Diablo6 ransomware-virus. Hvordan fjerne? (Avinstallasjonsguide)
Diablo6-viruset igangsetter ny malspam-kampanje
Diablo6-viruset fungerer som den nyeste versjonen av det beryktede ransomware-viruset Locky. Det koder data på offerets datamaskin ved bruk av en kombinasjon av RSA-2048- og AES-128-chiffre og legger til filendelsen .diablo6 til alle filer. Så snart prosessen er fullført, blir dataene uleselige. Til slutt skaper malware-programmet en melding kalt diablo6.htm og erstatter skrivebordsbakgrunnen med bildet diablo6.bmp. Merk at dette ondsinnede crypto-viruset ikke er tilknyttet spillet Diablo, selv om utviklerne ser ut til å være store fans.
Den virtuelle trusselen leveres via e-post i form av et .zip-vedlegg med en VBS-nedlaster. Deretter kobles det til et ondsinnet domene, der det laster ned og kjører ransomware-programmet Locky Diablo6.
Under krypteringsprosessen, endrer Locky-viruset navnet på alle filer ved å bytte originalnavnet med en rekke tegn. Det nye filnavnet skapes ved bruk av følgende mønster: [8 første tegn i brukerens ID]-[neste 4 ID-tegn]-[neste 4 ID-tegn]-[4 vilkårlige tegn]-[12 vilkårlige tegn].diablo6.
Så snart krypteringen er fullført, viser viruset en melding om løsesum i offerets standardnettleser. Meldingen gir først en forklaring på hva som har skjedd:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
Viruset ber offeret om å installere Tor-nettleseren og besøke en oppgitt .onion-nettside for å få tilgang til Locky Decryptor. Prisen på dektypteringsverktøyet til Diablo6 er på 0,5 bitcoin, noe som tilsvarer rundt 25 000 kr.
For øyeblikket finnes det ingen måte for å dekryptere filene som dette skadelige viruset har kryptert. Trusselen er veldig lik Cerber, men dette betyr ikke at du trenger å betale løsesummen. Du er ikke garantert å kunne gjenopprette dataene dine selv om du betaler. Sannsynligheten for å bli svindlet er høy, og ved å imøtekomme svindlernes krav motiveres de dessuten til å skape enda mer malware.
Hvis filene dine ble ødelagte av den nyeste Locky-varianten, kan du fjerne Diablo 6 ved å bruke Reimage eller Malwarebytes Anti Malware. Datamaskinen din må være i sikkerhetsmodus med nettverk for å kunne fullføre fjerningen.
Etter å ha fullført fjerning av Diablo6, kan du bruke sikkerhetskopier for å gjenopprette skadede filer. Mange brukere har ikke sikkerhetskopier, og hvis du er en av dem, kan det være umulig å gjenopprette filene. Tenk over hvorvidt det finnes intakte datakopier (USB, CD-er, e-poster eller andre steder) og overfør dem til datamaskinen etter at du har slettet viruset. Du finner alternative alternativer for datagjenoppretting nedenfor denne artikkelen.
Velg 'Safe Mode with Networking'
Velg 'Enable Safe Mode with Networking'
Velg 'Safe Mode with Command Prompt'
Velg 'Enable Safe Mode with Command Prompt'
Skriv inn 'cd restore' uten hermetegn og trykk 'Enter'
Skriv inn 'rstrui.exe' uten hermetegn og trykk 'Enter'
Når 'System Restore'-vinduet dukker opp, velger du 'Next'
Velg gjenopprettingspunktet ditt og klikk 'Next'
Klikk 'Yes' og start systemgjenoppretting
Ransomware-trusselen bytter når til .docm-filer
Locky Diablo6-varianten distribueres via en malspam-kampanje som leverer e-poster med emnet E [dato] (vilkårlige tall).docx. Den malware-infiserte e-posten inneholder et vedlegg kalt E [dato] (vilkårlige tall).zip. Meldingsteksten gir ingen forklaring, og inneholder kun tre ord:
—
Files attached. Thanks
ZIP-filen inneholder et VBS-skript som bruker offerets internettforbindelse til å laste ned malware fra et eksternt domene. Skriptet kan inkludere flere domener i tilfelle et av dem ikke responderer. Skriptet er designet for å laste ned Diablo6 ransomware til %TEMP%-mappen og kjøre det umiddelbart. Merk at rapportdatoene kan være gamle. Dette indikerer at Locky-svindlerne har jobbet hardt med en ny kampanje.
Gjeldende analyse avslører at trusselen nå går tilbake til den gamle vanen med å fiske etter brukere via .docm-filer. Diablo fungerer akkurat som forgjengeren, som prøvde å overbevise intetanende brukere om å åpne den infiserte .doc-filen og aktivere makroer. I dette tilfellet brukes imidlertid en .docm-fil som åte. Denne gangen finnes det ingen melding bortsett fra emnet i e-posten som inneholder .docm-filen.
Den infiserte .docm-filen er skjult i IMG_[4 digits].pdf. Hvis du aktiverer makroer i filen vil du raskt oppleve hvor alvorlig denne malware-trusselen virkelig er.
Svindlerne har prøvd å forbedre malware-distribusjonen, og det hele ser nå mer sofistikert ut. På tross av hvor troverdig en slik e-post ser ut, bør du ikke la nysgjerrigheten vinne. Ikke åpne vedlegg mottatt fra ukjente avsendere.
Hvis en av vennene dine blir infisert av en dataorm, kan dessuten han eller hun sende en infisert lenke uten å være klar over det. I slike tilfeller bør du kontakte vedkommende direkte. Hvis du skanner filen, bør du være oppmerksom på at malware-svindlere benytter ulike teknikker for å forhindre at antivirus-programmer oppdager infeksjonene.
For å beskytte deg mot Locky Diablo, kan du følge disse tipsene:
- Aldri åpne e-postvedlegg som ble sendt av noen du ikke kjenner. Hvis e-posten ser vag eller tvilsom ut, bør du aldri klikke på lenker eller vedlagte filer;
- Sikre datasystemet ditt med et antimalware-program. Sørg for at dette alltid er aktivt;
- Bruk litt tid på å lage sikkerhetskopier av data. Dette er det eneste effektive verktøyet som hjelper deg med å gjenopprette infiserte filer etter et ransomware-angrep;
- Aktiver automatiske programvareoppdateringer slik at du alltid har de nyeste og sikreste programvareversjonene på PC-en din.
Ifølge ekspertene traff den første ransomware-bølgen Tyskland og USA. Hvis du er en tyskspråklig PC-bruker bør du vurdere å besøke DieViren.de for å få hjelp.
Eliminer Locky Diablo6-viruset
For å sikre datamaskinen din må du fjerne Diablo6 ved hjelp av et profesjonelt verktøy. La oss minne deg om at dette er et av de mest destruktive ransomware-programmene på markedet. Det overgås kanskje av en annen ransomware-trussel; Cerber.
Det endrer kontinuerlig angrepsvektorene sine og sin egen struktur, så du bør delegere fjerning av Diablo6 til et profesjonelt antimalware-program som er utviklet av malware-analytikere. Ikke glem at du må oppdatere sikkerhetsprogrammet til den nyeste versjonen for å kunne eliminere ransomware-trusselen. Etter å ha fjernet viruset, kan du begynne å teste tilgjengelige teknikker for dekryptering av data.
Manuell Diablo6 fjerningsguide for virus:
Fjern Diablo6 ved hjelp av Safe Mode with Networking
Steg for å fjerne Diablo6 ransomware-virus:
- Start datamaskinen på nytt i sikkerhetsmodus med nettverk;
- Last ned eller oppdater antimalware-programmet ditt;
- Kjør et komplett systemskann for å finne ondsinnede filer og eliminer dem.
-
Steg 1: Start datamaskinen på nytt i Safe Mode with Networking
Windows 7 / Vista / XP- Klikk Start → Shutdown → Restart → OK.
- Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
-
Velg Safe Mode with Networking fra listen
Windows 10 / Windows 8- Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
- Velg deretter Troubleshoot → Advanced options → Startup Settings og trykk Restart.
-
Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Networking i Startup Settings-vinduet.
-
Steg 2: Fjerne Diablo6
Logg inn på den infiserte kontoen og start nettleseren. Last ned Reimage eller et annet legitimt antispionvare-program. Oppdater det før du kjører et fullstendig systemskann og fjerner ondsinnede filer som tilhører ransomware-programmet og fullfør fjerning av Diablo6.
Dersom ransomware-programmet blokkerer Safe Mode with Networking, kan du prøve følgende metode.
Fjern Diablo6 ved hjelp av System Restore
Hvis metode 1 ikke hjelper deg med å fjerne ransomware-trusselen kan du prøve et annet alternativ.
-
Steg 1: Start datamaskinen på nytt i Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikk Start → Shutdown → Restart → OK.
- Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
-
Velg Command Prompt fra listen
Windows 10 / Windows 8- Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
- Velg deretter Troubleshoot → Advanced options → Startup Settings og trykk Restart.
-
Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Command Prompt i Startup Settings-vinduet.
-
Steg 2: Gjenopprett systemfilene og innstillingene
-
Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter.
-
Skriv inn rstrui.exe og trykk Enter igjen..
-
Når et nytt vindu dukker opp, klikker du Next og velger et gjennopprettingspunkt før infiltreringen av Diablo6. Etter å ha gjort dette, klikker du på Next.
-
Klikk Yes for å starte systemgjenoppretting.
-
Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter.
Bonus: Gjenopprett dataene dine
Veiledningen som presenteres ovenfor er ment å hjelpe deg med å fjerne Diablo6 fra datamaskinen din. For å gjenopprette de krypterte filene anbefaler vi at du bruker en detaljert veiledning laget av sikkerhetsekspertene hos viruset.no.Det er for øyeblikket umulig å bruke tredjepartsverktøy for å gjenopprette filer som er kryptert av Locky. Den eneste løsningen på problemet er sikkerhetskopier. Du kan likevel prøve å gjenopprette noen av filene ved å bruke følgende metoder for datagjenoppretting.
Hvis filene dine krypteres av Diablo6 kan du bruke flere ulike metoder for å gjenopprette dem:
Første metode: Bruk Data Recovery Pro
Du kan bruke Data Recovery Pro for å prøve å gjenopprette noen .diablo6-filer. Verktøyet klarer kanskje ikke å gjenopprette alle filene dine, noe du bør være forberedt på.
- Last ned Data Recovery Pro (http://viruset.no/download/data-recovery-pro-setup.exe);
- Følg stegene i installasjonsveiledningen til Data Recovery og installer programmet på datamaskinen din;
- Kjør programmet og skann datamaskinen din etter filer kryptert av Diablo6 ransomware;
- Gjenopprett dem.
Andre metode: Prøv å gjenopprett filer ved bruk av tidligere systemversjoner
Denne metoden fungerer kun hvis du har aktivert systemgjenoppretting før infeksjonen. For å gjenopprette enkeltfiler kan du bruke følgende instruksjoner.
- Finn en kryptert fil du vil gjenopprette og høyreklikk på den;
- Velg “Properties” og gå til fanen “Previous versions”;
- Her sjekker du alle tilgjengelige kopier av filen i “Folder versions”. Velg versjonen du ønsker å gjenopprette og klikk på “Restore”.
Tredje metode: Prøv ShadowExplorer
ShadowExplorer er et verktøy som kan oppdage skyggekopier og bruke disse til datagjenoppretting. Hvis viruset ikke har slettet skyggekopiene, kan du bruke disse til å gjenopprette filene dine.
- Last ned Shadow Explorer (http://shadowexplorer.com/);
- Følg installasjonsveiledningen til Shadow Explorer og installer programmet på datamaskinen din;
- Kjør programmet og gå til nedtrekksmenyen i øvre venstre hjørne for å velge disken som inneholder de krypterte filene. Sjekk hvilke mapper det er;
- Høyreklikk på mappen du ønsker å gjenopprette og velg “Export”. Du kan også velge hvor du ønsker å lagre filene.
Locky Decryptor
Vi anbefaler ikke at du kjøper Locky Decrpytor fordi dette er et verktøy utviklet av nettkriminelle. Det kan inneholde sporende verktøy, trojanere eller andre typer malware. I tillegg er det ikke sikkert at det gjenoppretter filene dine. Selv om et offisielt dekrypteringsverktøy enda ikke er utviklet av malware-eksperter, anbefaler vi ikke at du betaler løsesummen til svindlerne.
Til slutt bør du alltid tenke på beskyttelse mot crypto-ransomware. For å beskytte datamaskinen din mot Diablo6 og annet ransomware bør du benytte en vel ansett anti-spionvare, som Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus eller Malwarebytes Anti Malware.
Om forfatteren
Dersom denne kostnadsfrie fjerningsveiledningen har hjulpet deg og du er fornøyd med vår tjeneste, ber vi deg om å vurdere å foreta en donasjon for å holde tjenesten ved like. Selv det minste beløp blir satt pris på.