WickedLocker ransomware - Hvordan fjernes det?

Lad os introducere dig til en gæst, som du helt klart ikke ventede. Det er et nyt krypto-ransomware, som truer internetbrugernes sikkerhed ved at kryptere deres filer og forlange penge for dekrypteringen. Det hævder, at filerne vil fungere igen, hvis man betaler 1 bitcoin til udviklerne af WickedLocker virus. Selvom du måske tror, at det er den bedste løsning, kan svindlerne løbe med pengene og efterlade filerne helt ubrugelige. Derfor er det altid bedst at kontakte anerkendte sikkerhedskonsulenter først og få deres mening om sagen. Eftersom ransomware-virusser er gået hen og er blevet en ekstrem populær trend, bliver analytikere mere og mere opmærksomme på deres eksistens og adfærd. Angående WickedLocker virus opfordrer vi dig på det kraftigste til at læse hele artiklen og lære mere om de mulige fjernelses- og dekrypteringsmetoder.

Om WickedLocker Ransomware

Ransomware-virusser trives bedst i email-indbakker. Det er et af de steder, hvor dit system kan være blevet smittet med WickedLocker ransomware. Det er en temmelig lusket ninja, for det meste forklædt som en tilfældig eksekverbar. Virussens nyttelast kan vise sig som f. eks installer.exe, update.exe eller en anden tilsyneladende uvæsentlig del af dine data. Der er en helt speciel årsag til, at WickedLocker virus’ primære fil gemmer sig bag et uskyldigt udseende – for at holde sin eksistens hemmeligt, så det kan udføre sine hensigter uden at blive forstyrret af brugeren. Denne variant vil følge det samme mønster som alle andre ransomwareprogrammer for at nå de nødvendige punkter. En af de første ændringer sigter efter nøglerne i Windows registreringsdatabasen. Når WickedLocker virus kører i hele systemet, er det i stand til at søge efter filer og kryptere dem i det skjulte. Sikkerhedsforskere prøver at fastslå, om der er valgt en AES eller RSA-kryptering, men det er slet ikke så vigtigt at være klar over den nøjagtige kryptering. Efter at ransomwareprogrammet har klaret at kryptere dine filer, vil det tilføje en udvidelse til hver eneste krypteret fil, nemlig .locked. Udover det vil brugerne kunne finde en besked med krav i form af en READ_IT_[number].txt. Du skal ikke lade dig narre til at kontakte de lyssky personer bag denne virus, for det vil ikke føre til noget godt. Man kan skrive til dem på [email protected] vedrørende eventuelle spørgsmål eller andre anliggender. Men du kan godt glemme alt om at tigge svindlerne om at give dig dine filer tilbage, for det vil prelle af på dem.

Hvordan dekrypterer man filer, der er krypteret af WickedLocker Ransomware?

Som vi allerede har været inde på, så vil det være en stor fejl at kontakte svindlerne via e-mailadressen. Men det vil være endnu værre at betale dem for dekrypteringen. Du gør klogest i at fjerne ransomwareprogrammet og vente på et gratis dekrypteringsprogram udviklet af rigtige sikkerhedsforskere. Vi ved, at det kan være rimeligt ubelejligt at skulle vente, især hvis du har brug for dine filer hurtigst muligt. Men trods ubelejligheden, så må du ikke glemme, at hvis du betaler 1 BTC for dekrypteringen, vil det kun gøre svindlerne i stand til at fortsætte deres mission med at skabe ransomware-virusser. Hvis ofrene ikke reagerer på truslerne, så vil de lyssky programmører formodentlig køre trætte efter et stykke tid og holde op med at producere så mange ransomwareprogrammer. Det er også en stor fordel, hvis man kan være immun over for disse infektioner. Og det kan man blive ved at lave kopier af sine filer og gemme dem sikre steder.

Hvordan distribueres WickedLocker Ransomware?

Vi har allerede givet dig et lille hint om, hvordan denne variant distribueres. Svindlerne komponerer ofte breve, der virker som en hastesag eller kræver din udelte opmærksomhed. Hvis du modtager en mærkelig meddelelse fra et flyselskab eller en besked om en regning, skal du tjekke, om e-mailens kilde er anerkendt. Svindlere konstruerer e-mailadresser, der ligner de originale, men man kan hurtigt spotte forskellen. Du skal slette den slags post og ALDRIG downloade deres vedhæftninger. Det vil nemlig helt sikkert vise sig at være endnu et svindelnummer, der vil forsøge at frarøve dig dine penge. Hvis forebyggelse ikke lige er dét, der ligger dig på sinde, så går vi videre til fjernelsen og dekrypteringen. Du kan køre en fuld systemscanning med Reimage, Spyhunter eller Malwarebytes og få fjernet WickedLocker virus fra din synsvinkel. Opbevar de krypterede data på et sikkert sted, indtil sikkerhedsforskerne har fået lavet et pålideligt værktøj.

1. Hvordan fjernes WickedLocker ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, WickedLocker ransomware trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af WickedLocker ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med WickedLocker ransomware.

3. Gendan filer, der er påvirket af WickedLocker ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. WickedLocker ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.