1 of 3
Farlig nivå 9
Typ: Trojan
Gemensamma infektionssymtom:
  • Installerar sig på egen hand utan tillåtelse
  • System crashes

CryptoJoker Ransomware

CryptoJoker Ransomware är definitivt inte en malware-infektion som du kan ignorera eller avfärda som ett skämt – den kan mycket väl bli din värsta mardröm. Ännu verkar det som om den här trojanen inte har fått särskilt stor spridning, men den kommer säkerligen att ta åt sig allt större delar av malware-”kakan” ju längre tiden går. Oavsett hur ”populär” eller inte den är ska du dock lägga på minnet att detta är ett allvarligt och farligt hot mot ditt operativsystem och dina personliga filer. Om denna malware-infektion smyger sig in och utför sitt uppdrag kan du med största sannolikhet ta farväl av alla dina dokument, bilder och databaser som krypteras inom loppet av en minut – förutsatt, naturligtvis, att du inte är en säkerhetsmedveten datoranvändare som alltid sparar säkerhetskopior på en extern disk. Det är faktiskt det enda du kan göra för att återställa dina filer, för inte ens om du betalar lösensumman som denna trojan försöker pressa ur dig är det säkert att du blir av med den. Om du inte tar bort CryptoJoker Ransomware genast kommer du inte bara bli av med dina filer, utan kan till och med få hela datorn förstörd.

Installeraren av trojanen är förklädd som en PDF-fil. Med andra ord sprids den troligtvis främst via skräppost över nätet. För att undvika trojan-infektioner är en av de viktigaste reglerna att aldrig öppna e-post som du inte känner igen och att aldrig klicka på länkar eller bilagor, inte ens i e-postmeddelanden som ser bekanta eller officiella ut – såvida det inte är ett mejl du kan förvänta dig – eftersom skräppost över nätet kan posera trovärdigt som vilken person eller institution som helst. Allt handlar om bedrägeri. När du bläddrar i din inkorg kanske du inte höjer på ögonbrynen över ett e-postmeddelande från någon du känner eller din internetleverantör. Naturligtvis använder cyberbrottslingar sofistikerade taktiker för att du ska klicka på inbäddade länkar eller bifogade filer, i det här fallet ett PDF-dokument. Men när du väl har klickat finns det ingen återvändo – trojanen planteras i din dator och börjar genast utföra sin lömska uppgift. Det enda sättet att förhindra detta är att skaffa ett pålitligt och uppdaterat antimalware-program som körs i bakgrunden.

Den här trojan-infektionen använder flera filer för att slutföra sitt uppdrag. Först skapar eller laddar den ned följande textfiler på ditt skrivbord: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt och РАСШИФРОВАТЬ ФАЙЛЫ.txt. Dessa innehåller ett meddelande på engelska och ryska med krav om en lösensumma samt en lista över de utsatta filändelserna. Den skapar även följande filer i mappen %Temp%: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt och new.bat. Därefter lägger malware-infektionen till följande registerposter så att de körbara filerna drvpci.exe, windefrag.exe och winpnp.exe kan köras automatiskt när Windows startas:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci ”C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag ”C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp ”C:\Users\user\AppData\Local\Temp\winpnp.exe”

Därutöver skapas två filer i mappen %Appdata% som heter baefefbed.exe – ett slumpgenererat namn – respektive README!!!.txt22. Trojanen lägger till följande registernyckel till den körbara filen: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed ”C:\Users\user\AppData\Roaming\baefefbed.exe”. Var och en av dessa filer används för att utföra diverse uppgifter, bl.a. skicka information till Command and Control-servern, genomsöka och avsluta alla aktiva processer i Aktivitetshanteraren och Registereditorn o.s.v.

Vi har upptäckt att CryptoJoker Ransomware angriper följande dokument-, bild- och databasfiländelser: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. När denna ransomware påbörjar krypteringen av dina filer skannar den igenom samtliga av dina tillgängliga diskenheter, inklusive mappade nätverksdiskar, och angriper filändelserna. När en fil har krypterats lägger malware-infektionen till filändelsen .crjoker, till exempel myphoto.jpg.crjoker. Trojanen använder ett AES-256-system för att kryptera dina filer, d.v.s. en inbyggd Windows-kryptering, och därför tar hela processen i regel inte mer än någon minut att slutföra. Du förstår nu att det är nästintill omöjligt att eliminera den här infektionen innan den hinner slutföra jobbet – såvida du inte har superkrafter och kan reagera inom millisekunder när du upptäcker att du inte har åtkomst till dina filer eller att filändelserna har ändrats utan din tillåtelse.

När ransomware-infektionen har slutfört sin destruktiva rond på alla tillgängliga diskar öppnas ett fönster på skrivbordet ovanpå alla aktiva fönster med instruktioner på engelska och ryska. För att skydda sig själv ser infektionen dessutom till att du inte kan öppna Aktivitetshanteraren eller Registereditorn. Den kör också en batch-fil (new.bat) som utför en borttagning av skuggvolymkopiorna av dina filer så att dessa inte kan repareras automatiskt. Instruktionerna i lösensummemeddelandet informerar dig om att du ska skicka ett e-postmeddelande till en av följande adresser och invänta betalningsinstruktioner: file987@sigaint.org, file9876@openmail.cc eller file987@tutanota.com.

Även om lösensummemeddelandet påstår att dina filer har krypterats med RSA-2048-systemet är det i sjäva verket endast din personliga kod som krypteras med hjälp av denna metod, alltså den som du ombeds att skicka via e-post. Du har 72 timmar på dig att föra över summan som brottslingarna begär, annars höjer de beloppet. Du instrueras också att inte mixtra med infektionen eller dina filer eftersom det kan resultera i ”oåterkallelig förlust av information”. Givetvis finns det ingen garanti överhuvudtaget att du kommer att få den utlovade nyckeln eller avkodaren – det gör det aldrig. Och det är här det är bra att ha säkerhetskopior av dina filer. Om du har sparat dina personliga filer på en extern hårddisk eller ett fickminne kan du kopiera dem till datorn när som helst. Men det är viktigt att säkerställa att systemet är helt rent. Därför rekommenderar vi att du tar bort CryptoJoker Ransomware så snart som möjligt så att du därefter kan börja återställa dina filer.

Om du inte har någon säkerhetskopia måste vi tyvärr meddela att det ännu inte finns några verktyg som kan avkryptera dina filer. Det är möjligt att det i framtiden kommer att finnas gratisverktyg på nätet, i takt med att fler datorer drabbas av denna ransomware och experterna uppdagar ett sätt att avkryptera filerna på. Men till dess är det inte mycket du kan göra annat än att rensa ditt system från denna farliga inkräktare.

Det enda sättet att ta bort CryptoJoker Ransomware är genom att starta om datorn i Felsäkert läge med nätverk. Därefter kan du ta bort alla filer och de registerposter som har skapats. Innan du gör detta måste du dock se till att dolda mappar visas i din filutforskare, annars kommer du inte att hitta %Appdata%-mappen. Om du däremot funderar på att betala lösensumman ska du inte ta bort textfilerna på skrivbordet eftersom de innehåller alla instruktioner, din unika krypterade kod och alla e-postadresser du behöver använda. När du är klar måste du starta om din dator. Följ våra instruktioner här nedan mycket noggrant, för om du råkar ta bort fel registernycklar kan du göra mer skada än nytta. Faktum är att vi endast rekommenderar manuell borttagning för erfarna användare som vet vad som står på spel. För en säkrare och effektivare borttagningsmetod råder vi dig att använda ett professionellt antimalware-verktyg.

Starta om datorn i Felsäkert läge med nätverk

Windows 8, Windows 8.1 och Windows 10

  1. Tyck Win+I och klicka på Ström-ikonen.
  2. Samtidigt som du trycker på och håller ned Shift-tangenten klickar du på Starta om.
  3. Välj Felsökning och sedan Avancerade alternativ.
  4. Välj Startinställningar.
  5. Tryck på Starta om.
  6. Tryck på F5 för att starta om PC:n i Felsäkert läge med nätverk.

Windows XP, Windows Vista och Windows 7

  1. Starta om din PC och tryckF8-tangenten.
  2. Välj Felsäkert läge med nätverk i menyn och tryck på Enter.

Visa dolda objekt i Windows Utforskaren

Windows 8, Windows 8.1, Windows 10

  1. Tryck Win+E.
  2. Välj Visnings-menyn och kryssa i kryssrutan Dolda objekt.

Windows Vista och Windows 7

  1. Tryck Win+E.
  2. Tryck på knappen Ordna och välj Mapp- och sökalternativ i menyn.
  3. Gå till fliken Visning.
  4. Välj Visa dolda filer, mappar och enheter.
  5. Tryck på OK.

Windows XP

  1. Tryck Win+E och välj menyn Verktyg.
  2. Välj Mappalternativ.
  3. Klicka på fliken Visning.
  4. Välj Visa dolda filer och mappar.
  5. Tryck på OK.

Så här tar du bort CryptoJoker Ransomware

  1. Tryck Win+E och leta upp mappen C:\Users\user\AppData\Local\Temp.
  2. Leta upp och ta bort följande filer: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt och new.bat.
  3. Leta upp mappen C:\Users\user\AppData\Roaming.
  4. Leta upp och ta bort följande filer: baefefbed.exe och README!!!.txt22.
  5. Tryck Win+R och skriv regedit. Tryck på OK.
  6. Leta upp och ta bort följande registerposter:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci ”C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag ”C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp ”C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Leta upp och ta bort följande registerpost:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed ”C:\Users\user\AppData\Roaming\baefefbed.exe”.
  8. Starta om operativsystemet.
Ladda hem CryptoJoker Ransomware infektion scanner
  • Snabb & tästad lösning för CryptoJoker Ransomware hot borttagning.
  • Spara på ditt skrivbord & Starta nu!
disclaimer
Disclaimer

Skicka kommentar — VI BEHÖVER DIN MENING!

Kommentar:
Namn:
Ange säkerhetskod:
This is a captcha-picture. It is used to prevent mass-access by robots.