JS.Crypto Ransomware

JS.Crypto Ransomware on erittäin haitallinen tartunta, joka on suunnattu Windows-käyttöjärjestelmää käyttäville tietokoneille. Koska itse uhka on luotu käyttämällä NW.js-koodia, joka on tunnetusti ohjelmistokirjasto uusien sovellusten luomiseksi, tämä tarkoittaa, että itse JS.Crypto Ransomware perustuu JavaScriptiin. Pcthreat.comin asiantuntijoiden mukaan on olemassa pieni mahdollisuus, että uhka vaikuttaa myös myös Linux- ja MaxOS X -käyttöjärjestelmiin, joka tarkoittaa sitä, että JS.Crypto Ransomware saattaa aloittaa leviämisen myös näiden käyttöjärjestelmien käyttäjien keskuudessa. Mielipiteemme on, että kaikkien käyttäjien on oltava erittäin varuillaan käyttämästään käyttöjärjestelmästä riippumatta. Tämä sen vuoksi, että viimeisimmän tutkimuksen mukaan on mahdollista, että JS.Crypto Ransomware leviää, kun käyttäjä valitsee tiettyjä asetuksia esim. lukitaanko tietokone kokonaan, näytetäänkö lukitusnäyttö ja jopa pyydettävien Bitcoinien määrä. Alkuperäiset JS.Crypto Ransomwaren omistajat saavat tästä todennäköisesti rahaa. Olemme varmoja, että havaitset, jos JS.Crypto Ransomware onnistuu siirtymään järjestelmään, koska näet, että et voi käyttää tärkeimpiä tiedostojasi. Valitettavasti JS.Crypto Ransomware saattaa myös salata uudet tiedostosi vielä uudelleen, joten varmista, että poistat tämän tartunnan tietokoneeltasi ennen kuin tallennat uusia tiedostoja tietokoneellesi.

Olemme havainneet, että JS.Crypto Ransomware salaa itse satoja erilaisia tiedostoja. Näitä tiedostoja ovat pääasiassa asiakirjat, kuvat, musiikki ja videot, joten niiden tunnisteet ovat tavallisesti seuraavia: .jpg, .jpeg, .pmd, .ppsx, .mp3, .mp4, .mpeg, .wmv, .sdf, .mpa, .dot, .docx, .aet, .ppj, .indl, .3gp ja muut. Niiden sisältö ei todennäköisesti muutu, mutta et yksinkertaisesti pysty käyttämään enää mitään niistä. Se että et pysty käyttämään suurta osaa tiedostoistasi ei ole ainoa oire, joka ilmaisee, että ransomware-tartunta on luikerrellut järjestelmääsi. Pcthreat.comin asiantuntijoiden mukaan huomaat myös varmasti näytöllesi ilmestyvän varoitusviestin. Jos näet sen (viestin teksti näkyy alla), ei ole epäilystä siitä, että JS.Crypto Ransomware on onnistunut siirtymään järjestelmääsi.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Kuten on nähtävissä, cyber-rikolliset yrittävät vakuuttaa käyttäjiä suorittamaan maksun. He antavat tähän vain 4 päivää ja sanovat, että maksun määrä kasvaa, kun aika on kulunut loppuun. He myös lupaavat poistaa salauksen yhdestä tiedostosta ilmaiseksi, jotta he voivat todistaa, että he pystyvät poistamaan salauksen niistä kaikista. Voit maksaa oman harkintasi mukaan 0,1 Bitcoinia (noin 35 $) tai jättää maksamatta, mutta me emme kuitenkaan suosittele tätä, jos sinulla on varmuuskopio tiedostoistasi (esim. tiedostot USB-asemalla). Valitettavasti tiedostojen käyttäminen ei ole tällä hetkellä mahdollista muulla tavalla.

JS.Crypto Ransomware leviää client.scr-tiedoston mukana. Koska se on itse purkautuva WinRAR-paketti, se purkaa tiedostot välittömästi %Temp%- ja %AppData%\Microsoft\Windows\Start Menu\Programs\Startup -hakemistoihin ja lisää pikakuvakkeen Käynnistys-valikkoon, kun käyttäjä napsauttaa pakettia. On havaittu, että JS.Crypto Ransomware lisää järjestelmään seuraavat tiedostot:

• chrome – sisältää kopion GPL-lisenssisopimuksesta.
• chrome.exe – sisältää haittaohjelman koodin.
• ffmpegsumo.dll, nw.pak, locales, and icudtl.dat – sisältävät välttämättömät tiedot NW.js-ohjelmistokirjastolle.
• rundll32.exe – sisältää TOR-asiakasohjelman kopion.
• s.exe – sisältää kopion Optimum X -pikakuvakkeesta.
• g – sisältää ransomware-haittaohjelmiston tarvitsemat välttämättömät tiedot.
• msgbox.vbs – komentosarja, joka näyttää ponnahdusviestin näytöllä.
• u.vbs – komentosarja, joka poistaa tiedostoja ja hakemistoja eri hakemistoissa.

Kuten voimme nähdä, JS.Crypto Ransomware lisää tiedostoja, jotka muistuttavat oikeutettuja Google Chrome -tiedostoja, esim. chrome.exe, jotta sen havaitseminen ja poistaminen ei olisi niin helppoa. haluamme myös mainita, että JS.Crypto Ransomware lisää ChromeService.lnk-tiedoston päähakemistoon (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup), jotta se voi käynnistyä yhdessä Windows-käyttöjärjestelmän kanssa.

JS.Crypto Ransomware leviää erilaisilla tavoilla. Asiantuntijat ovat havainneet, että se saattaa siirtyä järjestelmääsi, kun olet napsauttanut haitallista linkkiä tai mainosta, avannut roskapostiviestin liitteen tai ladannut epäluotettavan ohjelman kolmannen osapuolen verkkosivustolta, torrent-sivustolta tai tiedostojen jakamiseen tarkoitetulta sivustolta. JS.Crypto Ransomware ei todellakaan ole ainoa olemassa oleva ransomware-tartunta, joten suosittelemme vahvasti, että asennat tunnetun tietoturvatyökalun, jos haluat suojata järjestelmääsi vastaavilta tartunnoilta, jotka yrittävät luikerrella tietokoneellesi.

JS.Crypto Ransomwaren poistaminen ei todellakaan ole helppoa manuaalisesti, mutta sinun on tehtävä tämä, koska tämä uhka saattaa salata uudet tiedostosi. Alla on ohjeet, jotka auttavat hankkiutumaan eroon tästä uhasta manuaalisesti. Jos sinulla ei ole riittävästi kokemusta tehdä tätä itse, tarkista järjestelmäsi haittaohjelmien poistamiseen tarkoitetulla SpyHunter-skannerilla. Riippumatta siitä suoritatko JS.Crypto Ransomwaren poistamisen itse tai käytät automaattista työkalua, tämä ei auta tiedostojen salauksen poistamista.

JS.Crypto Ransomwaren poistaminen tietokoneelta

Piilotettujen tiedostojen ja kansioiden näyttäminen

Windows XP

1. Avaa Start-valikko (Käynnistä-svalikko) ja siirry kohtaan Control Panel (Ohjauspaneeli).
2. Kaksoisnapsauta Folder options (Kansiovaihtoehdot) ja napsauta View (Näytä) -välilehteä
3. Aseta ominaisuus käyttöön napsauttamalla Show hidden files and folders (Näytä piilokansiot ja -tiedostot) -kohdan vieressä olevaa painiketta.
4. Poista valinta kohdasta Hide protected operating system files (Recommended) (Piilota suojatut käyttöjärjestelmätiedostot (suositus)).
5. Napsauta Käytä.

Windows 7/Vista

1. Napsauta minkä tahansa kansion Organize (Järjestä) -painiketaa ja valitse Folder Search Options (Kansion hakuasetukset).
2. Merkitse Show hidden files and folders (Näytä piilokansiot ja -tiedostot) -painike.
3. Poista valintaruutu kohdasta Hide protected operating system files (Recommended) (Piilota suojatut käyttöjärjestelmätiedostot (suositus)).
4. Napsauta Apply (Käytä).

Windows 8/8.1/10

1. Avaa Tiedostonhallinta.
2. Avaa View (Näytä) -välilehti ja napsauta Options (Asetukset).
3. Valitse Change folder and search options (Muuta kansio- ja hakuasetuksia).
4. Merkitse Show hidden files and folders (Näytä piilokansiot ja -tiedostot).
5. Poista valinta Hide protected operating system files (Recommended) (Piilota suojatut käyttöjärjestelmätiedostot (suositus)) -kentästä.

Kansioiden ja tiedostojen poisto

1. Avaa Tehtävien hallinta (Ctrl+Shift+Esc), avaa Processes (Prosessit) -välilehti, etsi chrome.exe -prosessi ja lopeta se (napsauta sitä hiiren kakkospainikkeella ja valitse End Process (Lopeta prosessi)), jos varoitusviestin sulkeminen ei ole mahdollista.
2. Suorita RUN (Käynnistä) (Windows-näppäin + R).
3. Kirjoita kenttään %AppData%\Chrome Browser ja napsauta OK.
4. Poista tämä hakemisto.
5. Suorita RUN uudelleen ja kirjoita %AppData%\Microsoft\Windows\Start Menu\Programs\Startup.
6. Napsauta OK.
7. Etsi ja poista ChromeService.lnk.