Viren

“Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt”: Ransomware entschlüsseln

“Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt”: Ransomware entschlüsseln

Unter einem Schwarm von Eigenschaften, die jedes Beispiel der Ransomware, die Daten-verschlüsselt, sind die Struktur und der Text von Warnmeldungen wie Fingerabdrücke. Einige dieser Infektionen versuchen, Menschen durch offensichtliche Fehlinformationen und Übertreibung einzuschüchtern, zum Beispiel, dass die Dateien mit einem stärkeren Kryptosystem gesperrt sind, als es tatsächlich der Fall ist. Im Fall des Locky-Lösegeld-Trojaners und seiner Version ZZZZZ, stellt die Warnung den tatsächlichen Zustand der Dinge genau dar.

Wenn ein Windows-Anwender seinen Desktop-Hintergrund durch eine Warnung ersetzt bekommt, die aussagt, dass Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt worden sind, ist diese Aussage leider richtig. Die eine unzweifelhafte Sache, die diese widrigen Umstände anzeigt, ist ein Angriff von einem Stück Ransomware, genannt Locky, oder seine neu veröffentlichte Ausgabe, die als .zzzzz bekannt ist. Die Folgen eines solchen Einbruchs sind folgende: Sämtliche persönlichen Dateien werden verschlüsselt und die entsprechenden Dateinamen werden ebenfalls verschlüsselt. Jedes betroffene Objekt hat auch eine Endung, entweder .locky oder .zzzzz, das ist einzigartig für diese Erpressungs- Kampagne. Schlussendlich können die Opfer auf ihre wertvollen Daten nicht zugreifen, noch können sie Drittanbieter-Software installieren, die diese Aufgabe erfüllen könnte.

_HELP_instructions.bmp

Die Art, wie diese Malware Computer infiltriert ist irgendwie interessant, Zumindest nutzt sie eine Social-Engineering-Methodik, die nicht sehr weit verbreitet ist. In der ersten Phase der Pest erhält ein potenzielles Opfer eine Spam-Nachricht über eine E-Mail, die personalisiert aussieht, da sie einen typischerweise mit Namen anspricht und somit offensichtlich von Anfang an Vertrauen hervorruft. Die an diese E-Mail angehängte Datei ist höchstwahrscheinlich ein Microsoft Word-Dokument im Docm-Format. Wenn sie geöffnet wird, fordert diese Datei den Benutzer auf, Makros zu aktivieren und wenn dies geschieht, wird die böswillige ausführbare Datei auf das System geladen und sofort mit hohen Rechten gestartet. Die Ransomware durchläuft dann die Festplatte und die Netzwerkfreigaben auf der Suche nach Daten und konzentriert sich auf Dateien mit spezifischen Erweiterungen, die den gängigen Formaten entsprechen.

Wenn eine zufällige persönliche Datei erkannt wird, wird der verbrecherische Code sie mit einer 128-Bit-AES Schlüssel verschlüsselt. Da dieses Kryptosystem mit geringem Aufwand geknackt werden kann, gingen die Verbrecher hinter Locky weiter und verbesserten den Lockup-Effekt durch zusätzliches Verschlüsseln des AES-Schlüssels mit RSA-Krypto, der asymmetrisch und unmöglich zu umgehen ist. Der private RSA-Schlüssel wird anderswo gespeichert, daher kann der kontaminierte Computer damit in keiner Weise interagieren. Wie oben erwähnt, werden Dateinamen in bizarre hexadezimale Zeichenfolgen verwandelt, denen eine neue Erweiterung hinzugefügt wird.

Sobald das Verschlüsseln abgeschlossen ist, schlägt der Lösegeld-Trojaner vor, Anweisungen zur Wiederherstellung zu öffnen, die möglicherweise “_HELP_instructions.html (.txt, .bmp)” oder “_Locky_recover_instructions.html (.txt, .bmp)” heißen. Zusammen mit dem Teil, in dem steht, “Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt”, empfehlen diese Ransomnoten dem Opfer auch, auf eine Tor-Domain namens “Locky Decryptor Page” zu navigieren. Diese Seite enthält Informationen über die Lösegeldgröße (normalerweise 0,5 BTC oder etwa 300 USD), die zu sendende Bitcoin-Adresse und ein Feld für den automatischen Decryptor-Downloadlink, der angeblich nach der Zahlung verfügbar sein wird.

Hier sind einige wichtige Fakten über diesen Stamm: Erstens kann er nicht frei entschlüsselt werden – Forscher arbeiten noch hart daran, Zweitens ist es nicht empfehlenswert, das Lösegeld an die bösen Jungs zu senden – damit wird ihr Geschäft beibehalten und es gibt keine Gewissheit, dass die Entschlüsselung wie versprochen danach stattfindet. Während es nicht möglich ist, um die Krypto-Facette des Trojaners herum zu kommen, können ein paar alternative Techniken helfen, die Versionen der Dateien wiederherzustellen, die vor dem Angriff vom Betriebssystem gesichert worden sind.

Automatische Entfernung der Locky Ransomware

Das Auslöschen dieser Ransomware kann mit zuverlässiger Sicherheitssoftware effizient erreicht werden. Wenn man an der automatischen Reinigungstechnik dranbleibt, stellt man sicher, dass alle Komponenten der Infektion von Ihrem System gründlich weg gelöscht werden.

1. Laden Sie ein empfohlenes Sicherheitsprogramm herunter und lassen Sie dabei Ihren PC auf böswillige Objekte überprüfen, indem Sie die Option Computer Jetzt Scannen auswählen

2. Der Scan wird eine Liste der gefundenen Objekte anzeigen. Klicken Sie auf Bedrohungen Beheben um den Virus und sämtliche damit verbundenen Infektionen aus Ihrem System zu entfernen. Diese Phase des Säuberungsprozesses fertigzustellen wird höchstwahrscheinlich zur vollständigen Beseitigung der eigentlichen Pest führen. Jetzt stehen Sie vor einer größeren Herausforderung – versuchen Sie Ihre Daten zurück zu bekommen.

Methoden zum Wiederherstellen von Dateien, die von dieser Ransomware verschlüsselt wurden

Problembehebung 1: Verwenden Sie Datei-Wiederherstellungs-Software

Es ist wichtig zu wissen, dass das Locky-Virus und seine Nebenprodukte Kopien Ihrer Dateien erstellen und verschlüsseln. Inzwischen werden die Originaldateien gelöscht. Es gibt Anwendungen, welche die entfernten Daten wiederherstellen können. Hierzu können Sie Tools wie Data Recovery Pro nutzen. Die neueste Version der besagten Ransomware neigt dazu, sichere Löschung mit mehreren Überschreibungen zu verwenden, aber auf jeden Fall ist diese Methode einen Versuch wert.

DownloadLaden Sie Data Recovery Pro herunter

Problembehebung 2: Verwenden Sie Backups

In erster Linie ist dies eine super Möglichkeit, Ihre Dateien wiederherzustellen. Das ist jedoch nur anwendbar, wenn Sie die auf Ihrem Computer gespeicherten Informationen vorher auch gesichert haben. Wenn ja, versäumen Sie nicht, von Ihrer Voraussicht zu profitieren.

Problembehebung 3: Verwenden Sie Shadow Volume Kopien

Falls Sie das noch nicht wussten, das Betriebssystem erstellt so genannte Shadow Volume-Kopien jeder Datei, solange die Systemwiederherstellung auf Ihrem Computer aktiviert ist. Da Wiederherstellungspunkte in bestimmten Intervallen erstellt werden, werden Schnappschüsse von Dateien, wie sie zu diesem Zeitpunkt erscheinen, ebenfalls erzeugt. Denken Sie jedoch daran, dass diese Methode nicht die Wiederherstellung der neuesten Versionen Ihrer Dateien sicherstellt. Es ist aber sicher einen Versuch wert. Dieser Arbeitsablauf ist in zweierlei Hinsicht machbar: manuell und durch die Nutzung einer automatischen Lösung. Werfen wir zuerst einen Blick auf den manuellen Prozess.

  • Verwenden Sie die Funktion Vorgängerversionen

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Überprüfen Sie, ob der Virus vollständig entfernt wurde

Und noch einmal, das Entfernen der Locky Ransomware allein führt nicht zum Entschlüsseln Ihrer persönlichen Dateien. Die oben genannten Methoden zur Datenwiederherstellung können zum Ergebnis führen oder auch nicht, aber die Ransomware selbst gehört nicht in Ihren Computer. Übrigens kommt es oft zusammen mit anderer Malware, deshalb ergibt es definitiv Sinn, Ihr System wiederholt mit automatischer Sicherheits-Software zu scannen, um sicherzugehen, dass keine schädlichen Überreste dieses Virus und der damit verbundenen Bedrohungen in der Windows Registrierung und anderen Orten übrig bleiben.

Laden Sie RSA-2048 und AES-128 Ransomware Scanner und Entferner herunter

Leave a Comment (0) ↓

Leave a Comment