JS.Crypto Ransomware

JS.Crypto Ransomware är en skadlig infektion som riktar sig mot datorer med operativsystem Windows OS. Programmet är skapat med hjälp av NW.js som är ett program som används för att skapa nya applikationer. Detta innebär i korthet att JS.Crypto Ransomware är baserat på JavaScript. Våra experter på pcthreat.com säger att det finns en viss risk att programmet även kan påverka Linux och Maxos X som också använder sig av JavaScript. Detta innebär att JS.Crypto Ransomware kan börja sprida sitt virus bland användarna av dessa operativsystem också. Det är därför av största vikt att alla användare av dessa program är extremt försiktiga. Givetvis gäller det även andra användare, oavsett vilket operativsystem de använder. Det visar även att risken är stor att viruset ingår i ett större nätverk och att JS.Crypto Ransomware samarbetar med andra leverantörer. Med andra ord väljer programmet att distribuera sitt virus genom specifika distributionskanaler, t.ex. genom att låsa datorn och skicka ut ett meddelande om att skärmen är låst och du kan endast öppna upp din dator genom att betala en mängd bitcoins. De ursprungliga ägarna bakom JS.Crypto Ransomware tjänar naturligtvis pengar på detta. Vi är säkra på att du kommer att känna igen JS.Crypto Ransomware om det har lyckas att ta sig in i ditt system. Du kommer nämligen inte att komma åt dina filer. JS.Crypto Ransomware kan tyvärr kryptera dina filer även om du raderat eller avinstallerat programmet. Se därför till att göra en säkerhetskopiering av din dator innan du lagrar nya filer på din dator. Detta för din egen säkerhets skull.

JS.Crypto Ransomware kan gå in och kryptera hundratals olika filer. Dessa filer kan variera, allt från vanliga dokument, bilder, musik och med följande tillägg: .jpg, .jpeg, tillägget pmd, .ppsx, .mp3, .mp4, MPEG, .wmv, .SDF, .mpa , .dot, .docx, .aet, .ppj, .indl, .3gp med flera. Deras utseende i sig kommer inte att förändera sig, men du kommer helt enkelt inte att kunna komma åt dina filer. Dessvärre är inte detta det enda symptom som dyker upp om denna infektion har smittat din dator. Våra experter på pcthreat.com säger att det även kommer att dyka upp ett varningsmeddelande på din skärm. Har detta meddelande dykt upp på din skärm (exempeltext av meddelandet nedan), råder det tyvärr ingen tvekan om att JS.Crypto Ransomware har lyckats ta sig in i ditt system.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Du förstår säkert att dessa cyberbrottslingar försöker övertyga dig om att genomföra en betalning. Dessutom får användaren bara fyra dagar på sig att genomföra betalningen och om så inte sker kommer lösensumman att öka ännu mer efter att fyra dagar har gått. De lovar att dekryptera en fil gratis för att bevisa att de kan dekryptera alla dina filer. Det är upp till dig om du vill göra en betalning på 0,1 Bitcoins (ca $ 35) men vi rekommenderar att du inte gör det. Gör istället en backup och spara dina filer på ett annat ställe (t.ex. spara dina filer på ett USB-minne). Det finns tyvärr inget bättre sätt att spara dina filer på om du vill vara säker.

JS.Crypto Ransomware distribueras via en fil som heter client.scr. Detta är en WinRAR-fil, vilket innebär att den kommer att packa upp sig själv om den väl har fått fäste i din dator och extrahera sig själv under %Temp% och %AppData%\Microsoft\Windows\Startmeny\Program\Autostart och skapa en genväg i startmenyn när en användare väl har klickat på denna. Det har observerats att JS.Crypto Ransomware lägger till följande filer i systemet:

• chrome – innehåller en kopia av GPL-avtalet.
• chrome.exe – innehåller den faktiskta skadliga koden.
• ffmpegsumo.dll, nw.pak, locales och icudtl.dat – innehåller nödvändig information så att NW.js rent tekniskt kan fungera.
• rundll32.exe – innehåller en kopia av programmet TOR.
• s.exe – innehåller en genväg till Optimum X.
• g – innehåller information som är nödvändig för att konfigurationen av programmet skall fungera korrekt.
• msgbox.vbs – innehåller script så att viruset kan sända ut ett meddelande till mottagarens skärm.
• u.vbs – innehåller script som raderar filer och mappar i olika kataloger.

JS.Crypto Ransomware har dessutom varit extremt smarta och lagt till filer som liknar Google Chrome. Detta för att t.ex. chrome.exe inte ska upptäckas och avlägsnas. Vi vill också nämna att JS.Crypto Ransomware även kommer att lägga till en fil som heter ChromeService.link i huvudkatalogen (% AppData%\Microsoft\Windows\Start-meny\Program\Autostart). Detta för att programmet sedan skall automatiskt kunna starta när Windows OS öppnas upp av användaren.

JS.Crypto Ransomware sprids på olika sätt. Våra experter har analyserat programmet och kommit fram till att det kan ta sig in i ditt system via en infekterad länk eller reklamannons. Andra sätt är via e-post eller om du laddar ned gratisprogram via nätet, laddar ned ett torrens eller besöker en fildelning sajt. JS.Crypto Ransomware är inte det enda virus som kan dyka upp på din dator. Vi rekommenderar att du installerar ett säkert och tryggt säkerhetsprogram om du vill skydda ditt system från liknande infektioner.

Det är inte lätt att ta bort JS.Crypto Ransomware på egen hand. Vill du ändå göra detta så vill vi påminna dig om att detta virus även kan kryptera dina nya filer efter en avinstallering. Nedan hittar du ytterligare instruktioner på hur du gör dig av med detta virus på egen hand. Känner du dig osäker rekommenderar vi dig att ta hjälp av ett automatiskt program som kan hjälpa dig att avlägsna programmet, t e x SpyHunter. Du kan alltså få bort JS.Crypto Ransomware på egen hand men detta kommer tyvärr inte att lösa problemet åt dig och det kan bli problematiskt att dekryptera dina filer.

Radera JS.Crypto Ransomware från din dator

Visa gömda filer och mappar

Windows XP

1. Öppna Start och gå till Kontrollpanelen.
2. Dubbel-klicka på Mappalternativ och öppna fliken Visa.
3. Klicka sedan på knappen brevid Visa dolda filer och mappar.
4. Ta bort/klicka ur kryssrutan Dölj skyddade operativsystemfiler (Rekommenderas).
5. Klicka sedan på Verkställ.

Windows 7/Vista

1. Klicka på Organisera och välj sedan alternativet Sök mappar.
2. Markera Visa dolda filer och mappar.
3. Ta bort/klicka ur kryssrutan från Dölj skyddade operativsystemfiler (Rekommenderas).
4. Klicka på Verkställ.

Windows 8/8.1/10

1. Öppna Filhanteraren.
2. Öppna sedan fliken Visa och klicka på Alternativ.
3. Välj sedan Ändra mapp och sökalternativ.
4. Markera Visa dolda filer och mappar.
5. Ta bort/kryssa ur kryssrutan från Dölj skyddade operativsystemfiler (Rekommenderas).

Radera genvägar och filer

1. Öppna upp Aktvitetshanteraren (Ctrl+Shift+Esc), öppna sedan upp fliken Processer och leta upp processen chrome.exe och radera (högerklicka på processen och välj Avsluta process).Om det är ett varningsmeddelande kan den dessvärre inte stängas ned.
2. Öppna sedan KÖR (Windows-tangeten + R).
3. Skriv sedan %AppData%\Chromebrowser i sökrutan och klicka sedan på OK.
4. Radera denna genväg.
5. Öppna sedan KÖR igen och skriv in %AppData%\Microsoft\Windows\Startmeny\Program\Autostart .
6. Klicka på OK.
7. Hitta och radera ChromeService.lnk.