JS.Crypto Ransomware

A JS.Crypto Ransomware egy nagyon ártalmas fertőzés, amely a Windows operációs rendszert támadja. Mivel ez a fenyegetés NW.js alapú, ami köztudottan egy olyan keretrendszer, amelyet új alkalmazások fejlesztésére használnak, ez azt jelenti, hogy a JS.Crypto Ransomware JavaScript-re épül. A pcthreat.com szakemberei azt állítják, hogy van némi valószínűsége annak, hogy Linux és Mac OS X rendszereket is megfertőzzön a JavaScript használata által, ami azt jelenti, hogy a JS.Crypto Ransomware elkezdhet majd ezen operációs rendszerek felhasználói között is terjedni. Véleményünk szerint minden felhasználónak óvatosnak kell lennie, bármilyen operációs rendszert is használnak. Erre azért is szükség van, mert a kutatások azt mutatják, hogy társulni lehet a JS.Crypto Ransomware-hez, azaz bárki terjesztheti a fertőzést néhány paraméter beállítása után, pl.: legyen-e teljesen lezárva a számítógép, mutasson-e zárolt képernyőt, valamint a követelhető Bitcoin értéke. A JS.Crypto Ransomware eredeti készítői nyilván ez után százalékot kapnak. Biztosak vagyunk abban, hogy észre fogja venni, hogy a JS.Crypto Ransomware belépett a rendszerérre, mert nem fogja tudni használni a legfőbb fájljait. Sajnálatos módon a JS.Crypto Ransomware az Ön új fájljait is titkosíthatja, ezért fontos, hogy eltávolítsa ezt a fertőzést a számítógépéről, mielőtt új fájlokat tárolna rajta.

Észlelések alapján a JS.Crypto Ransomware több száz különféle fájlt tud titkosítani. Ezek a fájlok főként dokumentumok, képek, zenék, és videók, ezért általában a következő kiterjesztésekkel bírnak: .jpg, .jpeg, .pmd, .ppsx, .mp3, .mp4, .mpeg, .wmv, .sdf, .mpa, .dot, .docx, .aet, .ppj, .indl, .3gp, és még sok másik. A fájlok megjelenése nem valószínű, hogy változik, viszont egyszerűen nem fogja tudni őket elérni, megnyitni. De a fájlok megnyitásának ellehetetlenítése nem az egyetlen, ami azt mutatja, hogy ez a váltságdíj-program felkúszott az Ön számítógépére. A pcthreat.com szakemberei azt mondják, hogy egy figyelmeztető üzenetet is látni fog a képernyőjén. Ha ezt meglátja (a szöveget alább láthatja), akkor nem fér hozzá kétség, hogy a JS.Crypto Ransomware bejutott az Ön operációs rendszerébe.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Mint látható, az internetes bűnözők igyekeznek meggyőzni a felhasználókat arról, hogy fizessék ki a váltságdíjat. Mindössze 4 napot adnak, és azt állítják, hogy azután növelik a díj mértékét. Azt is ígérik, hogy egy fájlját ingyen dekódolják, hogy bebizonyítsák, mindet képesek dekódolni. Az Ön döntése, hogy kifizeti-e a 0.1 Bitcoin (kb. 13.000ft) díjat, vagy sem. Azonban mi nem javasoljuk, hogy megtegye, amennyiben rendelkezik a fájljai biztonsági másolatával (pl.: a fájljait lementette egy USB kulcsra). Sajnos jelenleg nincs más mód arra, hogy a fájljait újra használhassa.

A JS.Crypto Ransomware egy client.scr nevű fájlként terjed. Mivel ez egy WinRAR önkibontó archívum, azonnal kibontja magát a %Temp% és a %AppData%\Microsoft\Windows\Start Menu\Programs\Startup könyvtárakba, majd létrehoz egy parancsikont a Startup mappában, amint a felhasználó rákattint. Megfigyelések alapján a JS.Crypto Ransomware a következő fájlokat másolja fel a rendszerbe:

• chrome –ez tartalmazza a GPL licencszerződést.
• chrome.exe – ez tartalmazza magát a kártevő kódot.
• ffmpegsumo.dll, nw.pak, locales, és icudtl.dat – az NW.js keretrendszerhez szükséges adatokat tartalmazzák.
• rundll32.exe – a TOR kliens egy másolata.
• s.exe – az Optimum X parancsikon másolata.
• g – a váltságdíj-program konfigurációjához szükséges információkat tartalmazza.
• msgbox.vbs – egy olyan kód, amely a váltságdíj üzenet felugró ablakát jeleníti meg.
• u.vbs – egy olyan kód, amely fájlokat és mappákat töröl különféle könyvtárakban.

Mint látható, a JS.Crypto Ransomware olyan fájlokat használ, melyek hasonlítanak a legitim Google Chrome fájlokhoz, pl.: chrome.exe, azért, hogy ne lehessen könnyen észlelni és törölni. Azt is meg szeretnénk említeni, hogy a JS.Crypto Ransomware a fő könyvtárhoz még a ChromeService.lnk fájlt is hozzáadja (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup) hogy a Windows operációs rendszerrel együtt tudjon elindulni.

A JS.Crypto Ransomware különféle módokon terjed. A szakemberek azt találták, hogy akkor lép be az Ön rendszerébe, ha egy fertőzött linkre vagy hirdetésekre kattint, spam e-mail csatolmányt nyit meg, vagy megbízhatatlan programot tölt le harmadik felek honlapjáról, torrent, vagy egyéb fájlmegosztó oldalakról. A JS.Crypto Ransomware nyilván nem az egyetlen létező váltságdíj-program, ezért mindenképp azt javasoljuk, hogy telepítsen egy jó nevű biztonsági eszközt, ha meg akarja védeni az operációs rendszerét a hasonló fertőzésektől, melyek megpróbálnak bejutni az Ön számítógépére.

Nyilván nem egyszerű a JS.Crypto Ransomware kézi eltávolítása, azonban mégis meg kell tennie, hiszen ez a fenyegetés az új fájljait is titkosíthatja. Az alábbiakban megtalálja az instrukciókat, melyek segítenek Önnek, hogy megszabaduljon ettől a fertőzéstől manuálisan. Amennyiben nem érzi magát elég tapasztaltnak ehhez, vizsgálja meg a rendszerét a SpyHunter kártevő eltávolító ellenőrzőjével. Akár Ön távolítja el a JS.Crypto Ransomware-t, vagy egy automatizált eszközt használ, ettől még sajnos a titkosított fájljai nem lesznek dekódolva.

A JS.Crypto Ransomware eltávolítása

A rejtett fájlok és mappák megjelenítése

Windows XP

1. Nyissa meg a Start menüt, és menjen a Vezérlőpultba.
2. Kattintson duplán a Mappa beállításaira, és nyissa meg a Nézet fület.
3. Jelölje be a Rejtett fájlok és mappák megjelenítését.
4. Távolítsa el a pipát az Az operációs rendszer védett fájljainak elrejtése (ajánlott) opciónál.
5. Kattintson az Alkalmaz gombra.

Windows 7/Vista

1. Kattintson a Rendezés gombra, és válassza a Mappa és keresés beállításai opciót.
2. Jelölje be a Rejtett fájlok és mappák megjelenítése opciót.
3. Távolítsa el pipát az Az operációs rendszer védett fájljainak elrejtése (ajánlott) opciónál.
4. Kattintson az Alkalmaz gombra.

Windows 8/8.1/10

1. Nyissa meg az Intézőt.
2. Nyissa meg a Nézet menüt, és kattintson a Beállításokra.
3. Válassza a Mappabeállítások és keresési beállítások módosítása opciót.
4. Jelölje be a Rejtett fájlok, mappák és meghajtók megjelenítése opciót.
5. Távolítsa el pipát az Az operációs rendszer védett fájljainak elrejtése (ajánlott) opciónál.

Könyvtárak és fájlok törlése

1. Nyissa meg a Feladatkezelőt (Ctrl+Shift+Esc), menjen a Folyamatok fülre, keresse meg a chrome.exe folyamatot, és zárja be (jobb egérgombbal kattintson a folyamatra, és válassza a Feladat befejezése opciót), ha a figyelmeztető üzenetet nem tudja bezárni.
2. Indítsa el a Futtatás ablakot (Windows + R).
3. Írja be, hogy %AppData%\Chrome Browser a mezőbe, és kattintson az OK gombra.
4. Törölje ezt a könyvtárat.
5. Indítsa el a Futtatást újra, és írja be, hogy %AppData%\Microsoft\Windows\Start Menu\Programs\Startup.
6. Kattintson az OK gombra.
7. Találja meg és távolítsa el a ChromeService.lnk fájlt.