Ghost ransomware - Hvordan fjernes det?

Ghost ransomware kan umiddelbart lyde som en trussel, som vil gøre sit bedste for at gemme sig for computerbrugeren og forblive usynlig, mens den stadig forårsager skade, hvilket er typisk for ghosts. Men det forholder sig dog slet ikke sådan, for den Ghost, vi taler om, er en kryptovirus. I malware-verdenen er den slags ransomware-infektioner uadskillelige med Scareware egenskaberne, hvilket betyder, at de anvender forskellige meget visuelle metoder til at få computerbrugerne til at betale løsesummen, hvilket er den primære grund til, at udviklerne har lavet det.

Selvom statistikken har vist, at med stigningen i kryptovaluta, er miners langsomt begyndt at erstatte de gode gamle ransomware, såsom Ghost virus, fordi svindlerne således kan tjene penge på en mere sikker måde, så bliver flere krypto-krævende varianter ved med at dukke op og forårsage problemer for de godtroende brugere. Selvom Ghost ransomware umiddelbart ser ud til at være lavet af malware-amatører frem for professionelle, hvis man dømmer ud fra visse funktioner, kan det stadig låse dine dyrebare digitale minder og gøre dem utilgængelige, også selvom du fjerner virussen.

Læs videre i denne artikel, hvis du gerne vil finde ud af, hvilke metoder 2-viruses.com teamet mener er de mest effektive og brugbare til at finde og fjerne Ghost kryptovirus samt gendanne de krypterede filer, og få samtidig vigtige oplysninger om ransomware-programmet, hvilke vil være nyttige vedrørende beskyttelse fremover.


ghost ransomware ransom note

Hvordan fungerer Ghost virus

For at gøre en lang historie kort, så er Ghost ransomware den type malware, der sniger sig ind i computeren, som regel via inficerede vedhæftninger i e-mails, hvorefter det krypterer alle data, undtagen de vigtige systemfiler, hvorpå det anmoder den kompromitterede computerbruger om at købe dekrypteringsnøglen. Alle kryptovirusinfektioner opfører sig på samme måde og kun få funktioner er forskellige, såsom krypteringsalgoritmerne, de tilføjede navneudvidelser, løsesumbeskeden og beløbet på løsesummen.

Ghost kryptovirus bruger specifikt AES-kryptering til at låse personlige filer, såsom billeder, videoer, musik og dokumenter, hvilke den finder ud fra deres specifikke udvidelse (f. eks .docx, .jpg, .mp3 osv.), hvorpå den markerer dem alle med vedhæftningen .Ghost i slutningen af deres navn og smider en løsesumbesked i GUI-format, som fortæller:

All your files have been encrypted

All your files have been encrypted. I have not deleted them yet.

To desencrypt 0.08116 bitcoin to the following address:

https://blockchain.info/payment_request?address = 1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj & amount_local = 500 & currency = USD & nosavecurrency = true & message = Pay% 20me!

Them, send a mail to [email protected] with your CODE ID.

I’m sorry for the inconvenience caused.

Grunden til, at Ghost virus kun låser personlige filer, skyldes, at de er mere dyrebare for brugeren, hvormed vedkommende bliver mere stresset og vil gøre næsten alt for at få dem tilbage. Og endvidere kan brugeren stadig bruge den samme computer til at kontakte hackerne og sende de anmodede anonyme kryptovaluta. Hvad angår udvidelsen, er det bare for at blære sig med, at de kan kompromittere systemet og skræmme brugerne endnu mere. Men det er Aldrig en god ide at betale penge til hackere.

Ghost ransomware blev første gang nævnt på Twitter af @malwrhunterteam i midten af november 2018, og derefter blev det også undersøgt grundigt af andre malware-eksperter. IT-sikkerhedseksperterne bemærkede, at mens løsesumbeskeden forlanger 0.08116 BTC, så kræver betalingslinket til Blockchain et andet beløb, nemlig 0.10692946 BTC, og det er ikke den eneste fejl. Man har også bemærket, at Ghost ransomware-koden indeholder flere spanske strenge og bruger Gmail som kontaktadresse (hvilket ikke giver meget anonymitet). Disse få tegn kombineret med den mest enkle, dog hurtigste AES-algoritme, afslører, at udviklerne bag Ghost virus sandsynligvis er nye i malware-verdenen. Du kan finde mere tekniske oplysninger på VirusTotal.com.

Disse kendetegn betyder en hel del for ransomware-analytikere, som forsøger at løse problemet Ghost ransomware, men de er fuldstændig irrelevante for brugerne, som er virkelig bekymrede for deres filer, hvilke til trods for svindlernes fejltagelser stadig er utilgængelige. Heldigvis kan denne berygtede virus fjernes med mulighed for at få pågældende data tilbage. Mens det Officielle dekrypteringsprogram stadig er under udvikling, kan du læse videre for at finde andre muligheder og metoder, du kan bruge efter invasionen af Ghost ransomware.

Hvordan distribueres Ghost ransomware

Ghost virus distribueres med malspan på samme måde som Lolita, Delphimorix og Neverdies. Hackerne skal blot sammensætte en overbevisende Social engineering e-mail med en .pdf eller .doc-vedhæftning, som indeholder virussen, og derefter sende den til store e-mail databaser, hvilke man kan købe på DarkNet. Grunden til, at så mange folk falder for disse falske e-mails, skyldes, at de er designet til at ligne legitime meddelelser fra det offentlige, klienter, ansatte, bank, advokater, venner osv. De er som regel meget korte og interessante, og anmoder altid på den ene eller anden måde om, at man åbner vedhæftningen.

Når computerbrugeren åbner filen, aktiveres makroer, da det er nødvendigt, for at man kan se indholdet af dokumentet, og Ghost ransomware går i gang med at køre baggrundsprocesser, hvormed den hurtigt krypterer alle målrettede filer. Makroer er den mest populære vektor for distribution af ransomware, fordi det er et lille, legitimt program, som ikke bliver registreret af antivirus, indtil det er aktiveret. Derfor er det altafgørende, at du ved, hvordan du Genkender phishing-kampagner, så du kan beskytte din computer og ikke miste dyrebare filer.

Sådan sletter du Ghost virus og gendanner de krypterede filer

Der er to vigtige ting, du er nødt til at gøre, hvis du gerne vil få dit system og dine data tilbage til normalt. Først skal du fjerne Ghost ransomware, og derefter skal du gendanne filerne. I dette tilfælde er det som regel ikke det sværeste at fjerne truslen, det er faktisk ret nemt, hvis du ved, hvad du gør. Problemet er, at selvom din pc slipper af med Ghost virus, så bliver de krypterede filer ved med at være låste.

Hvis du har en sikkerhedskopi og konstant laver gendannelsespunkter i din Windows, så er du heldig, for det er nok til, at du kan anvende vores vejledning forneden og få systemet tilbage til et tidspunkt før invasionen af Ghost ransomware, og du vil få alle de nødvendige filer tilbage uden nogen problemer. Men hvis du ikke har en sikkerhedskopi, eller du har en, der går så langt tilbage, at de dine krypterede filer slet ikke befandt sig på din pc, så er du nødt til at ty til et specielt værktøj såsom anti-malwareprogrammet Spyhunter eller Reimage, der kan finde og fjerne ransomwareprogrammet. Og derefter kan du prøve at gendanne filerne med enten et gendannelsessoftware eller Shadow kopier, der er nævnt forneden.

Automatiske fjernelsesværktøjer til Malware

Hent Spyhunter, der kan spore Malware afsløring
(Win)

Bemærk: Denne Spyhunter-prøveversion tilbyder gratis at finde parasitter, såsom Ghost Ransomware, samt hjælpe med deres fjernelse. begrænset prøveversion tilgængelig, Terms of use, Privacy Policy, Uninstall Instructions,


1. Hvordan fjernes Ghost ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Ghost ransomware trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Ghost ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Ghost ransomware.


3. Gendan filer, der er påvirket af Ghost ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Ghost ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-ghost-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *