Hvad er *HELP_HELP_HELP*.hta? Bør jeg fjerne den?
Hvad er meningen med *HELP_HELP_HELP*.hta filen?
*HELP_HELP_HELP*.hta filen er et løsesumsnotat, som de seneste Cerber ransomware versioner efterlader på de inficerede systemer. Den virus krypterer alle filer på systemet, sletter Volume Shadow Kopier, og gemmer derefter disse filer på skrivebordet, for at give offeret oplysninger om infektionen. Navnet på dette løsesumsnotat varierer, fordi virussen tildeler et tilfældigt sæt tegn til alle ofre, og som et resultat heraf, får ofrene løsesumsnoter, der har sådanne navne: _HELP_HELP_HELP_[tilfældige tegn].hta. Filtypen – HTA – står for HTML Application, hvilket betyder, at sådanne filer typisk åbnes via Internet Explorer. De er hovedsageligt kodet via VBScript eller JScript. Hvis du åbner en sådan fil, opfører den sig som en eksekverbar fil. Efter åbning af HELP_HELP_HELP.hta filen startes et program, som kaldes CERBER RANSOMWARE: Instructions. Programmet giver offeret en typisk Cerber virus intro:
Cannot you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by “Cerber Ransomware”.
Beskeden går derefter videre og forklarer, at filerne er blevet krypteret med ransomware, og at det eneste værktøj, der nu kan gendanne disse filer, opbevares på de cyberkriminelles servere. Lovovertræderne siger, at skaden er reversibel, men for at inddrive de krypterede data, skal offeret købe en “særlig dekrypteringssoftware” kaldet Cerber Decryptor. Prisen på decryptoren varierer afhængigt af virus-versionen, men de cyberkriminelle kræver typisk 1 eller flere Bitcoins. Disse Bitcoins skal overføres til en forudbestemt Bitcoin tegnebog – det er den eneste måde at sende penge til forbrydere, eftersom Bitcoin betalingssystemet sikrer anonymitet.
Ved infiltration ændrer Cerber malware også skrivebordets baggrund med et _HELP_HELP_HELP_[tilfældige tegn] .jpg billede, som er en kortere version af løsesumsnoten. Det forklarer, at offerets filer er blevet krypteret, og at mere information kan findes i *HELP_HELP_HELP*.hta filen. Vi skal understrege, at denne version af virussen ikke længere giver virussens versionsnummer på skrivebordet. Den tilhører Red Cerber kategorien, da teksten er markeret med rødt, og ikke lysegrønt. Resten af meddelelsen oplyser, at offeret skal installere Tor Browseren for at åbne “en personlig side”, som kan tilgås via et angivet .onion link.
Hvordan undgår du, at *HELP_HELP_HELP*.hta vises på din PC?
Hvis du ikke ønsker at komme i nærheden af *HELP_HELP_HELP*.hta filen på dit computer system en dag, skal du foretage nogle handlinger på forhånd, for at beskytte dit system mod ransomwarevirus. I modsætning til simple ransomwarevirusser, benytter Cerber ikke spammail som den eneste fordelingsmetode. Det er en meget sofistikeret virus, der spredes via kompromitterede annoncenetværk, hjemmesider, og beskæftiger sig med farlige exploit kits til sin distribution. Men de nyeste Cerber spammail kampagner leverer smitsomme .zip arkiver med Word-filer i dem. Dokumentet indeholder et skadeligt script, der er indstillet til at downloade og køre ransomware, så snart offeret aktiverer Makroer. Det mest pålidelige værktøj, der kan beskytte dig mod Cerber angreb, er en up-to-date anti-malware-software. Glem ikke at opdatere den nu og da, for at hente de nødvendige virusdefinitioner og udvide dens database. Hvis din computer bliver inficeret med ransomware, vil du miste alle dine filer. Derfor er backups ekstremt vigtigt, så opret dem hver gang der er gået et stykke tid og hold dem væk fra din pc.
Hvordan fjernes *HELP_HELP_HELP*.hta fra en kompromitteret pc?
Selvom du bare kan fjerne *HELP_HELP_HELP*.hta filen fra systemet, betyder det ikke, at dette er nok. Denne fil er tydeligvis blevet skabt af en farlig virus, så du skal fjerne den. Du kan fjerne denne virus og sikre, at *HELP_HELP_HELP*.hta fjernes, ved at køre en systemscanning med anti-malware-software, såsom FortectIntego.