Viren

.locky Datei Virus: Locky Ransomware entfernen und Decrypter

.locky Datei Virus: Locky Ransomware entfernen und Decrypter

In den vergangenen Tagen hat eine neue Art von Ransomware eine Vielzahl von Computern befallen. Obwohl sich ein Großteil der infizierten Computer zurzeit in Deutschland befindet breitet sich die Attacke sehr schnell aus. Zu dieser Zeit ist nicht bekannt welche Gruppe hinter dieser Attacke steckt. Die Betriebsweise des Trojaners ist jedoch eine der soweit schlimmsten digitalen Erpressungen. Persönliche Dateien des Opfers werden hierbei verschlüsselt und die Namen der Dateien in zufällige Zeichen und Zahlen einer Länge von 32 Zeichen verändert, gefolgt von der .locky Dateiendung. Die Dateien werden vom Betriebssystem als LOCKY Dateien erkannt und können mit keiner Anwendung geöffnet werden.

Originale Dateien werden von .locky Dateien ersetzt

Dieser Angriff tritt zusammen mit anderen Symptomen, die sich von den korrupten Dateien unterscheiden auf. Die Ransomware ändert das Hintergrundbild des Opfers in eine Warnmeldung, deren Text aus Dateien mit dem Name _Locky_recover_instructions.txt stammt. Diese Datei kann in jedem Ordner mit nun verschlüsselten Dateien gefunden werden. Es handelt sich hierbei um Zahlungsanweisungen für ein Lösegeld und Informationen darüber, was mit den Dateien geschehen ist und welche Möglichkeiten bei der Wiederherstellung vorhanden sind.

Die Nachricht besagt:

“!!! Wichtige Informationen !!! Alle Dateien würden mit einem RSA-2048 und AES-128 Cipher verschlüsselt. Die Entschlüsselung der Dateien ist nur mit einem privaten Schlüssel und einem Programm, das sich auf unserem geheimen Server befindet, möglich.”

Kurzgesagt bedeutet dies dass die .locky Dateierweiterung eine asymmetrische Verschlüsselung für Dateien verwendet und die Dateinamen mit einer symmetrischen Cipher verschlüsselt.

Inhalte der _Locky_recover_instructions.txt Datei

Als Resultat dieser Verschlüsselung kann das Opfer Bilder, Dokumente und Videos nicht öffnen und nicht feststellen um welche Dateien es sich handelt. Zu diesem Zeitpunkt empfehlen die Erpresser ein „Allheilmittel“, das im Austausch für Geld die Dateien entschlüsseln kann. Der Name des Programms ist Locky Decrypter. Um dieses Tool verwenden zu können muss das Opfer einen Tor Gateway, der in der _Locky_recover_instructions.txt Datei festgelegt wurde, besuchen und 0.5 BTC an eine Bitcoin Adresse auf der Seite senden. Die Verwendung der The Onion Router Technologie und eine Bezahlung mit Crypto Währung sind Schutzmaßnahmen der Kriminellen um anonym zu bleiben und nicht gefasst zu werden. Unglücklicherweise werden viele dieser Personen nicht gefasst und fahren damit fort Viren und Trojaner zu programmieren.

Kauf des Locky Decrypter von den Scammern

Die Verbreitung des .locky Virus beruht auf einen Social Engineering Scherz. Vor der Infektion erhalten viele der Opfer eine E-Mail mit dem Betreff „ATTN: Invoice J-68522931“ (die 8-Ziffern ändern sich hierbei). Diese E-Mails geben an eine Rechnung von General Mills zu sein, dies entspricht jedoch nicht der Wahrheit. Das angehängte Word Dokument führt die Ransomware aus wenn das Opfer die Datei öffnet. Exploit Kits, die oftmals noch gefährlicher sind, sind kein Teil von .locky Kampagne.

Es wird nicht empfohlen das Lösegeld zu bezahlen und das Locky Decrypter Programm zu kaufen. Darauf bestehen die Kriminellen. Dies ist jedoch nicht im Interesse eines infizierten Opfers. Da diese Ransomware die Schattenkopienfunktion nicht immer deaktiviert gibt es eine Möglichkeiten die Sie probieren sollten um Ihre verschlüsselten Daten wiederherzustellen.

Entfernung der *.locky Dateierweiterung mit einem Automatischen Reinigungsprogramm

Hierbei handelt es sich um eine exklusive Methode um Malware im Allgemeinen zu entfernen. Die Verwendung einer guten Sicherheitssuite kann dabei helfen alle Komponente von Viren zu erkennen und diese mit nur einem Mausklick zu entfernen. Sie sollten sich jedoch darüber bewusst sein dass die Entfernung der Infektion nicht zur Wiederherstellung der Daten führt. Dies sind zwei verschiedene Dinge. Die Entfernung der Infektion ist jedoch wichtig, da weiterhin neue Trojaner heruntergeladen und ausgeführt werden können.

1. Laden Sie die .locky Dateivirus Entfernungsanwendung herunter und installieren diese. Nach der Installation klicken Sie den Computer Jetzt Scannen Knopf.

2. Das Tool wird anschließend eine Liste mit erkannten Objekten anzeigen. Klicken Sie auf den Bedrohungen Beheben Kopf um alle gefundenen Dateien zu entfernen. Dies resultiert in einer vollständigen Entfernung des Virus.

Erhalten Sie die verschlüsselten .locky Dateien zurück

Es wurde bereits erwähnt, dass eine starke Verschlüsselung verwendet wurde um die Dateien zu verschlüsseln. Es gibt also keine magische Lösung, die dieses Problem in geringer Zeit löst – Außer das Bezahlen des Lösegeldes. Es gibt jedoch Techniken die bei der Wiederherstellung wichtiger Dateien helfen können – hier erfahren Sie um welche Techniken es sich handelt.

Automatische Datenrettung Anwendungen

Diese Art der Infektion löscht die originale unverschlüsselte Datei. Kopien dieser Datei werden anschließend verschlüsselt. Programm wie Data Recovery Pro können die gelöschten Objekte retten, sollten diese nicht sicher entfernt worden sein. Dieser Versucht hat sich als sehr erfolgreich herausgestellt.

DownloadData Recovery Pro Herunterladen

Schattenkopien

Dieser Vorgang basiert auf eine native Windows Funktion die zusammen mit Wiederherstellungspunkten Datensicherungen von Dateien erstellt. Diese Funktion muss jedoch vor der Infektion eingeschaltet werden. Änderungen, die nach einem Wiederherstellungspunkte, vorgenommen werden sind des Weiteren nicht Teil dieser Datensicherung.

  • Nutzen Sie das Vorherige Dateiversionen-Feature

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Datensicherungen

Unter allen Möglichkeiten die Ihnen zu Verfügung stehen ist diese die beste. Sollten Sie eine Datensicherung Ihrer Dateien auf einem externen Server haben, zu einem Zeitpunkt vor der Infektion der Ransomware, dann können Sie diese Daten mit Leichtigkeit wiederherstellen. Loggen Sie sich auf dem Server ein oder Starten das Programm, das für die Datensicherung verwendet wurde. Anschließend wählen Sie die Dateien und starten den Wiederherstellungsprozess. Stellen Sie vorher jedoch sicher, dass die Ransomware komplett von Ihrem Computer entfernt wurde.

Überprüfen Sie auf Rückstände des .locky Datei Virus

Sollten Sie die manuelle Methode für die Entfernung verwendet haben dann können Fragmente der Ransomware auf Ihrem Computer verbleiben. Um sicherzustellen, dass keine Rückstände auf dem Computer vorhanden sind, ist die Verwendung einer zuverlässigen Malware Security Suite empfohlen.

.locky Datei Virus Entferner herunterladen

Leave a Comment (1) ↓

1 Comment

  1. F. v. Laffert October 27, 2016

    sehr hilfreich

    reply

Leave a Comment