1 of 3
Vaara 9
tyyppi: Troijalainen
Yleiset tartuntaoireet:
  • Asentaa itsensä ilman lupaa
  • Järjestelmä kaatuu

CryptoJoker Ransomware

CryptoJoker Ransomware on totisesti sellainen malware-tartunta, jota ei voi olla huomioimatta tai pitää vitsinä: se saattaa olla pahin painajaisesi. Vaikka kyseinen troijalainen ei ole vielä levinnyt laajalle, se valtaa varmasti alaa muilta malware-tartunnoilta ajan myötä. Tartunnan nykyisestä "suosiosta" huolimatta on syytä huomauttaa, että se on vakava ja vaarallinen uhka käyttöjärjestelmälle ja henkilökohtaisille tiedostoille. Jos tämä malware-tartunta pääsee järjestelmään ja suorittaa tehtävänsä, saat todennäköisesti hyvästellä kaikki asiakirjasi, kuvasi ja tietokantasi, jotka salataan jopa minuutissa. Vältyt tältä, jos panostat turvallisuuteen tietokonetta käyttäessäsi ja olet tallettanut tiedostojesi varmuuskopiot ulkoiselle kiintolevylle. Se on ainoa keino palauttaa tiedostosi, sillä edes troijalaisen kiristämien lunnasrahojen maksaminen ei välttämättä auta. Jos et poista CryptoJoker Ransomware -tartuntaa saman tien, menetät paitsi tiedostosi myös mahdollisuutesi käyttää tietokonettasi enää koskaan.

Kyseisen troijalaisen asennusohjelma on naamioitunut PDF-tiedostoksi. Sitä jaellaan siis luultavasti roskapostien avulla. Troijalaistartunnoilta välttymiseksi on tärkeää olla koskaan avaamatta tuntemattomia sähköposteja ja klikkaamatta linkkejä ja liitteitä, joita voi olla myös tutuissa tai virallisilta vaikuttavissa sähköposteissa, paitsi jos odotat saavasi sellaisia viestejä. Roskapostiviestit voivat esittäytyä kenä tai minä tahansa vaikuttaakseen aidoilta. Ne perustuvat petokseen. Postilaatikkoa selaillessasi saatat sen kummempia ajattelematta avata tuntemaltasi henkilöltä tai Internet-palveluntarjoajaltasi tullun viestin. Kyberrikolliset hyödyntävät hienostunutta taktiikkaa varmistaakseen, että avaat viestiin sisällytetyn linkin tai liitteet eli tässä tapauksessa .pdf-asiakirjan. Klikattuasi paluuta ei ole: troijalainen pääsee tietokoneeseesi ja ryhtyy heti likaisiin toimiinsa. Voit pysäyttää sen vain, jos käytät luotettavaa ja päivitettyä malwaren poistotyökalua.

Tämä troijalaistartunta hyödyntää useita tiedostoja tehtävänsä suorittamiseen. Ensiksi se luo tai lataa työpöydällesi seuraavat tekstitiedostot: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt ja РАСШИФРОВАТЬ ФАЙЛЫ.txt. Ne sisältävät englannin- ja venäjänkielisen lunnasvaatimuksen sekä tartunnan kohteena olevat tiedostopäätteet. Tartunta luo myös seuraavat tiedostot %Temp%-kansioon: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt ja new.bat. Sen jälkeen malware lisää rekisteriin seuraavat tiedot, jotta tiedostot drvpci.exe, windefrag.exe ja winpnp.exe käynnistyisivät Windowsin kanssa:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\käyttäjä\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\käyttäjä\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\käyttäjä\AppData\Local\Temp\winpnp.exe”

Näiden tiedostojen lisäksi malware luo %Appdata%-kansioon kaksi tiedostoa nimeltään baefefbed.exe, jolla on satunnainen nimi, ja README!!!.txt22. Troijalainen lisää seuraavan rekisteriavaimen: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Käyttäjät\käyttäjä\AppData\Roaming\baefefbed.exe.” Nämä tiedostot on tarkoitettu useisiin tehtäviin mukaan lukien tietojen lähettäminen komentopalvelimelle, Tehtävienhallinnan ja Rekisterieditorin aktiivisten prosessien tarkastelu ja lopettaminen ynnä muuta.

Olemme saaneet selville, että CryptoJoker Ransomware ottaa kohteekseen seuraavat asiakirja-, kuva- ja tietokantatiedostopäätteet: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Kun kyseinen ransomware aloittaa tiedostojesi salaamisen, se skannaa kaikki käytössä olevat kiintolevyt mukaan lukien kartoitetut verkkokiintolevyt ja etsii niistä edellä mainittuja tiedostopäätteitä. Tiedoston salaamisen lopuksi malware lisää tiedostopäätteen .crjoker, esimerkiksi valokuva.jpg.crjoker. Troijalaistartunta salaa tiedostot Windowsin omalla AES-256-järjestelmällä: siksi prosessi on niin nopea. On siis käytännössä mahdotonta keskeyttää tartuntaa, ellei sinulla ole supervoimia ja pystyt reagoimaan millisekunneissa huomattuasi, ettet voi käyttää tiedostojasi tai että niiden tiedostopäätteet on muutettu ilman lupaasi.

Kun kyseinen ransomware on saanut tuhoisan työnsä päätökseen, se näyttää työpöydällä pienen ikkunan. Ikkuna ilmestyy aktiivisten ikkunoiden päälle ja sisältää ohjeet englanniksi ja venäjäksi. Tartunta varmistaa myös, ettet pysty suorittamaan Tehtävienhallintaa ja Rekisterieditoria suojellaksesi itseäsi. Lisäksi se suorittaa komentojonotiedoston (new.bat), joka poistaa tiedostojesi varjokopiot, jottei tiedostoja voitaisi korjata automaattisesti. Lunnasvaatimuksen ohjeissa sanotaan, että käyttäjän on kysyttävä maksuohjeita sähköpostilla jostain näistä osoitteista: file987@sigaint.org, file9876@openmail.cc tai file987@tutanota.com.

Vaikka lunnasvaatimuksessa väitetään, että tiedostosi on salattu RSA-2048-järjestelmällä, kyseisellä menetelmällä salataan ainoastaan henkilökohtaiset tiedostosi. Saat 72 tuntia aikaa lähettää rikollisten vaatimat rahat tilisiirtona, tai summa nousee. Sinua kielletään myös kajoamasta tartuntaan tai tiedostoihisi, sillä siitä voi seurata "tietojen peruuttamaton häviäminen". Ei tietenkään ole olemassa mitään takuita siitä, että saat luvatun avaimen ja salauksen purkajan: sitä ei voida koskaan taata. Tällaisessa tapauksessa varmuuskopioista on hyötyä. Jos säilytät henkilökohtaisia tiedostojasi ulkoisella kiintolevyllä tai muistitikulla, voit kopioida ne takaisin tietokoneellesi milloin vain. On kuitenkin tärkeää varmistaa, että järjestelmäsi on turvassa. Siksi neuvomme poistamaan CryptoJoker Ransomware -tartunnan mahdollisimman pian, minkä jälkeen voit ryhtyä palauttamaan tiedostojasi.

Jos sinulla ei ole varmuuskopioita, joudumme valitettavasti ilmoittamaan, ettet pysty vielä purkamaan tiedostojesi salausta millään työkalulla. Se on mahdollista tulevaisuudessa, kun kyseinen ransomware tartuttaa useampia tietokoneita ja kun asiantuntijat keksivät tavan purkaa tiedostojen salauksen. Silloin verkkoon ladataan ilmaisia työkaluja. Siihen asti voit vain puhdistaa vaarallisen tunkeutujan järjestelmästäsi.

Ainoa keino poistaa CryptoJoker Ransomware on ottaa käyttöön verkkotyöskentelyn vikasietotila sen jälkeen, kun olet käynnistänyt tietokoneesi uudelleen. Sitten voit poistaa kaikki tartunnan luomat tiedostot ja rekisteritiedot. Varmista sitä ennen, että piilotetut kansiot näkyvät Resurssienhallinnassa: muutoin et löydä %Appdata%-kansiota. Jos kuitenkin harkitset lunnasrahojen maksamista, älä poista tekstitiedostoja työpöydältäsi, koska niissä on ohjeet, oma salauskoodisi ja sähköpostiosoitteet, joita sinun tulee käyttää. Kun olet valmis, käynnistä tietokoneesi uudelleen. Noudata alla olevia ohjeita huolellisesti, sillä jos satut poistamaan väärät rekisteriavaimet, saatat aiheuttaa lisäharmia. Siksi suosittelemme manuaalista poistoa kokeneemmille käyttäjille, jotka ymmärtävät mahdolliset riskit. Turvalliseen ja tehokkaampaan poistoon suosittelemme ammattitason malware-poistotyökalua.

Miten tietokone uudelleenkäynnistetään verkkotyöskentelyn vikasietotilassa

Windows 8, Windows 8.1 ja Windows 10

  1. Paina Win+I ja klikkaa Virta-ikonia.
  2. Pidä pohjassa Shift-näppäintä ja paina Käynnistä uudelleen.
  3. Valitse Vianetsintä ja sieltä Lisäasetukset.
  4. Valitse Käynnistysasetukset.
  5. Paina Käynnistä uudelleen.
  6. Paina F5 käynnistääksesi uudelleen tietokoneesi verkkotyöskentelyn vikasietotilassa.

Windows XP, Windows Vista ja Windows 7

  1. Käynnistä uudelleen PC:si ja paina F8-näppäintä.
  2. Valitse valikosta verkkotyöskentelyn vikasietotila ja paina Enter.

Näytä piilotetut tiedostot Resurssienhallinnassa

Windows 8, Windows 8.1, Windows 10

  1. Paina Win+E.
  2. Valitse Näytä valikko ja ruksaa Piilotetut tiedostot.

Windows Vista ja Windows 7

  1. Paina Win+E.
  2. Paina Järjestä-painiketta ja valitse valikosta Kansion ja haun asetukset.
  3. Valitse Näytä-välilehti.
  4. Valitse Näytä piilotetut tiedostot ja kansiot.
  5. Paina OK.

Windows XP

  1. Paina Win+E ja valitse Työkalut-valikko.
  2. Valitse Kansion asetukset.
  3. Klikkaa Näytä-välilehteä.
  4. Valitse Näytä piilotetut tiedostot ja kansiot.
  5. Paina OK.

Miten poistetaan CryptoJoker Ransomware

  1. Paina Win+E ja etsi kansio C:\Käyttäjät\käyttäjä\AppData\Local\Temp.
  2. Etsi ja poista seuraavat tiedostot: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt ja new.bat.
  3. Etsi kansio C:\Käyttäjät\käyttäjä\AppData\Roaming.
  4. Etsi ja poista seuraavat tiedostot: baefefbed.exe ja README!!!.txt22.
  5. Paina Win+R ja kirjoita regedit. Paina OK.
  6. Etsi ja poista seuraavat rekisteritiedot:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\käyttäjä\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\käyttäjä\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\käyttäjä\AppData\Local\Temp\winpnp.exe”
  7. Etsi ja poista seuraava rekisteritieto:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\käyttäjä\AppData\Roaming\baefefbed.exe.”
  8. Käynnistä uudelleen käyttöjärjestelmäsi.
Lataa vakoiluohjelmiston poistotyökalu ja poista* CryptoJoker Ransomware
  • Nopea & testattu ratkaisu CryptoJoker Ransomware poisto.
  • 100-prosenttisen ilmainen skannaus Windowsille
disclaimer
Disclaimer

Kommentit

  1. Sundance Jul 20, 2016

    Dag nabbit good stuff you whspperinappers!

  2. Victory Jul 21, 2016

  3. Mildred Jul 22, 2016

    Arlcites like this just make me want to visit your website even more.

  4. Agatha Jul 23, 2016

    At last some

  5. Ducky Jul 23, 2016

    Very true! Makes a change to see soomene spell it out like that. :)

Julkaise kommentteja — HALUAMME MIELIPITEESI!

Kommentti:
Nimi:
Anna tietoturvakoodi:
This is a captcha-picture. It is used to prevent mass-access by robots.