Alvorlighetsgrad:  
  (99/100)

Diablo6 ransomware-virus. Hvordan fjerne? (Avinstallasjonsguide)

av Gabriel E. Hall - - | Type: Ransomware

Diablo6-viruset igangsetter ny malspam-kampanje

Diablo6 ransomware virus

Diablo6-viruset fungerer som den nyeste versjonen av det beryktede ransomware-viruset Locky. Det koder data på offerets datamaskin ved bruk av en kombinasjon av RSA-2048- og AES-128-chiffre og legger til filendelsen .diablo6 til alle filer. Så snart prosessen er fullført, blir dataene uleselige. Til slutt skaper malware-programmet en melding kalt diablo6.htm og erstatter skrivebordsbakgrunnen med bildet diablo6.bmp. Merk at dette ondsinnede crypto-viruset ikke er tilknyttet spillet Diablo, selv om utviklerne ser ut til å være store fans.

Den virtuelle trusselen leveres via e-post i form av et .zip-vedlegg med en VBS-nedlaster. Deretter kobles det til et ondsinnet domene, der det laster ned og kjører ransomware-programmet Locky Diablo6. 

Under krypteringsprosessen, endrer Locky-viruset navnet på alle filer ved å bytte originalnavnet med en rekke tegn. Det nye filnavnet skapes ved bruk av følgende mønster: [8 første tegn i brukerens ID]-[neste 4 ID-tegn]-[neste 4 ID-tegn]-[4 vilkårlige tegn]-[12 vilkårlige tegn].diablo6.

Så snart krypteringen er fullført, viser viruset en melding om løsesum i offerets standardnettleser. Meldingen gir først en forklaring på hva som har skjedd:

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.

Viruset ber offeret om å installere Tor-nettleseren og besøke en oppgitt .onion-nettside for å få tilgang til Locky Decryptor. Prisen på dektypteringsverktøyet til Diablo6 er på 0,5 bitcoin, noe som tilsvarer rundt 25 000 kr.

For øyeblikket finnes det ingen måte for å dekryptere filene som dette skadelige viruset har kryptert. Trusselen er veldig lik Cerber, men dette betyr ikke at du trenger å betale løsesummen. Du er ikke garantert å kunne gjenopprette dataene dine selv om du betaler. Sannsynligheten for å bli svindlet er høy, og ved å imøtekomme svindlernes krav motiveres de dessuten til å skape enda mer malware.

Hvis filene dine ble ødelagte av den nyeste Locky-varianten, kan du fjerne Diablo 6 ved å bruke Reimage eller Plumbytes Anti-MalwareNorton Internet Security. Datamaskinen din må være i sikkerhetsmodus med nettverk for å kunne fullføre fjerningen.

Etter å ha fullført fjerning av Diablo6, kan du bruke sikkerhetskopier for å gjenopprette skadede filer. Mange brukere har ikke sikkerhetskopier, og hvis du er en av dem, kan det være umulig å gjenopprette filene. Tenk over hvorvidt det finnes intakte datakopier (USB, CD-er, e-poster eller andre steder) og overfør dem til datamaskinen etter at du har slettet viruset. Du finner alternative alternativer for datagjenoppretting nedenfor denne artikkelen.

Ransomware-trusselen bytter når til .docm-filer  

Locky Diablo6-varianten distribueres via en malspam-kampanje som leverer e-poster med emnet E [dato] (vilkårlige tall).docx. Den malware-infiserte e-posten inneholder et vedlegg kalt E [dato] (vilkårlige tall).zip. Meldingsteksten gir ingen forklaring, og inneholder kun tre ord:


Files attached. Thanks

ZIP-filen inneholder et VBS-skript som bruker offerets internettforbindelse til å laste ned malware fra et eksternt domene. Skriptet kan inkludere flere domener i tilfelle et av dem ikke responderer. Skriptet er designet for å laste ned Diablo6 ransomware til %TEMP%-mappen og kjøre det umiddelbart. Merk at rapportdatoene kan være gamle. Dette indikerer at Locky-svindlerne har jobbet hardt med en ny kampanje.

Gjeldende analyse avslører at trusselen nå går tilbake til den gamle vanen med å fiske etter brukere via .docm-filer. Diablo fungerer akkurat som forgjengeren, som prøvde å overbevise intetanende brukere om å åpne den infiserte .doc-filen og aktivere makroer. I dette tilfellet brukes imidlertid en .docm-fil som åte. Denne gangen finnes det ingen melding bortsett fra emnet i e-posten som inneholder .docm-filen.

Den infiserte .docm-filen er skjult i IMG_[4 digits].pdf. Hvis du aktiverer makroer i filen vil du raskt oppleve hvor alvorlig denne malware-trusselen virkelig er.

Svindlerne har prøvd å forbedre malware-distribusjonen, og det hele ser nå mer sofistikert ut. På tross av hvor troverdig en slik e-post ser ut, bør du ikke la nysgjerrigheten vinne. Ikke åpne vedlegg mottatt fra ukjente avsendere.

Hvis en av vennene dine blir infisert av en dataorm, kan dessuten han eller hun sende en infisert lenke uten å være klar over det. I slike tilfeller bør du kontakte vedkommende direkte. Hvis du skanner filen, bør du være oppmerksom på at malware-svindlere benytter ulike teknikker for å forhindre at antivirus-programmer oppdager infeksjonene. 

For å beskytte deg mot Locky Diablo, kan du følge disse tipsene:

  • Aldri åpne e-postvedlegg som ble sendt av noen du ikke kjenner. Hvis e-posten ser vag eller tvilsom ut, bør du aldri klikke på lenker eller vedlagte filer;
  • Sikre datasystemet ditt med et antimalware-program. Sørg for at dette alltid er aktivt;
  • Bruk litt tid på å lage sikkerhetskopier av data. Dette er det eneste effektive verktøyet som hjelper deg med å gjenopprette infiserte filer etter et ransomware-angrep;
  • Aktiver automatiske programvareoppdateringer slik at du alltid har de nyeste og sikreste programvareversjonene på PC-en din.

Ifølge ekspertene traff den første ransomware-bølgen Tyskland og USA. Hvis du er en tyskspråklig PC-bruker bør du vurdere å besøke DieViren.de for å få hjelp.

Eliminer Locky Diablo6-viruset

For å sikre datamaskinen din må du fjerne Diablo6 ved hjelp av et profesjonelt verktøy. La oss minne deg om at dette er et av de mest destruktive ransomware-programmene på markedet. Det overgås kanskje av en annen ransomware-trussel; Cerber.

Det endrer kontinuerlig angrepsvektorene sine og sin egen struktur, så du bør delegere fjerning av Diablo6 til et profesjonelt antimalware-program som er utviklet av malware-analytikere. Ikke glem at du må oppdatere sikkerhetsprogrammet til den nyeste versjonen for å kunne eliminere ransomware-trusselen. Etter å ha fjernet viruset, kan du begynne å teste tilgjengelige teknikker for dekryptering av data.

Vi samarbeider med utviklerne av noen av produktene som nevnes på nettsiden vår. Les mer om dette i Bruksavtalen. Ved å laste ned noen av antispyware-programmene for å slette Diablo6 ransomware-virus godtar du vårt personvern og vår bruksavtale.
Gjør det nå!
Last ned
Reimage (fjerner) Fornøyd-
garanti
Last ned
Reimage (fjerner) Fornøyd-
garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Hva gjør jeg hvis det mislykkes?
Hvis du ikke klarer å fjerne infeksjonen ved bruk av Reimage, bes du om å sende inn et spørsmål til kundestøtte med så mange detaljer som mulig.
Reimage er anbefalt for avinstallering av Diablo6 ransomware-virus. Gratisskanneren lar deg sjekke om PC-en din er infisert eller ikke. Dersom du trenger å fjerne malware må du kjøpe den lisensierte versjonen av verktøyet Reimage.
Mer informasjon om dette programmet finnes i anmeldelsen av Reimage.
Presseomtaler om Reimage
Alternativ programvare
Malwarebytes
Vi har testet effektiviteten til Malwarebytes ved sletting av Diablo6 ransomware-virus-annonser (2017-10-30)
Malwarebytes
Vi har testet effektiviteten til Malwarebytes ved sletting av Diablo6 ransomware-virus-annonser (2017-10-30)

Manuell Diablo6 fjerningsguide for virus:

Fjern Diablo6 ved hjelp av Safe Mode with Networking

Steg for å fjerne Diablo6 ransomware-virus:

  • Start datamaskinen på nytt i sikkerhetsmodus med nettverk;
  • Last ned eller oppdater antimalware-programmet ditt;
  • Kjør et komplett systemskann for å finne ondsinnede filer og eliminer dem.

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Safe Mode with Networking fra listen Velg 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Networking i Startup Settings-vinduet. Velg 'Enable Safe Mode with Networking'
  • Steg 2: Fjerne Diablo6

    Logg inn på den infiserte kontoen og start nettleseren. Last ned Reimage eller et annet legitimt antispionvare-program. Oppdater det før du kjører et fullstendig systemskann og fjerner ondsinnede filer som tilhører ransomware-programmet og fullfør fjerning av Diablo6.

Dersom ransomware-programmet blokkerer Safe Mode with Networking, kan du prøve følgende metode.

Fjern Diablo6 ved hjelp av System Restore

Hvis metode 1 ikke hjelper deg med å fjerne ransomware-trusselen kan du prøve et annet alternativ.

  • Steg 1: Start datamaskinen på nytt i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klikk Start Shutdown Restart OK.
    2. Når datamaskinen blir aktiv, trykker du F8 gjentatte ganger helt til du ser Advanced Boot Options-vinduet.
    3. Velg Command Prompt fra listen Velg 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Trykk Power-knappen i Windows innloggingsskjermen. Trykk og hold nede Shift, som er på tastaturet, og klikk Restart..
    2. Velg deretter Troubleshoot Advanced options Startup Settings og trykk Restart.
    3. Så snart datamaskinen din blir aktiv, velger du Enable Safe Mode with Command Prompt i Startup Settings-vinduet. Velg 'Enable Safe Mode with Command Prompt'
  • Steg 2: Gjenopprett systemfilene og innstillingene
    1. Så snart Command Prompt-vinduet dukker opp, angir du cd restore og klikker Enter. Skriv inn 'cd restore' uten hermetegn og trykk 'Enter'
    2. Skriv inn rstrui.exe og trykk Enter igjen.. Skriv inn 'rstrui.exe' uten hermetegn og trykk 'Enter'
    3. Når et nytt vindu dukker opp, klikker du Next og velger et gjennopprettingspunkt før infiltreringen av Diablo6. Etter å ha gjort dette, klikker du på Next. Når 'System Restore'-vinduet dukker opp, velger du 'Next' Velg gjenopprettingspunktet ditt og klikk 'Next'
    4. Klikk Yes for å starte systemgjenoppretting. Klikk 'Yes' og start systemgjenoppretting
    Så snart du gjenoppretter systemet til en tidligere dato, bør du laste ned og skanne datamaskinen med Reimage og sørge for at fjerning av Diablo6 er fullført.

Bonus: Gjenopprett dataene dine

Veiledningen som presenteres ovenfor er ment å hjelpe deg med å fjerne Diablo6 fra datamaskinen din. For å gjenopprette de krypterte filene anbefaler vi at du bruker en detaljert veiledning laget av sikkerhetsekspertene hos viruset.no.

Det er for øyeblikket umulig å bruke tredjepartsverktøy for å gjenopprette filer som er kryptert av Locky. Den eneste løsningen på problemet er sikkerhetskopier. Du kan likevel prøve å gjenopprette noen av filene ved å bruke følgende metoder for datagjenoppretting.

Hvis filene dine krypteres av Diablo6 kan du bruke flere ulike metoder for å gjenopprette dem:

Første metode: Bruk Data Recovery Pro

Du kan bruke Data Recovery Pro for å prøve å gjenopprette noen .diablo6-filer. Verktøyet klarer kanskje ikke å gjenopprette alle filene dine, noe du bør være forberedt på.

  • Last ned Data Recovery Pro (http://viruset.no/download/data-recovery-pro-setup.exe);
  • Følg stegene i installasjonsveiledningen til Data Recovery og installer programmet på datamaskinen din;
  • Kjør programmet og skann datamaskinen din etter filer kryptert av Diablo6 ransomware;
  • Gjenopprett dem.

Andre metode: Prøv å gjenopprett filer ved bruk av tidligere systemversjoner

Denne metoden fungerer kun hvis du har aktivert systemgjenoppretting før infeksjonen. For å gjenopprette enkeltfiler kan du bruke følgende instruksjoner.

  • Finn en kryptert fil du vil gjenopprette og høyreklikk på den;
  • Velg “Properties” og gå til fanen “Previous versions”;
  • Her sjekker du alle tilgjengelige kopier av filen i “Folder versions”. Velg versjonen du ønsker å gjenopprette og klikk på “Restore”.

Tredje metode: Prøv ShadowExplorer

ShadowExplorer er et verktøy som kan oppdage skyggekopier og bruke disse til datagjenoppretting. Hvis viruset ikke har slettet skyggekopiene, kan du bruke disse til å gjenopprette filene dine.

  • Last ned Shadow Explorer (http://shadowexplorer.com/);
  • Følg installasjonsveiledningen til Shadow Explorer og installer programmet på datamaskinen din;
  • Kjør programmet og gå til nedtrekksmenyen i øvre venstre hjørne for å velge disken som inneholder de krypterte filene. Sjekk hvilke mapper det er;
  • Høyreklikk på mappen du ønsker å gjenopprette og velg “Export”. Du kan også velge hvor du ønsker å lagre filene.

Locky Decryptor

Vi anbefaler ikke at du kjøper Locky Decrpytor fordi dette er et verktøy utviklet av nettkriminelle. Det kan inneholde sporende verktøy, trojanere eller andre typer malware. I tillegg er det ikke sikkert at det gjenoppretter filene dine. Selv om et offisielt dekrypteringsverktøy enda ikke er utviklet av malware-eksperter, anbefaler vi ikke at du betaler løsesummen til svindlerne.

Om forfatteren

Gabriel E. Hall
Gabriel E. Hall - Lidenskapelig virusforsker

Dersom denne kostnadsfrie fjerningsveiledningen har hjulpet deg og du er fornøyd med vår tjeneste, ber vi deg om å vurdere å foreta en donasjon for å holde tjenesten ved like. Selv det minste beløp blir satt pris på.

Kontakt Gabriel E. Hall
Om selskapet Esolutions

Kilde: https://www.2-spyware.com/remove-diablo6-ransomware-virus.html

Veiledning for sletting på andre språk