Kristina ransomware virus - Hvordan fjernes det?

Kristina-infektionen kategoriseres som et ransomware af flere åbenlyse årsager – det inficerer computerne og krypterer filerne, der er gemt på harddisken. Derefter bliver computerbrugeren underrettet om situation og bedt om at betale løsesummen, så vedkommende kan modtage den unikke nøgle, med hvilken de låste filer kan dekrypteres.

Det interessante ved denne særlige ransomware-infektion er, at den ikke automatisk kan kryptere alle dine filer. Det er en eller anden form for toolkit, der bruges til at inficere computeren, hvor hackerne derefter manuelt og på afstand udvælger de ønskede drev og filer på computeren. Dette malware er nok ikke færdiglavet endnu, eller måske er funktionen lavet med vilje af en eller anden årsag. Uanset hvad er det virkelig farligt og kan give dig alle mulige problemer.


Kristina Ransomware virus remove

Kristine virus vil låse dine personlige filer

Som vi allerede har nævnt, er denne infektion ikke automatiseret, så de it-kriminelle bag den er nødt til at udføre alle processer manuelt. Først og fremmest skal en skadelig .zip-fil infiltreres i din computer. Vi har testet KristinaCS.exe ransomware-filen (den primære fil i .zip-mappen) med scanneren VirusTotal, og 36 ud af 68 antivirusprogrammer sporede den som en trojansk virus. Det betyder, at den allerede er inkluderet i virusdatabasen.

Denne fil kan infiltreres i din computer på flere forskellige måder. For det meste følger ransomware som dette med som en vedhæftning i en e-mail. It-kriminelle sætter blot en kampagne med spam e-mails i gang i håb om, at nogle brugere vil åbne vedhæftningen.

Når filen er inde i computeren, er hackerne i stand til på afstand at udføre den og begynde krypteringsprocessen. Interessant nok, så kan de vælge, hvilket harddisk-image, de gerne vil kryptere. Så Kristina ransomware kan muligvis bare kryptere én af dine diske eller dem alle på én gang.

Når krypteringsprocessen er overstået, krypteres alle filer, der er gemt i den bestemte mappe, og hver af filerne vil få vedhæftet [id][email protected]. Og derefter vil du ikke kunne åbne nogen af de filer – de er krypteret.

Umiddelbart derefter vil du kunne se en ny fil på skrivebordet. Det er en såkaldt løsesumsbesked. Den indeholder som regel detaljerede oplysninger om din nuværende situation og hvad du skal gøre følgende (betale løsesummen). Men i dette tilfælde vil du kun få et par få sætninger og en ufuldstændig vejledning. Beskedens originale tekst:

Your files Have Been Crypted email to: [email protected] for instructions

Du bliver bedt om at kontakte den pågældende e-mail, så du kan modtage yderligere vejledning. Det kan vi ikke råde dig til at gøre, for du vil kun blive bedt om at betale en vis portion penge (nok omkring 500 dollars), for at du kan modtage den unikke nøgle, hvormed du kan låse de krypterede filer op.

Som du kan se, så er alle filerne låst med et unikt id, og derfor har du brug for en unik nøgle for at låse dem op. Men selvom du betaler løsesummen, er der ingen garanti for, at du får nøglen og dine filer bliver låst op – du skal aldrig stole på og støtte it-kriminelle.

Infektionen blev oprindeligt opdaget af malwareforskeren S!Ri og offentliggjort på Twitter i går, så infektionen er altså ret ny. Desværre har man i øjeblikket ikke mulighed for at dekryptere de filer, der krypteres af Kristina ransomware. Endvidere ved vi heller ikke, hvilken kryptografi denne infektion bruger.

Hvis du har en sikkerhedskopi af din harddisk, som er lavet inden infektionen, kan du gendanne dine filer derfra ved hjælp af denne vejledning. Og selvom dine filer skulle være gået tabt for evigt, skal du stadig sørge for at fjerne den egentlige infektion fra din computer. Det kan du nemt gøre med et anti-malwareprogram, såsom Reimage eller SpyHunter. Et af disse programmer kan uden problemer finde og fjerne Kristina virus.

1. Hvordan fjernes Kristina ransomware virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Kristina ransomware virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Kristina ransomware virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Kristina ransomware virus.


3. Gendan filer, der er påvirket af Kristina ransomware virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Kristina ransomware virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Manuel Kristina ransomware virus fjernelse

Kilde: https://www.2-viruses.com/remove-kristina-ransomware-virus

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *