Shark Ransomware - Hur Tar Man Bort?

 

Shark Ransomware är ett nyupptäckt cyber-hot som faller in under kategorin Raas (Ransomware som en tjänst), som ansluter sig till krypteringsprogrammen Stampado och Payms ransomwares. Detta ransomware har upptäckts av IT-forskaren David Montegro under Juli 2016. Ransomware som tillhör kategorin RaaS är speciellt farliga eftersom de kan användas av vem som helst som köper dom, även de utan kunskap av utvecklingen av koderna i sådana skadliga program. Av den anledningen ökar spridningen av sådana skadliga hot till massvis av IT-kriminella, även till användare som är offer.

Om Shark Ransomware

Förvånadsvärt nog så Shark Ransomware värd på en allmänt tillgänglig WordPress hemsida tillsammans med andra RaaS program, vilka är vanligen värd på anoyma TOR-nätverk. Hemsidan innehåller en ”Ladda Ned” knapp av en Zip-fil som heter PayLoadBundle.Zip som är packeterad med lasten av ransomwaret. Zip-filen innehåller byggaren . Payloadbuilder.exe, ransom-meddelandet – Readme.txt, körbara filen – Shark.exe. Hela bucketen skapar det troligen farligaste IT-hotet – ett ransomware.

Efter köpet av Shark kodaren så får köparen av viruset kravet att betala 20% av lösensumman till utvecklarna. När det väl finns i deras fickor kommer den nykomna IT-skurken av detta ransomware kunna bygga sitt eget ransomware. Inställningarna kan skräddarsys, vilket inkluderar filtyper och mappar, länder det skall rikta in sig på, storleken av lösensumman för varje land, e-postadressena som används för meddelanden om installationen av viruset och även språken som noteringen om lösensumman skall visas på (30 språk finns tillgängliga).

Shark Ransomware är utvecklat för att placera ut filändelsen ”.locked” till filerna som krypterats. Namnen av de skadade filerna lagras i ”files.ini” filen som i sin tur placeras i %UserProfie% (%UserProfile%AppDataRoamingSettingsfiles.ini). En körbar fil vid namn ”decryptor” kommer placeras i samma mapp (%UserProfile%AppDataRoamingSettings). När processen för krypteringen är slutförd så kommer dekrypteraren notera användaren att ”Data on this device were locked” och användaren kommer få ett meddelande gällande lösensumman.

Hur sprider sig Shark Ransomware?

Krypteringsviruset Shark kan spridas via använda spår av andra Ransomware Trojaner. Offret kan få misstänksamma skräppost meddelanden som maskerats som officiella brev från institut som Tullen, Laga enheter eller andra okända myndigheter. Dessa skäppost meddelanden innehåller typiskt infekterade länkar eller andra körbara filer inuti, lasten med ransomwaret kan installeras på datorns system och det skadliga programmet kan starta igång.

Hur dekrypterar man filer som krypterats av Shark Ransomware?

Krypteringsprogrammet Shark är under analys just vid detta ögonblick. Tyvärr så har gruppen av IT-säkerhetsspecialister inte funnit några andra lösningar för offren som påverkats av detta hemska IT-hot än. Som läget är så kan användare använda en systemåterställning eller Shadow Volume kopior. Det finns också ett sätt att återfå data via återställningsprogram som t.ex. Kaspersky Lab, R-Studio, PhotoRec eller Recuva. Dock behöver användare som första alternativ efter infektionen av Shark avbilda hårddisken och framförallt ta bort skadeprogrammet. För det senare rekommenderas ett automatiskt anti-skadeprogram som t.ex. Reimage eller Spyhunter för att effektivt och permanent eliminera viruset. Dessa säkerhetsverktyg kommer att skydda din dator i framtiden med. De manuella borttagningsinstruktionerna för Shark Ransomware finns tillhandahållet här nedan.



Automatisk Shark Ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som Shark Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.  We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort Shark Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Shark Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Shark Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Shark Ransomware.


3. Återställ Shark Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Shark Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om författaren

 
oktober 17, 2016 15:40, oktober 17, 2016 15:40
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *