK knapp i nedre högra hörnet. Om du klickar på OK på det sista popup meddelandet så kommer du få ett nytt popup meddelande vilket kommer vara själva meddelandet med lösensumman. Popup meddelandet är följande:

Som du kan se från fönstret så kommer du bli ombedd att skriva in en sjusiffrig kod som tydligen skall hjälpa dig bli av med viruset. Det finns även ”File Kill Timer” ovanför kodfältet bredvid bilden på supersvampen. Det konstiga är dock att du inte tillges några instruktioner om hur du utför betalningen. Ingen Bitcoin adress, ingen E-postadress, inget.

smash-ransomware-2

Dessutom så är många av Smash! Ransomware funktioner inte kodade. Det bör sägas om funktionen som heter ”Now don’t kill my files!” knappen som är inaktiv. Funktionen är tom:

private void Button1_Click(object sender, EventArgs e)

{

}

När bearbetningen nått 100% kommer ett annat popup-fönster upp. Detta fönster innehåller en timer som tydligen skall indikera mängden filer som har raderats. Denna popup är följande:

Ingen av dina filer raderas i verkligheten utan är mer en falsk varning. Dock har detta skadeprogram en del skadliga egenskaper. Smash! virus kan blockera särskilda program: Regedit (Windows register-redigerare), Enhetshanteraren och CMD (kommandotolken). Här kommer ett till popup meddelande av viruset om du skulle försöka köra någon av ovan nämnda applikationer. Det popup meddelandet innehåller följande:

Taskmgr not available.

No TaskManager for you.

Regedit not available.

No Registery Editor for you.

Hur blir man av med Smash! Ransomware?

Det är inte speciellt svårt att tackla Smash! Ransomware. Du kan enkelt starta om din dator eftersom viruset inte har någon automatisk startfunktion. Dock behöver de skadliga elementen som finns kvar i datorn tas bort. Verktygen som kan rensa systemet är följande: Reimage, Spyhunter or Stopzilla. Dessa är högklassiga anti-skadeprogram och är av den anledningen de verktyg vi rekommenderar mest. De manuella borttagningsinstruktionerna för en del komponenterna finner du nedan i artikeln.

Hur distributeras Smash! Ransomware?

Smash! Ransomware väg till distrubution är fortfarande oklar. Dock är det högst troligt att skadeprogrammet är en eftereffekt av användandet av skräppost, skadlig reklam eller besöket på äventyrade domäner. Hur vet man vilket mejl som skall öppnas eller inte, eller vilken annons eller hemsida som är skadefri? Inget av detta behöver någon större förklaring. Skräppost måste regelbundet föras till papperskorgen, annonser skall ignoreras och sådana hemsidor som innehåller torrents, pornografi, gratisspel m.m. är bättre att låta vara. Kan du inte motstå frestelsen? Då får du vara beredd på konsekvenserna.



Automatisk Smash! Ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som Smash! Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort Smash! Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Smash! Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Smash! Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Smash! Ransomware.


3. Återställ Smash! Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Smash! Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

Smash! Ransomware skärmdumpar

 
     
 
 
november 18, 2016 08:48, juli 12, 2017 18:02
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *