CryForMe virus - Hvordan fjernes det?

CryForMe virus

CryForMe ransomware virus er en in-dev infektion, som placeres i kategorien med eksemplarer, der er groft baseret på det såkaldte open source projekt Hidden Tear. Nyttelasten for denne infektion er CryForMe.exe, hvor navnet på virussen altså stammer fra. Man har fundet ud af, at en person med pseudonymet Marco, står bag, men hans rigtige identitet er endnu ukendt. Sikkerhedsanalytikere har i henhold til nogle hints, som de stødte på efter en analyse af dette eksemplar, afgjort, at denne variant umiddelbart kommer fra Italien.

Virussen består også af en funktion, som er meget populær blandt hackerne: en nedtælling, indtil filerne kan dekrypteres. I dette tilfælde har udvikleren besluttet sig for at give folk nøjagtigt 7 dage til at sende betalingen og få mulighed for at gendanne deres data med dekrypteringsnøglen, som de modtager for pengene.

Løsesummen er 250 amerikanske dollars, som imidlertid skal sendes via et bitcoin-betalingssystem. Det er ca. 0.09983 BTC, men du skal endelig ikke kaste dig ud på denne usikre grund. I beskrivelsen om betalingen står der, at ofrene skal oplyse deres kontaktinformation: navn, PC-navn og en e-mailadresse. Men vi er langt fra overbeviste om, at hackerne vil holde deres del af aftalen og sende folk et ordentligt dekrypteringsværktøj.

Denne krypto-virus vedhæfter en original udvidelse, som er beregnet til at adskille de filer, der er påvirket af krypteringsalgoritmen, fra dem, som stadig er funktionelle. Tilføjelsen kaldes .cfm og angiver de eksekverbare, der bliver låst. I øjeblikket skal du ikke tage dig af denne specifikke udvidelse, for malwareprogrammet fungerer ikke helt. Det er stadig under udvikling, og det bliver måske lanceret om et par dage, om nogle uger eller måske aldrig. Det er imidlertid muligt, at en lignende virus formår at ødelægge din computer. Hvis det ikke lige er denne specifikke variant, så er det måske en af de mange andre lignende eksemplarer, der i øjeblikket er aktive.

Vi kan komme med en række forslag, så du nøjagtig ved, hvordan du skal forberede dig selv på et ransomware-angreb. Vi er først og fremmest slet ikke i tvivl om, at det på et eller andet tidspunkt vil komme dig til gode, hvis du opbevarer dine værdifulde data i sikkerhedskopilagre. Ofre for krypto-virusser opbevarer som regel kun kopier af deres data på harddisken. Og når de så bliver krypteret, er brugerne nødt til at vente på sikkerhedseksperternes forsøg på at lave et gratis dekrypteringsprogram. Hvis du har gemt dine filer flere sikre steder, vil du være i stand til at få dem tilbage i tilfælde af en nødsituation.

Inden du gendanner dine data, skal du være opmærksom på, at du omhyggeligt skal fjerne ransomware-infektionen. Og det kan du gøre med et anti-malwareprogram, såsom Reimage, Spyhunter eller Plumbytes.

Infektionen medbringer ikke nogen .txt- eller .html-fil, men viser beskeden om løsesummen i form af den låste skærm. Det betyder, at du ikke vil kunne få adgang til dit operativsystem, og du vil være tvunget til at kigge på den blå skærm, som viser alle de nødvendige oplysninger om infektion. Uanset hvad du gør, så kan vi bestemt ikke råde dig til, at du følger hackernes krav for at få dine filer tilbage. Du vil ikke få dine filer tilbage, hvis du betaler løsesummen – hackerne har ry for ikke at levere funktionelle dekrypteringsnøgler til de ofre, som betaler løsesummen.

Eftersom ransomwareprogrammet ikke helt er udgivet endnu, kan vi kun gætte på hvilken metode, der vil blive brugt til dets distribution. Det kunne f. eks være, at den skadelige nyttelast bliver vedhæftet en e-mail. I nogle tilfælde anbringes et ransomwareprogram i operativsystemet, efter at brugeren har åbnet et skadelige link. Det er også blevet bemærket, at krypto-virusser spredes via sociale netværk. Hvis du skulle blive tagget i et underligt indlæg eller modtager en mærkelig besked fra en af dine venner (eller en ukendt), så skal du være forsigtig med det.

1. Hvordan fjernes CryForMe virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, CryForMe virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af CryForMe virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med CryForMe virus.


3. Gendan filer, der er påvirket af CryForMe virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. CryForMe virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-cryforme-virus

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *