Ghost ransomware - Hur tar man bort

Ghost ransomware kanske låter som ett hot som försöker att gömma sig så gott det kan från sina offer och sedan hålla sig osynlig medan det orsakar skada som ett typiskt spöke. Däremot gäller inte detta Ghost här alls, utan det här är ett kryptovirus. I skadevärlden så är ransomware infektioner oskiljaktig från s.k. Scareware karaktärsdrag, vilket betyder att de använder väldigt visuella tekniker för att hota offret till att betala en lösensumma – det är precis därför det utvecklades.

Statistiken visar att s.k. ”cryptocurrency miners” sakta men säkert byter utan gamla ransomware infektioner som t.ex. Ghost viruset, vilket beror på att det är en mer stabil källa för inkomst för skurkarna. Trots detta så dyker det upp nya hotfulla krypterande varianter som orsakar trubbel för naiva användare. Tittar man på funktionerna så ser Ghost ransomware ut att vara skapad mer av amatörer än professionella, men det kan fortfarande låsa dina uppskattade digitala filer och neka dig tillgång till dessa även om du tar bort viruset.

Läs gärna vidare för att ta reda på vad 2-viruses.com teamet har funnit för effektiva och hjälpsamma metoder för att upptäcka och eliminera Ghost kryptovirus, återställa de krypterade filerna, samt viktig information om ransomwares så du kan skydda dig mot dessa i framtiden.


ghost ransomware ransom note

Hur fungerar Ghost viruset

För att göra en lång historia kort – Ghost ransomware är en typ av skadeprogram som smyger sig in i datorer, oftast via infekterade e-postmeddelanden, för att sedan kryptera data (förutom viktiga systemfiler) och kräva en lösensumma för dekrypteringsnyckeln. Alla krypterande virus handlar på samma sätt med ett par avvikande egenskaper som t.ex. krypterande algoritm, tillägg av filändelse, hotbrev och krav på summa.

Ghost kryptovirus använder specifikt AES chiffer för att låsa personliga filer som t.ex. bilder, media, dokument vilket det hittar genom att söka på specifika filändelser (t.ex. .docx, .jpg, .png, .mp3 m.m). Därefter läggs .Ghost till på dessa i slutet av deras namn och ett GUI formaterat hotbrev dyker upp med följande meddelande:

All your files have been encrypted

All your files have been encrypted. I have not deleted them yet.

To desencrypt 0.08116 bitcoin to the following address:

https://blockchain.info/payment_request?address = 1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj & amount_local = 500 & currency = USD & nosavecurrency = true & message = Pay% 20me!

Them, send a mail to [email protected] with your CODE ID.

I’m sorry for the inconvenience caused.

Anledningen till att Ghost viruset endast låser personliga filer är för att de är mest värdefulla för offret. I sin tur orsakar detta mer stress och önskan att få tillbaka dessa oavsett pris, dessutom kan offret fortfarande använda datorn för att kontakta kaparna och skicka kravet på den anonyma kryptovalutan. Gällande filändelsen så är det endast ytterligare en teknik för att visa sig för krypterande system och skrämma offret ytterligare. Att betala kaparna är däremot Aldrig en bra idé.

Ghost ransomware nämndes först på Twitter av @malwrhunterteam i mitten av November 2018, sedan har det undersökts av andra experter inom skadeprogram med. Professionella inom IT-säkerhet noterade att medan hotbrevet kräver 0.08116 BTC, så krävde Blockchain:s betallänk en annan summa på 0.10692946 BTC och det var inte det enda misstaget. Det noterades även att Ghost ransomware kod innehöll flertalet spanska meningar och använde Gmail som sin kontaktadress (vilket inte ger mycket anonymitet). Dessa få tecken tillsammans med det enklaste (men snabbaste) AES algoritmen visar att utvecklarna bakom Ghost viruset troligen är helt nya i branschen. Mer tekniska detaljer på VirusTotal.com.

Dessa karaktärsdrag betyder mycket för ransomware analytiker som försöker lösa Ghost ransomware problemet, men är helt irrelevant för offret som redan är oroad över sina filer. Som tur är så kan det här viruset tas bort med en möjlighet att återfå filerna med. Medan en Officiell dekrypterare fortfarande utvecklas så finns det andra möjligheter gällande just Ghost ransomware.

Hur distribueras Ghost ransomware

Ghost viruset, precis som med Lolita, Delphimorix, Neverdies, distribueras via skadliga e-postmeddelanden (malspam). Det räcker för kapare att skapa ett par Socialt konstruerade e-postmeddelanden med en bifogad .pdf eller .doc fil som innehåller viruset och skicka detta till en stor databas av e-postadresser – vilket kan köpas på DarkNet. Anledningen varför så många faller för dess falska e-postmeddelanden är för att meddelandena ser ut att komma från myndigheter, klienter, anställda, banker, advokater, vänner m.fl. Oftast är de väldigt korta och försöker alltid att få dig öppna filen som finns bifogad.

När offret öppnar filen och aktiverar makro (vilket behövs för viruset) för att se innehållet, då kommer Ghost ransomware starta sina processer i bakgrunden för att snabbt kryptera nödvändiga filer. Makron är den mest populära vektorn för ransomware distribution eftersom det är ett litet legitimt program som inte blir upptäckt av antivirus program innan det aktiverats. Det är just därför det är så viktigt att Känna igen phishing kampanjer för att skydda sig själv från förluster av viktig data.

Hur du raderar Ghost viruset och återställer krypterade filer

Det finns två stora steg du måste utföra om du vill återställa ditt system och återfå din data till sitt normala tillstånd. Först – ta bort Ghost ransomware, sedan – återställa filerna. Just i det här fallet så är det inte så svårt att eliminera hotet om du vet vad du gör. Problemet är att filerna fortfarande är låsta även om du tar bort Ghost viruset.

Om du har en backup och ofta skapar återställningspunkter på ditt Windows, då har du tur eftersom det är tillräckligt frö att använda våra instruktioner nedan och återställa systemet till en bättre tid – innan Ghost ransomware invasionen och då dina filer blev låsta. Har du däremot ingen backup, då behöver du ta den långa vägen och försöka använda ett anti-skadeprogram som t.ex. Spyhunter eller Reimage för att eliminera viruset och sedan försöka återställa filerna via ett återställningsprogram eller s.k. Shadow copies nämnda här nedan.

Automatisk Malware verktyg för borttagning

Hämta Spyhunter för Malware upptäckt
(Win)

Notera: Spyhunter försök ger detektion av parasiten som Ghost Ransomware och hjälper till dess avlägsnande gratis. begränsad testversion finns tillgänglig, Terms of use, Privacy Policy, Uninstall Instructions,

Hämta Combo Cleaner för Malware upptäckt
(Mac)

Notera: Combo Cleaner försök ger detektion av parasiten som Ghost Ransomware och hjälper till dess avlägsnande gratis. begränsad testversion finns tillgänglig,


Hur du tar bort Ghost ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Ghost ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Ghost ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Ghost ransomware.


3. Återställ Ghost ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Ghost ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Källa: https://www.2-viruses.com/remove-ghost-ransomware

Removal guides in other languages

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *