VVV File Extension

Nyligen släpptes en ny version av TeslaCrypt ransomware. Den skiljer sig inte så mycket från tidigare versioner, men det finns en avgörande skillnad mellan den nya och de gamla varianterna. Eftersom TeslaCrypt hör till kategorin ransomware innebär det att en säkerhetsloop drabbar det angripna systemet. Användaren måste ta bort det här programmet helt och hållet så snart som möjligt med tanke på att det klassas som skadlig programvara.

Det första experterna har noterat under framväxten av TeslaCrypt är att detta säkerhetshot ändrar filändelserna på alla viktiga datorfiler till .VVV. Av denna anledning kallas det ofta för ”.VVV extension ransomware”. Filändelsen på en fil är ett suffix som sätts efter namnet på alla datorfiler. Ändelsen i sig avgränsas från filnamnet med en punkt. Användare vars datorer har angripits av TeslaCrypt ransomware upptäcker vanligtvis detta genom att filändelsen .VVV sätts på filer, till exempel i form av faktura44.doc.vvv, video.mp4.vvv eller bild.jpg.vvv. Som ni ser tar infektionen inte bort de ursprungliga filändelserna. Användarna upptäcker ofta dessa ändringar mycket snart, och inser att .VVV-ändelsen förhindrar åtkomsten till viktiga filer. Det är viktigt att påpeka att detta hot är kapabelt att kryptera hundratals filer i olika format, och dessvärre finns det inte mycket användarna kan göra åt detta.

Det finns flera andra versioner av TeslaCrypt ransomware. Varje version använder olika filändelser. Det råder därför ingen tvekan om att systemet har drabbats av detta säkerhetshot om viktiga filer har försetts med filändelserna .VVV, .ECC eller .CCC. Möjligheten för de olika versionerna att använda olika filändelser är den utmärkande egenskapen för denna infektion. Säkerhetshotet som sådant krypterar inte bara viktiga filer och blockerar åtkomsten till dem, utan kan även skapa nya filer när det har tagit sig in i systemet. Utredare som har testat TeslaCrypt ransomware har upptäckt att det lägger till filerna decrypt.exe, decrypt.html och decrypt.txt i nästan alla mappar. Dessutom skapas ett meddelande med ett krav på lösensumma i filerna how_recover+abc.html och how_recover+abc.txt. TeslaCrypt ransomware vill försäkra sig om att du vet vad du måste göra härnäst för att låsa upp filerna och få åtkomst till dem igen.

Observera att den största målgruppen vars datorer infekteras av TeslaCrypt ransomware är gamers. Infektionen angriper nämligen i första hand filer som tillhör spel av olika slag. Det innebär att om du har spelat ett visst spel under en period och blir drabbad av TeslaCrypt ransomware, så måste du börja om från början igen. Krypteringsprocessen påbörjas nämligen omedelbart och kan inte stoppas. Även om du lyckas avkryptera dina filer kommer de inte att återställas till sitt tidigare skick. Faktum är att det inte spelar någon egentlig roll vilken version av TeslaCrypt ransomware som angriper, eftersom allihop fungerar på i stort sett samma sätt.

TeslaCrypt ransomware är ett allvarligt säkerhetshot i sig, även om det inte gör några ändringar i systemregistret. Huvudsyftet är att pressa användarna på pengar, och detta har man lyckats med under ett ganska bra tag. Hotet är inte heller alldeles originellt – experter har uppdagat att det är en kopia av den ökända ransomware-infektionen CryptoLocker. Därför är det inte så konstigt att denna version har fått namnet CryptoLocker-v3. Vidare har flera experter lagt märke till att TeslaCrypt inte enbart sätter filändelsen .VVV på filer, utan att det även temporärt stoppar processerna cmd.exe, msconfig, regedit, procexp och taskmg. I de flesta fall har användaren sig själv att skylla för att TeslaCrypt lyckats ta sig in i systemet. Ofta handlar det om användare som har öppnat skadliga e-postbilagor och skräppost. De kan också ha klickat på opålitliga länkar på suspekta webbplatser. Sist men inte minst har de oftast inte något säkerhetsprogram installerat.

Hur avkrypterar man sina filer?

Nu till det viktigaste – hur man avkrypterar filer som har fått filändelsen .VVV. Man har upptäckt att det förvisso går att döpa om alla filer, d.v.s. att manuellt ta bort .VVV-filändelsen, men detta innebär inte att filerna faktiskt avkrypteras. Faktum är att det är ganska riskabelt att göra detta om du planerar att betala för att få dina filer avkrypterade, med tanke p att avkrypteringen då kanske inte lyckas. Som det står i meddelandet måste du betala ett visst belopp, ofta 500 amerikanska dollar, och tyvärr finns det för närvarande inget annat sätt att avkryptera filerna. Däremot kan användare som har en kopia av alla sina filer på en USB-disk eller annan säkerhetskopia känna sig trygga, eftersom de enkelt kan återställa alla sina filer.

Är det nödvändigt att ta bort TeslaCrypt ransomware?

TeslaCrypt ransomware krypterar bara filerna och tar därefter genast bort sig självt från systemet, så många användare förstår inte ens varför deras filer har fått filändelsen .VVV. Eftersom hotet försvinner när det har gjort vad det ska behöver användaren inte själv ta bort det. Detta till trots är det förstås ändå en god idé att genomsöka systemet med en automatisk skanner för att ta bort de infektioner som kan ligga till grund för att TeslaCrypt har tagit sig in, eller som kan ha tagit sig in i systemet samtidigt.

Skanna ditt system

1. Öppna någon av dina webbläsare.
2. Skriv http://se.pcthreat.com/download-sph i adress-fältet.
3. Klicka på OK.
4. Ladda ner säkerhetsprogrammet och installera det på systemet.
5. Utför en fullständig systemgenomsökning.