InfiniteTear ransomware virus - Hvordan fjernes det?

Man har fundet ud af, at InfiniteTear (også kaldet The_Last og InfinityShadow) ransomware virus følger en streng plan, der går ud på at kryptere filer med AES-kryptonøgle og derefter bruge RSA-kryptering til at kryptere dekrypteringsnøglen. Random6 og Diablo6 har valgt lignende taktik, hvor der anvendes to krypteringsmetoder for at gøre deres produkt mere uovervindeligt.

Infektionen tager sin start med filen The_Last.exe, som fungerer som infektionens nyttelast. Man har fundet adskillige eksemplarer, og sværhedsgraden svingede mellem følgende: Trojan.Win32.Ceatrg, Trojan.Ransom.InfiniteTear (A), Trojan-Ransom.Win32.Gen.fdm (1).

Detaljer vedrørende denne InfiniteTear kryptovirus’ adfærd

Det kommer som en overraskelse for sikkerhedseksperterne, at infektionen bruger Telegram som C2-server. InfiniteTear ransomware (2) vedhæfter identiske udvidelser til de krypterede digitale data: .JezRoz. Ofrene vil formodentlig også kunne se en Important_Read_me.txt fil, som indeholder det meste af de nødvendige oplysninger.

Meddelelsen forklarer, at alle personlige oplysninger er blevet ødelagt, og man kan ikke få adgang til dem, medmindre man betaler den løsesum, de forlanger. Transaktionen skal foretages indenfor 7 dage. Ellers vil filerne være tabt for evigt, eftersom dekrypteringsnøglen bliver slettet. Det nye Spongebob ransomware har også angivet, at hvis brugerne ikke betaler løsesummen inden for en uge, vil de derefter ikke have mulighed for at gøre det.

Hackere lover, at de vil dekryptere 2 filer, og vi fandt ingen begrænsninger angående valget af de filer, der kunne gendannes. For at få et par krypterede filer tilbage er man nødt til at kontakte e-mailadressen [email protected]. Men det er imidlertid kun muligt at få alle data tilbage, hvis man betaler 260 dollars. De forlanger naturligvis, at man sender løsesummen via bitcoinsystemet, og beløbet svarer i øjeblikket til 0.06009 BTC. Sikkerhedseksperterne advarer: ofrene for krypto-virusser skal aldrig betale beløbene (3).

Filgendannelse, fjernelse og andre relevante oplysninger om denne kryptovirus

Der er i øjeblikket ingen kur mod InfiniteTear ransomware: filkrypteringen er lavet så godt, at sikkerhedseksperterne ikke kan knække den i løbet af nogle dage. En sådan proces tager tid, og hvis det lykkes for forskerne at frembringe et funktionelt software, der kan dekryptere de eksekverbare filer, skal vi nok fortælle dig det. Så indtil videre er der andre muligheder, du kan benytte dig af. Tag et kig nedenfor for at finde ud af, om shadow Volume Kopierne stadig fungerer. Endvidere kan universelle filgendannelsesprogrammer ind imellem også hjælpe.

Vi kan naturligvis ikke understrege nok, hvor vigtigt det er at sikkerhedskopiere sine filer i sikkerhedskopilagre. Hvis du kommer ud for en ransomware-infektion, findes der en meget hurtig og nem måde at klare det på. Du skal blot køre en scanning med et anti-malwareprogram og fjerne virussen. Når operativsystemet først er fri for malware, kan du derefter importere dine digitale data. Hvis du endnu ikke har benyttet dig af online opbevaringssteder, håber vi, at du nu vil overveje at gøre det.

Overvej Reimage til fjernelsen af krypto-virussen InfiniteTear. Det skulle kunne hjælpe dig med at finde alle de skadelige trusler i dit operativsystem, som det er nødvendigt at få renset.

Det er i øjeblikket ikke helt klart hvilken distributionsmetode, der er valgt til dette eksemplar. Ikke desto mindre tror vi, at ransomware-infektioner stort set altid vælger skadelige spam-kampagner. Svage remote desktop protokoller (RDP) kunne også være en af grundene til, at malware trænger ind i systemet. Der kan også bruges exploit kits med henblik på at finde sikkerhedsproblemer i visse enheder.

Sidst men ikke mindst skal du endelig huske på, at det er en fordel for hackere, når du besøger ukendte domæner. Såkaldte drive-by installationer kan automatisk placere nyttelaster i din enhed, og du vil ikke have nogen anelse om, at en skadelige kilde er ude efter dine digitale filer, penge og sikkerhed.

1. Hvordan fjernes InfiniteTear ransomware virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, InfinityShadow trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af The_Last

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med InfiniteTear ransomware virus.

3. Gendan filer, der er påvirket af InfinityShadow, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. The_Last prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Henvisninger:

1. Analyse. Virustotal.com.
2. Hvad er ransomware? Avast.com.
3. Ransomware: lad vær’ med at betale løsesummen! Safecomputing.umich.edu.