1 of 3
Farenivå 9
Type: Trojans
Vanlige infeksjoner symptomer:
  • Installerer seg uten tillatelse
  • Systemkrasj

CryptoJoker Ransomware

CryptoJoker Ransomware er definitivt ikke en skadeprograminfeksjon du kan ignorere eller behandle som en spøk. Faktisk kan den vise seg å bli ditt verste mareritt. Denne trojaneren ser ikke ut til å være så vidt distribuert ennå, men den kommer helt sikkert til å utgjøre en større del av skadeprograminfeksjons-"kaken" med tiden. Du er herved advart: Dette er en alvorlig og farlig trussel mot operativsystemet ditt og dine personlige filer. Hvis dette skadeprogrammet sniker seg ombord og oppnår målet sitt, vil du sannsynligvis måtte vinke farvel til alle dokumentene, bildene og databasene dine. De vil bli kryptert på et øyeblikk – med mindre du er en sikkerhetsbevisst databruker som lagrer sikkerhetskopier på en ekstern stasjon. Det er den eneste måten du kan gjenopprette filene dine på, for det er ikke sikkert at det hjelper å betale løsepengene denne trojaneren prøver å presse ut av deg. Hvis du ikke fjerner CryptoJoker Ransomware straks, mister du ikke bare filene dine, men det kan også hende at datamaskinen blir ubrukelig.

Trojanerens installasjonsprogram er forkledd som en PDF-fil. Det er derfor sannsynlig at det hovedsakelig distribueres via søppelpost. En av de viktigste reglene for å unngå trojanske infeksjoner er å aldri åpne ukjente e-poster og aldri klikke på koblinger og vedlegg, selv i e-poster som ser kjente eller offisielle ut – med mindre du venter dem. Søppelpost kan nemlig gi seg ut for å være fra hvem som helst og se autentisk ut. Ikke alt er hva det gir seg ut for. Når du går gjennom innboksen din, er det ikke sikkert at du tenker over det når du ser en e-post fra f.eks. en velkjent eller din egen Internett-leverandør. Datakriminelle bruker selvsagt sofistikerte taktikker for å sikre seg at du klikker på koblingen eller vedlegget som følger med, i dette tilfellet et .pdf-dokument. Så snart du klikker, er det ingen vei tilbake: Trojaneren blir plantet på datamaskinen din og setter i gang med sine lyssky aktiviteter. Det eneste som kan hindre dette i å skje, er et pålitelig og oppdatert verktøy som kjører i bakgrunnen og fjerner skadeprogrammer.

Denne trojanske infeksjonen bruker flere filer for å gjennomføre oppgaven sin. For det første skaper den eller laster ned følgende tekstfiler til skrivebordet ditt: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt og РАСШИФРОВАТЬ ФАЙЛЫ.txt. Disse inneholder hovedsakelig teksten om løsepenger på engelsk og russisk, og filtypene som rammes. Den oppretter også følgende filer i %Temp%-katalogen: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt og new.bat. Deretter legger skadeprogrammet til følgende registeroppføringer slik at de kjørbare filene drvpci.exe, windefrag.exe og winpnp.exe automatisk kan starte opp sammen med Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

I tillegg til alle disse filene oppretter den også to filer i %Appdata% directory kalt baefefbed.exe, som er et tilfeldig navn, og README!!!.txt22. Dette er registernøkkelen trojaneren legger til for den kjørbare filen: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Hver av disse filene brukes til å utføre diverse oppgaver, inkludert å sende informasjon til Kommandoer og kontroller-serveren, sjekke og avslutte alle aktive prosesser i Oppgavebehandlingen og Registerredigeringen, og så videre.

Vi har funnet ut at CryptoJoker Ransomware retter seg inn mot følgende dokument-, bilde- og databasefiltyper: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Når ransomware-programmet starter krypteringen av filene dine, skanner det alle tilgjengelige stasjoner, inkludert tilordnede nettverksstasjoner, for å rette seg inn mot disse filtypene. Når krypteringen av en fil er fullført, legger skadeprogrammet til utvidelsen .crjoker, for eksempel mittbilde.jpg.crjoker. Denne trojanske infeksjonen bruker AES-256-systemet til å kryptere filene dine, som er en innebygd Windows-kryptering. Hele prosessen vil derfor ikke ta mer enn ett minutt. Dermed er det så godt som umulig å bli kvitt denne infeksjonen før den har avsluttet jobben sin, med mindre du har superkrefter og kan reagere på millisekunder etter at du innser at du ikke får tilgang til filene dine, eller at utvidelsene har endret seg uten din tillatelse.

Når ransomware-programmet er ferdig med sin destruktive prosess på de tilgjengelige stasjonene dine, viser den et lite vindu på skrivebordet ditt, over alle aktive vinduer, med instruksjoner både på engelsk og russisk. For å beskytte seg sørger infeksjonen også for at du ikke kan kjøre Oppgavebehandlingen og Registerredigeringen. Det kjører også en satsvis fil (new.bat), som utfører en fjerning av skyggevolumkopiene av filene dine slik at disse filene ikke kan repareres automatisk. Instruksjonene i teksten med krav om løsepenger informerer deg om at du må sende en e-post for å be om betalingsinstruksjoner til en av følgende adresser: file987@sigaint.org, file9876@openmail.cc eller file987@tutanota.com.

Selv om teksten hevder at filene dine har blitt kryptert av RSA-2048-systemet, er det i realiteten bare din personlige kode som blir kryptert med denne metoden – den du skal sende i kontakt-e-posten. Du har 72 timer på deg til å overføre pengene de kriminelle ber om, ellers vil summen øke. Du blir også frarådet å tukle med infeksjonen eller filene dine, da dette kan resultere i "ugjenkallelig tap av informasjon". Det er selvsagt overhodet ingen garanti for at du noensinne vil få koden og dekoderen du har blitt lovet. Det er derfor sikkerhetskopierte filer er en smart ting å ha. Hvis du har dine personlige filer lagret på en ekstern HDD eller minnepinne, kan du kopiere dem tilbake til maskinen din når som helst. Det er imidlertid viktig å sørge for at systemet ditt er sikkert. Vi råder deg derfor til å slette CryptoJoker Ransomware så snart som mulig. Deretter kan du begynne å gjenopprette filene dine.

Hvis du ikke har en sikkerhetskopi, kan du dessverre ikke dekryptere filene dine. I fremtiden, når dette ransomware-programmet rammer flere datamaskiner og ekspertene finner en måte å dekryptere filene på, kommer det kanskje til å være gratis verktøy tilgjengelig på nettet. Men inntil da er det ikke stort du kan gjøre, bortsett fra å fjerne denne farlige angriperen fra systemet ditt.

Den eneste måten å bli kvitt CryptoJoker Ransomware på er ved å gå til Sikkermodus med nettverkstilkobling etter at du har startet datamaskinen på nytt. Deretter kan du fjerne alle filene og registeroppføringene programmet har opprettet. Men før du gjør dette, må du sørge for at de skjulte mappene er vist i Filutforskeren, ellers vil du ikke kunne finne %Appdata%-katalogen. Hvis du imidlertid vurderer å betale løsepengene, bør du ikke slette tekstfilene fra skrivebordet. Disse inneholder nemlig instruksjonene, din unike krypterte kode og e-postadressen du skal bruke. Når du er ferdig, må du starte datamaskinen på nytt. Følg våre instruksjoner nedenfor svært nøye, for hvis du sletter feil registernøkler, kan du påføre enda mer skade på systemet. Vi anbefaler at kun erfarne brukere som vet hva som står på spill, utfører en manuell fjerning. For tryggere og mer effektiv fjerning råder vi deg til å bruke et profesjonelt verktøy for fjerning av skadeprogrammer.

Slik starter du på nytt i Sikkermodus med nettverkstilkobling

Windows 8, Windows 8.1 og Windows 10

  1. Trykk Win+I og klikk på På/av-ikonet.
  2. Mens du trykker og holder inne Shift-tasten, trykk Start på nytt.
  3. Velg Feilsøk og deretter Avanserte alternativer.
  4. Velg Innstillinger for oppstart.
  5. Trykk Start på nytt.
  6. Trykk på F5 for å starte PC-en på nytt i Sikkermodus med nettverkstilkobling.

Windows XP, Windows Vista og Windows 7

  1. Start PC-en på nytt og trykkF8-tasten.
  2. Velg Sikkermodus med nettverkstilkobling fra menyen og trykk på Enter.

Vise skjulte elementer i Windows Filutforsker

Windows 8, Windows 8.1, Windows 10

  1. Trykk på Win+E.
  2. Velg Vis-menyen og kryss av i boksen Skjulte elementer.

Windows Vista og Windows 7

  1. Trykk på Win+E.
  2. Trykk på Organiser-knappen og velg Mappe- og søkealternativer fra menyen.
  3. Velg kategorien Vis.
  4. Velg Vis skjulte filer og mapper.
  5. Trykk på OK.

Windows XP

  1. Trykk på Win+E og velg Verktøy-menyen.
  2. Velg Mappealternativer.
  3. Klikk på kategorien Vis.
  4. Velg Vis skjulte filer og mapper.
  5. Trykk på OK.

Slik fjerner du CryptoJoker Ransomware

  1. Trykk på Win+E og finn mappen C:\Users\user\AppData\Local\Temp.
  2. Finn og slett følgende filer: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt og new.bat.
  3. Finn mappen C:\Users\user\AppData\Roaming.
  4. Finn og slett følgende filer: baefefbed.exe og README!!!.txt22.
  5. Trykk på Win+R og skriv inn regedit. Trykk på OK.
  6. Finn og slett følgende registeroppføringer:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Finn og fjern følgende registeroppføring:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.
  8. Start operativsystemet på nytt.
Last ned CryptoJoker Ransomware infeksjons skanner
  • Rask og driftsikker løsning for CryptoJoker Ransomware å forhindre angrep.
  • Ta vare på PCen din og start nedlastingen nå!
disclaimer
Disclaimer

Kommentarer

  1. Veruca Apr 14, 2016

    I don't know who you wrote this for but you helped a broethr out.

  2. Nikki Apr 16, 2016

  3. Coralie Apr 16, 2016

    Deep thinking - adds a new dieiosmnn to it all.

  4. Lexine Apr 17, 2016

    That hits the target

  5. Marilu Apr 19, 2016

    Never would have thunk I would find this so inipedensabls.

Post kommentar — VI TRENGER DIN OPINION!

Kommenter:
Navn:
Vennligst skriv inn sikkerhets kode:
This is a captcha-picture. It is used to prevent mass-access by robots.