CrY-TrOwX Ransomware - Hur Tar Man Bort?

-
 0
Type: Ransomwares
 

CrY-TrOwX ransomware virus är en variant som baseras på det välanvända Hidden Tear:s öppna källkod. Av den anledningen kategoriseras den bland Hidden Tear baserade krypteringsinfektioner lik Katafrack och WanaDie. CrY-TrOwX kan enklare kortas ned till CrY tack vare lasten vid namn CrY.exe. Det är inte svårt att upptäcka den eftersom många säkerhetsverktyg redan är uppdaterade för att upptäcka den här varianten. De följande namnen hänvisar alla till det här hotet: Gen:Heur.Ransom.HiddenTears.1, FileRepMetagen [Malware], Win32.Trojan.WisdomEyes.16070401.9500.9905 och ett par fler. Näst intill alla antivirus program ser det som skadligt idag.

Krypteringsviruset CrY-TrOwX baseras på ett Hidden Tear projekt och lägger till filändelsen .locked

Även om vi inte skulle gå djupare i vår analys om krypteringsprogrammet CrY-TrOwX så kan vi fastställa att det inte är ett sofistikerat ransomware. En av anledningarna till detta är att det baseras på Hidden Tear. En annan antydan till låg kvalitet är att kaparna tycks ha lämnat deras s.k. ”Simple Mail Transfer Protocol” (SMTP) helt öppet. Säkerhetsforskare kan inte tro sina ögon när de såg att skurkarna lämnat sin offentliga e-postadress i koden, vilket är ytterst slarvigt. Försöker amatörer pressa människor på pengar? I sådana fall har de misslyckats.


CrY-TrOwX virus

Utgivaren av krypteringsviruset CrY-TrOwX verkar endast vara en person vid användarnamnet ”ismail”. Filändelsen som den kodade datan får är .locked. Detta egenskap är också vanlig då en lång rad andra ransomware-hot har använt sig av samma filändelse: Cyber Police Locker, jCandy och RedBoot.

Hotbrevet av detta ransomware är READ_AND_CRY.txt. Texten är väldigt kortfattad och offren får väldigt lite information om summan för dekrypteringen. De uppmuntras att kontakta kaparna via e-postadressen kaya.kyasor99@yandex.com. Om du skickar ett meddelande till dom kommer skurkarna troligtvis informera dig om lösensumman och Bitcoin-kontot de använder sig av (Bitcoins strategic place in ransomware). Vad du än gör, betala inte lösensumman. Detta kommer endast visa kaparna att de kan fortsätta utpressningen och kräva pengar från oskyldiga offer.

Möjliga tekniker för att dekryptera filerna som markerats med filändelsen .locked

Om det operativsystem har äventyrats av krypteringsviruset CrY-TrOwX, då föreslår vi dig att du inte får panik. Har du andra källor för dina filer som förlorats av krypteringen? Har du lagrat dessa på en USB-enhet eller online innan allting skedde? Om ja, då kan du enkelt ta bort infektionen och återställa dina filer direkt. Om alterantivet inte skulle vara möjligt för dig, då blir situationen aningen mer komplicerad.

Det finns inget officiell dekrypteringsverktyg för detta ransomware än. Däremot kan du testa ett universalt verktyg för filåterställning som vi rekommenderar i slutet av den här artikeln. Du bör också kontrollera om kaparna tog bort dina Shadow Volume kopior, annars finns det möjlighet att återställa filerna utan vidare krångel. I framtiden bör du backa upp din digitala data. Medan antalet ransomware virus växer så har vi noterat att detta är ytterst viktigt för din säkerhet.

Förebyggande mot ransomware virus lik CrY-TrOwX

Krypteringsviruset CrY-TrOwX kan distribueras via vilseledande e-post. Om du ser att du blivit kontaktad av en okänd källa, vänligen ladda då inte ned dess bifogade innehåll. Om du gör det kan skadlig programvara enkelt ta sig in i ditt operativsystem och orsaka allvarlig skada. Dessutom är det viktigt att hålla sig borta från okända hemsidor och agera på popup-meddelanden online. Annars kan än mer skadlig programvara störa din enhet.

För att hålla operativsystemet virusfritt, då rekommenderar vi dig ett anti-skadeprogram som kan skydda dig i alla lägen. Reimage är ett pålitligt program som definitivt kommer att skydda din enhet från olika skador. Installera det, utför regelbundna genomsökningar och uppskatta säkert surfande. Det kommer inte heller visa någon nåd mot de parasiter som lyckats ta sig in i ditt system.

Hur du tar bort CrY-TrOwX ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan CrY-TrOwX ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av CrY-TrOwX ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till CrY-TrOwX ransomware.


3. Återställ CrY-TrOwX ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker CrY-TrOwX ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

     
 

Om författaren

 
januari 1, 2018 15:19, januari 1, 2018 15:19
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *