Viren

Mischa Ransomware: entschlüsseln von Dateien und Virus entfernen

Mischa Ransomware: entschlüsseln von Dateien und Virus entfernen

Die Autoren der ehemalig weitverbreiteten Petya Ransomware haben nun ein neues Erpressungstool mit einem weiteren russischen Namen veröffentlicht – Mischa. Obwohl diese zwei Varianten die gleiche Familie vertreten und einige ähnliche Verhaltensmuster aufweisen ist die neueste Variante eine deutliche Weiterentwicklung der Vorgänger. Die Mischa Ransomware ist ein „klassisches“ Beispiel basierend auf die Tatsache dass es die persönlichen Dateien des Benutzers verschlüsselt anstatt die Master File Table zu beschädigen. Dieser etwas mildere Effekt erlaubt es dem Opfer weiterhin das Betriebssystem zu starten. Dies macht diesen Trojaner jedoch nicht weniger gefährlich. Er verwendet kryptografische Algorithmen die ein Bruteforcing bei der Wiederherstellung verhindern und Daten somit, bis das Opfer das Lösegeld bezahlt, nutzlos macht.

Mischa Ransomware Zahlungsseite

Nachdem die Malware die Daten des Benutzers verschlüsselt hat wird die Dateiendung geändert. Beispiele für die neue Dateiendung sind .9RWE, .aRpt, .7P7m, .eQTz, .cRh8 und .3RNu. Eine Gemeinsamkeit hier sind vier Zeichen mit Ziffern und sowohl Klein- als auch Großbuchstaben. Eine Datei die ursprünglich den Dateinamen „To-Do Liste.doc“ getragen hat, heißt nun zum Beispiel „To-Do Liste.cRh8“ und kann nicht weiter geöffnet werden.

Der Mischa Virus platziert des Weiteren zwei Dateien auf dem Desktop eines jeden infizierten Systems. Diese sind „Your_Files_Are_Encrypted.html“ und „Your_Files_Are_Encrypted.txt“. Die Warnung im Innern dieser Dateien liest: „Sie sind das Opfer der MISCHA RANSOMWARE! Die Dateien auf Ihrem Computer wurden mit einem hochsicheren Algorithmus verschlüsselt. Ohne einen besonderen Schlüssel besteht keine Chance diese Daten wiederherzustellen. Sie können diesen Schlüssel auf der Darknet Seite (wie in Schritt 2 beschrieben) erstehen.“ Schritt 2 erklärt dem Benutzer wie eine der zwei verfügbaren Seiten per Tor Browser, die erste mischapuk6hym72.onion/[6 Zeichen und Ziffern] oder mischa5xyix2mrhd.onion[6 Zeichen und Ziffern], zu besuchen. Auf dem Tor Gateway wird das Opfer dazu aufgefordert einen persönlichen Code für die Entschlüsselung einzugeben und eine Gebühr von ca. 1 BTC zu bezahlen. Dies entspricht ca. 400-500 USD.

Bösartige ausführbare Datei in der Cloud

Die Betreiber der Mischa Ransomware halten sich an Social Engineering um den Trojaner zu verbreiten. Opfer erhalten hierbei eine E-Mail die sich als Bewerbung tarnt. Zum jetzigen Zeitpunkt werden hauptsächlich Personen in Deutschland angegriffen. Die Nachricht mit dem Betreff „Bewerbung Zivildienst“ drängt den Benutzer dazu auf einen Link zu einer Seite auf Magentacloud.de zu klicken. Dies ist ein beliebter deutscher Cloud-Anbieter. Die Seite enthält zwei Dateien: Bewerbungsfoto.jpg, ein Fake-Bewerbungsfoto des Bewerbers; und PDFBewerbungsmappe.exe. Die Kriminellen hoffen auf diese Art und Weise dass das Opfer somit den bösartigen Prozess ausführt, der anschließend die Ransomware auf dem Computer des Opfers startet.

Zum Zeitpunkt der Verfassung dieses Artikels gibt keine automatische Entschlüsselung Lösung für die Mischa Ransomware. Opfer dieser Ransomware sollten jedoch einige Möglichkeiten mit Hilfe von Schattenkopien, eine Windowseigene Funktion, versuchen oder eine Datenwiederherstellungsanwendung verwenden. Ein Bezahlen des Lösegeldes unterstützt die Kriminellen. Testen Sie vorher also alle anderen Lösungen bevor Sie bezahlen.

Entfernung der Mischa Ransomware mit einem Automatischen Programm

Dies ist eine sehr gute Möglichkeit um die Malware und andere Bedrohungen zu entfernen. Die Verwendung einer namhaften Sicherheitsanwendung stellt die Erkennung und die Entfernung von Malware mit nur wenigen Mausklicks sicher. Diese Methode stellt jedoch die Dateien nicht wieder her, dies sind zwei verschiedene Dinge. Sie müssen den Schädling jedoch entfernen, da dieser andere Malwareprogramme nachladen kann.

1. Laden Sie die Mischa Ransomware Entfernungsanwendung herunter. Starten Sie die Anwendung und klicken anschließend auf Computer Jetzt Scannen.

2. Das Tool wird die Ergebnisse anzeigen und erkannte Malware berichten. Wählen Sie die Bedrohungen Beheben Option um gefundene Infektionen zu entfernen. Dies führt zu einer kompletten Entfernung der Viren.

Erhalten Sie die verschlüsselten Dateien zurück

Es wurde bereits erwähnt, dass Mischa Ransomware eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.

Programme zur automatischen Dateiwiederherstellung

Es ist interessant zu wissen, dass Mischa Ransomware die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Data Recovery Pro die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.

DownloadData Recovery Pro Herunterladen

Schattenkopien

Dieser Vorgang nutzt native in Windows vorhandene Backup Dateien auf Ihrem Computer, die zusammen mit einem Wiederherstellungspunkt erzeugt werden. Eines ist hierbei jedoch wichtig: Diese Funktion muss vor der Infektion mit dem Virus aktiviert werden. Änderungen nachdem der Wiederherstellungspunkt erzeugt wurde sind des Weiteren nicht Teil dieser Lösung.

  • Nutzen Sie das Vorherige Dateiversionen-Feature

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Datensicherungen

Aus allen Optionen, die Ihnen für die Wiederherstellung Ihrer Dateien zu Verfügung stehen, ist diese die optimalste. Sollten Sie eine Datensicherung Ihres Computers angefertigt haben, dann können Sie das hierfür verwendete Programm verwenden um die Datensicherung auf Ihrem Computer wiederherzustellen. Bevor Sie dies tun stellen Sie jedoch bitte sicher, dass die Ransomware komplett von Ihrem Computer entfernt wurde.

Überprüfen Sie Ihren Computer auf Rückstände der Mischa Ransomware Infektion

Sollten Sie sich an einen manuellen Vorgang bei der Entfernung halten können einige Dateien der Ransomware auf Ihrem Computer verbleiben. Diese können sich im Betriebssystem oder der Registrierung verbergen. Um sicherzustellen, dass keine Komponente der Mischa Ransomware auf Ihrem System verbleiben empfehlen wir einen Scan mit einer Sicherheitsanwendung.

Mischa Ransomware Entferner herunterladen

Leave a Comment (0) ↓

Leave a Comment