XData Ransomware - Hur Tar Man Bort?

 

XData ransomware viruset upptäcktes igår den 18:e Maj. XData är ett ransomware som fungerar som en filkodare. Enligt analysen av lasten msdcom.exe, kan detta specifika ransomware distribueras med hjälp av Heur trojanen eftersom många säkerhetsverktyg kan identifiera dess närvaro. Krypteringsprocessen som infektionen använder på digitala filer är specificerad som en AES algoritm. Forskare tycks fått in rapporter från flertalet användade som förklarar att deras filer har modifierats med filändelsen .xdata.

Karaktärsdrag för ransomwaret

I hotmeddelandet instrueras användare att hitta PC nyckelfilen som skall innehålla filändelsen “.key.~data~”. Det skall tydligen finnas någonstans på C: disken, beroende på operativsystem. Individuella offer kommer tas om hand annorlunda då de får unika ID nummer. Det finns tillräckligt med bevis från tidigare infektioner för att anta att lösensumman varierar. Summan kan sättas beroende på antalet krypterade dokument, foton, videor och andra digitala filer.

Kodade data kommer inte längre vara tillgängliga för användaren, och ingen av dom kan startas. Det har blivit ett allt vanligare fenomen för utvecklare av ransomwares att inte utge summan för lösensumman i .txt filer, men att istället få informationen via e-mail istället. Flera e-mailadressen har lämnats i filen HOW_CAN_I_DECRYPT_MY_FILES.txt: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com.

Lasten av XData infektionen har uttryckligen noterats vara msdcom.exe filen. Säkerhetsforskare har indikerat att detta är en oönskad process och om det körs i enheteshanteraren, då bör du inse dess oduglighet. Tidigare har denna potentiellt farliga process inkluderats till operativsystem via W32/SDBOT masken. Nu har det valts att filen skall extrahera ytterligare körbara filer och börja huvudprocessen: filkrypteringen. Det kommer även täcka andra processer som t.ex. ytterligare filer bland Windows registernycklar och anslutning till C&C servers.

Utgivare av ransomwares har en tendens att försvinna efter att deras konton har fyllts med Bitcoins. Detta betyder att du kommer ge bort dina pengar. Eftersom det inte finns ngon tidsgräns för betalningen av lösensumman, då har du all tid i världen att dekryptera dina filer utan rädslan att de permanent skall förstöras.

Hur återhämtar du filerna?

För tillfället finns det ingen originell dekrypterare, men det finns alltid en chans att en kommer att släppas. Istället för att betala lösensumman bör du utforska andra möjligheter. Exempelvis kan du kontrollera om dina Shadow Volume kopior är orörda och att det kan återställas därifrån. Du kan även testa program som används för filåterställning efter att de kodats. Båda dessa alternativ talas det mer om i detalj i paragrafen om distribution.

Om du dock har varit noggrann nog och lagrat dina filer på en backup-enhet, då kan du enkelt ta bort infektionen och sedan återställa datan från lagret. För att bli av med alla spår av dessa skadliga processer, då rekommenderar vi dig att använda Reimage, Spyhunter eller Hitman för upptäckt och eliminering av XData ransomware.

Potentiella metoder för distribution av den skadliga lasten

Skadliga processer kan bli tillgängliga via meddelanden i din inbox. Denna typ av skräppost låtsas ofta komma ifrån respektabla myndigheter. medans de i verkligheten kommer från kapare. Ladda inte ned de bifogade filerna, eftersom de högst troligen kommer starta olika typer av skadliga processer. Ett ransomware kan också dyka upp om du besöker sårbara hemsidor eller klickar på skadliga annonser. Peer-to-peer delning kan också ha en stor roll i distribution av trojaner.



Automatisk XData ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som XData och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.   We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort XData ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan XData infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av XData virus

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till XData ransomware.


3. Återställ XData påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker XData virus radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

XData ransomware skärmdumpar

 
     
 

Om författaren

 
maj 30, 2017 09:37, maj 30, 2017 09:37
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *