JS.Crypto Ransomware

JS.Crypto Ransomware er et svært skadelig virus som angriper datamaskiner med Windows som operativsystem. Da selve trusselen er utviklet ved bruk av NW.js, som er et kjent rammeverkt for utvikling av nye applikasjoner, betyr det at JS.Crypto Ransomware er basert på JavaScript. Spesialister ved pcthreat.com mener det finnes noen små sjanser for at Linux og MaxOS X , som også bruker JavaScript, kan bli infisert av JS.Crypto Ransomware og videre bli spredd blant brukere av disse operativsystemene også. Etter vår mening, må alle brukere være forsiktige, uansett hvilket operativsystem de bruker, da nylige undersøkelser viser at det er mulig å å distribuere JS.Crypto Ransomware videre, ved å velge spesielle alternativer, enten ved å låse maskinen helt eller ikke, vise låst skjerm eller mengde bitcoin som kreves. De opprinnelige eierne til JS.Crypto Ransomware får antakelig penger for dette. Vi er sikre på du vil gjenkjenne JS.Crypto Ransomware dersom det klarer å entre systemet ditt, da du vil kunne oppdage at du ikke får tilgang til hovedfilene dine. Dessverre kan JS.Crypto Ransomware kryptere nye filer også, så vær sikker på du fjerner viruset fra PCen før du installerer nye filer på datamaskinen din.

Det er oppdaget et JS.Crypto Ransomware krypterer hundrevis av ulike filer, hovedsaklig dokumenter, bilder, musikk, og videoer. Derfor har de vanligvis følgende filendelser; jpg, pmd, ppxs, mp3, mp4, mpeg, wmv, sdf, mpa, .dot, .docx, .aet, .ppj, .indl, .3gp blant flere. Utseendet vil sannsynligvis ikke endres, men du vil helt enkelt ikke ha tilgang til noen av filene. Det å ikke kunne åpne hovedfilene, er ikke det eneste symptomet på at du har fått et ransomware virus på maskinen din. Spesialistene ved pcthreat.com kan fortelle at du garantert vil få en advarsel på skjermen din også. Dersom du ser denne (teksten i beskjeden finner du nedenfor), er det ingen tvil om at JS.Crypto Ransomware har klart å infiltrere systemet ditt.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Som man kan se, prøver nettkriminelle å overbevise brukere til å foreta betalinger. De gir en frist på 4 dager og påstår videre at prisen vil øke etter at fristen er gått ut. De lover også å dekryptere èn fil gratis, for å bevise at de kan dekryptere alle. Det er opp til deg om du vil foreta betalingen på 0,1 Bitcoin (rundt 35 dollar) eller ikke. Vi anbefaler deg likevel å ikke gjøre det, dersom du har back up ( f.eks. filer på en ekstern harddisk. Dessverre finnes det ikke noen annen måte å tilgang til filene på.

JS.Crypto Ransomware blir disribuet som en klient.scr-fil. Da det er en WinRAR fil som pakker ut seg selv, vil denne umiddelbart pakke ut filer til %Temp% and %AppData%\Microsoft\Windows\Startmeny\Programmer\oppstartskalatoger, og lage snarvei i oppstart etter at en bruker klikker på den. Det har også blitt observert at JS.Crypto Ransomware legger til følgende filer i systemet:

• chrome – har kopi av GPL.lisens inni.
• chrome.exe – består av den aktuelle viruskoden.
• ffmpegsumo.dll, nw.pak, locales, og icudtl.dat – består av nødvendig data for rammeverket NW.js.
• rundll32.exe – bestar av en kopi av TOR klienten.
• s.exe – består av en kopi av Optimum X Shortcut.
• g – består av nødvendig informasjon for konfigurasjonen av ransomwaren.
• msgbox.vbs – et skript som viser en pop up-beskjed på skjermen.
• u.vbs – skript som sletter filer og foldere i de ulike katalogene..

Som man kan se, legger JS.Crypto Ransomware til filer som ligner legitime Google Chrome-filer, for eksempel chrome.exe, med den hensikt å ikke bli oppdaget og enkelt fjernet. Vi vil også nevne at JS.Crypto Ransomware legger til ChromeService.Ink til hovedkatalogen (%AppData%\Microsoft\Windows\Startmeny\programmer\oppstart) for å kunne starte sammen med operativsystemet Windows.

JS.Crypto Ransomware spres på forskjellige måter. Spesialister har funnet ut at det kan entre systemet ditt hvis du klikker på farlige lenger eller reklamer, åpner søppelpost med vedlegg, eller laster ned upålitelig programvare på en nettside til tredjeparter, torrent eller fildelingssider. JS.Crypto Ransomware er absolutt ikke det eneste ransomware-viruset som eksisterer, så vi anbefaler på det sterkeste at du installerer et velkjent sikkerhetsverktøy, dersom du ønsker å beskytte systemet fra lignende virus på PCen din.

Det er absolutt ikke enkelt å fjerne JS.Crypto Ransomware manuelt. Du må likevel gjøre det, slik at trusselen ikke krypterer nye filer. Nedenfor finner du instruksjoner som vil hjelpe deg med å fjerne denne trusselen manuelt. Dersom du ikke føler deg kompetent til å gjøre dette på egen hånd, kan du skanne systemet med antivirusskanneren til SpyHunter. Enten du velger å fjerne JS.Crypto Ransomware på egen hånd, eller benytter et automatisk program, vil dessverre ikke dette kunne hjelpe deg med å dekryptere filene dine.

Fjern JS.Crypto Ransomware fra PCen

Vis skjulte filer og mapper

Windows XP

1. Trykk startknappen og gå til Kontrollpanel.
2. Dobbeltklikk på Mappealternativer og åpne Vis-fanen..
3. Klikk en knapp ved siden av Vis skjulte filer og mapper aktivere den.
4. Fjern haken fra Skjul beskyttede systemfiler i operativsystemet (Anbefalt).
5. Klikk Bruk.

Windows 7/Vista

1. Klikk på Organiser-knappen i alle mapper og velg søkealternativer mapper.
2. Merk skjulte filer og mapper-knappen.
3. Fjern sjekkboksen fra Skjul beskyttede systemfiler i operativsystemet (Anbefalt).
4. Klikk Bruk.

Windows 8/8.1/10

1. Åpne Filutforsker.
2. Åpne fanen Vis og klikk Alternativer.
3. Velg Endre mappe og søkealternativer.
4. Merk Vis skjulte filer og mapper.
5. Fjern haken fra boksen Skjul beskyttede systemfiler i operativsystemet (Anbefalt).

Slett kataloger og filer

1. Åpne oppgavebehandleren (Ctrl+Shift+Esc), åpne prosess-fanen, finn chrome.exe-prosessen og avslutt (høyreklikk den og velg Avslutt prosess) den, dersom advarselen ikke kan lukkes.
2. Start KJØR(Windows tasten+ R).
3. Skriv %AppData%\Chrome nettleser i boksen og klikk OK.
4. Slett denne katalogen.
5. Start KJØR igjen og skriv %AppData%\Microsoft\Windows\Startmeny\Programmer\Oppstart.
6. Klikk OK.
7. Finn og fjern ChromeService.lnk.