CryptoJoker Ransomware

CryptoJoker Ransomware er bestemt ikke en malware infektion, som man kan ignorere eller tage som en vittighed. Det kan i stedet blive til dit værste mareridt. Selv om det lader til, at denne trojanske hest ikke er vidt udbredt endnu, men den vil bestemt tage en større andel af malware infektions-"kagen" med tiden. Uanset hvor "populær" den er nu for tiden, bør du dog advares om, at dette er en alvorlig og farlig trussel for dit operativsystem og dine personlige filer. Hvis denne malware infektion sniger sig ombord og fuldfører sin mission, må du sandsynligvis sige farvel til alle dine dokumenter, billeder og databaser, som vil blive krypteret så hurtigt som et minut, med mindre du er en sikkerheds-minded computer bruger, som hele tiden fortsætter med at gemme sikkerhedskopier på et eksternt drev. Det er den eneste måde, hvorpå du faktisk kan genoprette dine filer, eftersom endog betaling af løsepengene, som denne trojanske hest forsøger at afpresse dig, måske ikke vil være til nogen nytte for dig. Hvis du ikke fjerner CryptoJoker Ransomware øjeblikkeligt, vil du ikke blot miste dine filer, men du vil eventuelt ikke være i stand til at bruge din computer igen.

Denne trojanske hests installationsprogram er forklædt som en PDF fil. Således distribueres den sandsynligvis i hovedsagen via spam e-mails. For at undgå trojanske hest-infektioner er en af de vigtigste regler aldrig at åbne ukendte e-mails og aldrig at klikke på links og vedhæftelser selv i kendte eller officielt udseende e-mails - medmindre du venter disse - eftersom spam e-mails kan få hvem som helst eller en hvilken som helst institution til at se autentisk ud. Det drejer sig altsammen om bedrag. Når du gennemgår din indbakke, vil du måske endog ikke tænke videre over det, når du ser en e-mail fra for eksempel en velkendt eller din egen internetudbyder. Cyber kriminelle bruger helt klart sofistikeret taktik for at sikre sig, at du klikker på det inkluderede link eller de vedhæftede filer, i dette tilfælde et .pdf dokument. Når du klikker, er der imidlertid ingen vej tilbage. Den trojanske hest bliver droppet på din computer, og den begynder sit beskidte arbejde øjeblikkeligt. Den eneste måde, hvorpå du eventuelt kan forhindre dette i at ske, vil være et pålideligt og opdateret værktøj til til fjernelse af malware, som kører i baggrunden.

Denne trojanske hest-infektion bruger adskillige filer til at fuldføre sit forehavende. Først af alt skaber den eller downloader følgende tekstfiler på dit skrivebord: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt og РАСШИФРОВАТЬ ФАЙЛЫ.txt. Disse indeholder løsepenge-bemærkningsteksten på engelsk og russisk og de udvidelser, der er mål. Den skaber også følgende filer i %Temp% biblioteket: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt og new.bat. Så tilføjer denne malware følgende Registerindtastninger, så drvpci.exe, windefrag.exe og winpnp.exe udførbare filer kan starte automatisk med Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
• windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
• winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Ud over alle disse filer skaber den to filer i %Appdata% biblioteket ved navn baefefbed.exe, som er et tilfældig navn, og README!!!.txt22. Dette er en registernøgle, som denne trojanske hest tilføjer for det udførbare: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Hver af disse filer er vant til at udføre forskellige opgaver, inkl. at sende information til kommando- og kontrolserverne, at kontrollere og afslutte alle Task Manager og Registry Editor processer, og så videre.

Vi har fundet ud af, at CryptoJoker Ransomware fokuserer på følgende dokument-, billed- og databaseudvidelser: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Når denne ransomware begynder krypteringen af dine filer, vil den scanne alle dine tilgængelige drev, inklusiv kortlagte netværksdrev, med fokus på disse udvidelser. Når krypteringen af en fil er udført, vil denne malware tilføje .crjoker-udvidelsen, for eksempel myphoto.jpg.crjoker. Denne trojanske hest-infektion bruger AES-256 systemet til at kryptere dine filer, hvilket er en indbygget Windows kryptering. Derfor vil hele processen højst sandsynligt ikke vare længere end et minut. Så du kan nu se, at det praktisk talt er umuligt at dræbe denne infektion, inden den udfører sit arbejde, med mindre naturligvis, at du besidder ekstraordinære kræfter, og du kan reagere på millisekunder efter at have indset, at du ikke kan få adgang til dine filer, eller at deres udvidelser ændrede sig uden din tilladelse.

Når denne ransomware slutter sit destruktive løb på dine tilgængelige drev, vil den vise et lille vindue på dit skrivebord oven på alle dine aktive vinduer med instruktioner på både engelsk og russisk. Denne infektion sikrer sig også, at du ikke kan køre Task Manager og Registry redaktøren for at beskytte dig. Den vil også køre en bountiful (new.bat), som udfører en fjernelse af skyggevolumen-kopierne fra dine filer, så disse filer ikke kan repareres automatisk. Instruktionerne i ransom meddelelsen informerer dig om, at du skal sende en e-mail til betaling for instruktionerne til en af følgende adresser: file987@sigaint.org, file9876@openmail.cc eller file987@tutanota.com.

Selv om alarmen med løsepengebeskeden hævder, at dine filer er blevet krypteret af RSA-2048 systemet, bliver faktisk kun din personlige kode krypteret med denne metode, den du skal sende i kontakt-e-mailen. Du får 72 timer til at overføre pengene, som disse kriminelle beder om, ellers vil afgiften stige. Du bliver også bedt om at begynde at gøre noget ved infektionen eller dine filer, da det kan føre til "uopretteligt tab af information." Der er selvfølgelig ingen garanti på nogen måde for, at du nogensinde vil få den lovede nøgle og dekoder, det er der aldrig. Her er det, at sikkerhedskopier er til stor hjælp. Hvis du holder dine personlige filer gemt på et eksternt HDD eller et pendrev, kan du til enhver tid kopiere dem tilbage på din maskine. Det er imidlertid vigtigt at sikre sig, at ens system er fuldstændigt sikkert. Vi tilråder derfor, at du sletter CryptoJoker Ransomware så hurtigt som muligt, og derefter kan du begynde at genoprette dine filer.

Hvis du ikke har en sikkerhedskopi, kan du desværre endnu ikke afkryptere dine filer med noget værktøj. Det er muligt, at der i fremtiden vil findes gratis værktøjer til rådighed på nettet, når denne ransomware rammer flere computere, og eksperter finder ud af en måde til afkryptering af filerne. Indtil da er der imidlertid ikke meget, du kan gøre bortset fra at rense dit system for denne farlige invaderende agent.

Den eneste måde at eliminere CryptoJoker Ransomware på, er, at man i Sikkerhedsmodus med Netværk efter at have genstartet sin computer. Så kan du fjerne alle filer og registerindtastninger, som den skabte. Inden du gør dette, skal du imidlertid sikre dig, at de skjulte mapper vises i din File Explorer. Ellers vil du ikke finde %Appdata% biblioteket. Hvis du imidlertid overvejer at betale løsepengene, bør du ikke slette tekstfilerne fra dit skrivebord, fordi de indeholder instruktionerne, din unikke, krypterede kode samt e-mail adresserne, som det forventes, at du anvender. Efter at have afsluttet dette behøver du at genstarte din computer. Følg venligst vore instruktioner nedenfor meget omhyggeligt, for hvis du kommer til at slette de forkerte registertaster, kan du komme til at forvolde mere skade, end du gør godt. Faktisk anbefaler vi i hovedsagen manuel fjernelse for mere erfarne brugere, som forstår, hvad der kan stå på spil her. Vi anbefaler, at du anvender et professionelt værktøj til fjernelse af malware med henblik på sikrere og mere effektiv fjernelse.

Hvordan man genstarter i Sikkerhedsmodus med netværksfunktion

Windows 8, Windows 8.1 og Windows 10

1. Berør Win+I og klik på Strøm ikonet.
2. Mens der trykkes og holdes nede på Shift tasten, så tryk på Genstart.
3. Vælg Troubleshoot og så Avancerede valgmuligheder.
4. Vælg Startindstillinger.
5. Tryk på Genstart.
6. Berør F5 for at genstarte din PC i Sikkerhedsmodus med netværksfunktion.

Windows XP, Windows Vista og Windows 7

1. Genstart din PC og berør F8 tasten.
2. Vælg Sikkerhedsmodus med netværksfunktion fra menuen og tryk på Indtast.

Vis gemte dele i Windows File Explorer

Windows 8, Windows 8.1, Windows 10

1. Tryk på Win+E.
2. Vælg Iagttagelsesmenu og afkryds Skjulte dele-kontrolboksen.

Windows Vista og Windows 7

1. Tryk på Win+E.
2. Tryk på Organiserknappen og vælg mappe og søgemuligheder fra menuen.
3. Vælg Iagttagelsesfanen.
4. Vælg Vis skjulte filer og mapper.
5. Tryk på OK.

Windows XP

1. Tryk på Win+E and og vælg Værktøjsmenuen.
2. Vælg Mappe-valgmuligheder.
3. Klik på Iagttagelsesfanen.
4. Vælg Vis skjulte filer og mapper.
5. Tryk på OK.

Hvordan man fjerner CryptoJoker Ransomware

1. Tryk på Win+E og lokaliser C:\Users\user\AppData\Local\Temp mappen.
2. Find og slet følgende filer: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, og new.bat.
3. Lokaliser C:\Users\user\AppData\Roaming mappen.
4. Find og slet følgende filer: baefefbed.exe og README!!!.txt22.
5. Tryk på Win+R og skriv regedit ind. Tryk på OK.
6. Lokaliser og slet følgende registerindtastninger:
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
   \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
   \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
7. Lokaliser og fjern følgende registerindtastninger:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
   \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
8. Genstart dit operativsystem.