ODIN ransomware - Hvordan fjernes det?

ODIN ransomware

ODIN ransomware er en anden variant af Locky ransomware, som i månedsvis har inficeret computersystemerne. Den sidstnævnte virus havde stor succes og har inficeret computerne siden februar 2016. Tilsyneladende har de it-kriminelle ikke lyst til at stoppe dér, så de har derfor udgivet en ny version af den.

Navnet på det nye ransomwareprogram stammer fra .odin-udvidelsen, som den navngiver de ødelagte filer med. Selvom fjernelsen af ODIN ikke er så kompliceret, kan dekrypteringen af filerne være noget af en udfordring. Hvis du gerne vil gendanne dine filer, er du først nødt til at fjerne ODIN ransomwareprogrammet.

Om ODIN Ransomware

ODIN Ransomware anvender den almindelige RSA-2048 og AES-128 krypteringsalgoritme for at låse de personlige filer. Det er meget svært at låse filer op, som er krypteret på den måde. Og for at gøre det hele meget værre sigter ODIN ransomware efter en bred vifte af udvidelser, som den kan kryptere. Når programmet har fundet filerne og låst dem, forbereder det tre filer, som giver ofrene besked om den situation, de nu befinder sig i. Filerne kaldes for: _[2_digit_number]_HOWDO_text.html, _HOWDO_text.bmp, og _HOWDO_text.html.

Meddelelserne fortæller i bund og grund, at hvis du gerne vil låse dine filer op, er du nødt til at få fat i den private nøgle, som naturligvis ikke er gratis. Ligesom Locky virus og andre versioner af dette irriterende program, anmoder ODIN ransomware brugerne om at downloade og installere Tor-browseren, for at de kan sende pengene. Du skal ikke så meget som overveje at gøre det, for du vil blot miste dine penge, og problemet på din computer vil højst sandsynligt fortsætte. Du skal i stedet fjerne ODIN Ransomware ved hjælp af Reimage, Spyhunter eller et andet anti-malwareprogram. Derefter kan du følge vejledningen i slutningen af denne artikel og således forsøge at få dine data tilbage.

Således distribueres ODIN Ransomware

Ligesom dens forgængere får ODIN ransomware adgang til computersystemet via spam-beskeder. Uanset hvor meget computerbrugerne bliver advaret om aldrig at åbne vedhæftninger i deres spam e-mails, så virker den teknik stadig. Nogle brugere har fortalt, at de har modtaget en inficeret kvitteringsfil, som kaldes for “Receipt [random numbers]”. Lige så snart du klikker på filen, åbner du døren for infektionen, som tager kontrol over dit system.

Så som du kan se, kan du rent faktisk nemt undgå ODIN og andre ransomwareprogrammer fra denne familie. Du er blot nødt til at være meget forsigtig med de vedhæftninger, som du åbner i din e-mail. Man kan aldrig lære nok om, hvordan computerinfektioner spredes og hvordan man undgår dem. Du skal være mere påpasselig, når du er online, for du kan aldrig vide hvilken infektion, der ligger og venter på at trænge ind i dit system.

Sådan dekrypterer man filer, der er låst af ODIN Ransomware

Inden du forsøger at dekryptere filerne, skal du først fjerne ODIN Ransomware. Vi råder dig kraftigt til at gøre det automatisk ved hjælp af et anti-malwareprogram, såsom Reimage, Spyhunter eller Malwarebytes. Derefter kan du følge punkterne forneden for at låse filerne op.

OPDATERING oktober 2016: ODIN Ransomware har været ret så aktiv i slutningen af september måned. Den sigter hovedsageligt efter Europa, men Asien, Afrika og Nordamerika har også været ude for nogle angreb. Honolulus brandvæsen har fortalt, at omkring 20 computere blev hacket, efter at en af deres ansatte åbnede en e-mail med ODIN Ransomware infektionen. Heldigvis spredte infektionen sig ikke til beredskabet, så brandvæsenet var stadig i stand til at arbejde. IT-afdelingen havde imidlertid et stort mas med at fjerne ODIN Ransomware fra netværket. Det tog dem hele dagen at låse ODIN-filerne op, som fuldstændig havde paralyseret de interne, administrative opgaver og kommunikation. Filerne blev gendannet fra en sikkerhedskopi, som kun viser, hvor vigtigt det er at sikkerhedskopiere regelmæssigt.

De seneste angreb har vist, at ODIN Ransomware ikke længere bruger WSF eller JS-filer til at downloade den virus-eksekverbare. I stedet for den anvender de nu en DLL-fil til at sprede ODIN scriptet. Denne lille ændring er endt med at blive til stor besvær for sikkerhedseksperterne.

1. Hvordan fjernes ODIN ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, ODIN ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af ODIN ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med ODIN ransomware.


3. Gendan filer, der er påvirket af ODIN ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. ODIN ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-odin-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *