Viren

.Thor Dateien-Virus entschlüsseln – Thor Ransomware entfernen

.Thor Dateien-Virus entschlüsseln – Thor Ransomware entfernen

Locky Ransomware devs scheinen in letzter Zeit ziemlich damit beschäftigt gewesen zu sein Updates für ihr ruchloses Erpressungsprodukt zu veröffentlichen. Weniger als ein Monat nach dem Aufkommen der vorherigen “Odin” Variante, wurde eine brandneue Iteration entdeckt, die die Erweiterung .thor an verkrüppelte Dateien anhängt. Neben den etwas anderen Dateinamen, weist diese Locky Version eine Anzahl verteilungsbezogener Erweiterungen auf.

Was ist der .thor Dateien-Virus?

Der Locky Crypto Virus existiert nun schon fast seit einem Jahr und hat in diesem Zeitraum bisher noch keine Abnahme der Verteilung erlitten. Ganz im Gegenteil, die Software bleibt eine der vorherrschenden und gefährlichsten Erpressungssoftwares. Darüber hinaus ist das Ende für viele intellektuelle Forscher bisher nicht entschlüsselbar. Davon abgesehen hat sich die Häufigkeit der neuen Locky Editionsveröffentlichungen erhöht, was die Erkennungs- und Entschlüsselungsaufgaben weiter erschwert. Die vorherige Variante mit dem Namen Odin, hielt nicht mal einen Monat stand. Der letzte Kniff brachte ein paar große Veränderungen mit sich. Zunächst begann die Infektion damit, die .thor Erweiterung auf alle Dateien anzuwenden die im Laufe der Gefährdung verschlüsselt wurden. Weiterhin haben sich die Betreiber dieser Kampagne dazu entschlossen das Format des schädlichen Loaders zu modifizieren.

Thor Ransomware

Die Art und Weise auf die sich Locky zurzeit verbreitet ist noch immer über Spam, unterstützt vom mächtigen Botnetz mit dem Namen Necurs. Das Format der angehängten Rogue-Datei wurde jedoch in .hta geändert. Es bezeichnet eine HTML-Applikation die schädliche Prozesse im Hintergrund auslöst sobald sie ein ahnungsloser Benutzer öffnet. Diese irreführenden E-Mails können die folgenden Betreffe haben: “Quittung” oder “Beschwerdebrief”. Die angehängte Datei ist höchst wahrscheinlich ein ZIP Archiv das sich in eine Datei mit dem Namen Quittung [zufällige Zahlen].hta, Beschwerdebrief [zufällige Zahlen].hta oder Gespeicherter Brief [Zufallstext].hta extrahiert. Die Verwendung dieses neuen Formats des Loaders zielt vermutlich darauf ab, eine AV-Erkennung zu vermeiden und den Angriffs-Workflow zu straffen.

Sobald die ausführbare Ransomwaredatei im Zielsystem gelagert und geöffnet wird, wird ein Datenscan gestartet. Während dieses Scans sucht die .thor Version von Locky nach weit verbreiteten Dateitypen auf der Festplatte, austauschbaren Laufwerken, sofern diese mit dem Computer verbunden sind, und Netzwerkfreigaben. Dann verwendet es eine Kombination aus kryptografischen RSA-2048 und AES-128-Algorithmen um alle Einträge, die während des Scans als persönlich identifiziert werden, zu verschlüsseln. Die Infektion breitet sich dann weiter aus, indem das Hintergrundbild mit einer Warnung ersetzt wird. Außerdem werden Lösegeldforderungen auf dem Desktop und auf verschlüsselten Verzeichnissen angezeigt die “_HOWDO_text” heißen. Diese Anleitungen, zusammen mit dem neuen Hintergrundbild, weisen das Opfer an die Locky Decryptor Seite aufzurufen, bestimmte Informationen einzugeben und somit 0,5 Bitcoins für die automatische Entschlüsselungslösung zu überweisen.

Eine interessante Eigenschaft der .thor Erweiterungsvariante von Locky ist, dass sie Daten im Offline-Modus verschlüsseln kann. Das bedeutet, dass eine Abfrage eines externen Befehls- und Steuerservers für Krypto Schlüssel nicht nötig ist und es sich dabei also nun um eine autonome Bedrohung handelt. Darüber hinaus ist nicht klar wie weite die eigene Firewall reicht, was den Angreifern eine weitere Schicht zur Verschleierung bietet. Während die Entschlüsselung von .thor Dateien ohne Bezahlung für den privaten RSA Schlüssel kaum möglich ist, sollten infizierte Benutzer die Nutzung einer intelligenten forensischen Methode zur Wiederherstellung der wichtigsten Daten in Erwägung ziehen.

Automatische Entfernung des .thor Erweiterungs-Virus

Die Ausrottung dieser Ransomware kann mit zuverlässiger Sicherheitssoftware effizient erreicht werden. Hält man sich an die automatische Bereinigungstechnik der Sicherheitssoftware, dann kann sichergestellt werden, dass alle Komponenten der Infektion gründlich vom System entfernt werden.

1. Laden Sei das empfohlene Sicherheitsprogramm herunter und checken Sie Ihren PC auf böswillige Objekte, indem Sie die Option Computer Jetzt Scannen auswählen

2. Der Scan wird eine Liste an erkannten Objekten aufzeigen. Klicken Sie auf Bedrohungen Beheben um den Virus und andere verwandte Infektionen vom System zu löschen. Die komplette Durchführung dieses Bereinigungsprozesses führt höchstwahrscheinlich zur vollständigen Bereinigung der Plage. Nun stehen Sie allerdings einer größeren Aufgabe gegenüber – Ihre Daten zurück zu erhalten.

Methoden zum Wiederherstellen von verschlüsselten .thor Dateien

Problembehebung 1: Verwenden Sie Datei-Wiederherstellungssoftware

Es ist wichtig zu wissen, dass der Locky-Virus Kopien Ihrer Dateien erstellt und diese verschlüsselt. In der Zwischenzeit werden die Originaldaten gelöscht. Es gibt Applikationen die gelöschte Dateien wieder herstellen können. Sie können Sich dafür beispielsweise Data Recovery Pro zulegen. Die neuste Version dieser Ransomware neigt dazu sichere Löschungen, mit mehreren Überschreibungen durchzuführen. Dennoch ist diese Methode einen Versuch wert.

DownloadLaden Sie Data Recovery Pro herunter

Problembehebung 2: Verwenden von Sicherungen

Dies ist zunächst mal im Allgemeinen ein guter Weg um Dateien wiederherzustellen. Dieser Weg kann jedoch nur angewandt werden, wenn Sie bisher auch Backups durchgeführt haben. Wenn ja, dann versäumen Sie nicht von Ihrer Voraussicht zu profitieren.

Problembehebung 3: Verwenden Sie Kopien auf Schattenvolumen

Falls du es noch nicht wusstest, das Betriebssystem erstellt sogenannte Schattenvolumen-Kopien jeder einzelnen Datei, solange die Systemwiederherstellung auf dem Computer aktiviert ist. Wenn Wiederherstellungspunkte zu bestimmten Intervallen hergestellt werden, dann werden auch Schnappschüsse von Dateien generiert, wie sie zu diesem Zeitpunkt vorgefunden wurden. Denke jedoch daran, dass diese Methode nicht die Wiederherstellung der neusten Dateien gewährleistet. Jedoch ist dies sicherlich einen Versuch wert. Dies ist auf zwei Arten möglich: manuell und mit Hilfe einer automatischen Lösung. Lass uns erst einen Blick auf den manuellen Prozess werfen.

  • Nutzen Sie das Vorherige Dateiversionen-Feature

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Überprüfe ob die Locky Ransomware vollständig entfernt wurde

Nochmals, alleine die Entfernung der Malware entschlüsselt deine persönlichen Dateien nicht gleichzeitig. Die oben hervorgehobenen Datenwiederherstellungsmethoden könnten jedoch dabei behilflich sein. Die Ransomware gehört jedoch nicht in deinen Computer und kommt meistens nicht alleine, sondern mit anderer Malware und deshalb macht es auch Sinn, den Computer öfter mit automatischer Sicherheitssoftware zu scannen um ganz sicher zu gehen, dass keine schädlichen Reste dieses Virus und damit verbundene Bedrohungen auf deiner Windows Registry und anderen Orten verbleiben.

Laden Sie Thor Ransomware Scanner und Entferner herunter

Leave a Comment (0) ↓

Leave a Comment