Es scheint gegenwärtig eine neue Variante des Locky Ransomware in Umlauf zu sein. Im Gegensatz zu seinem Vorgänger namens Thor, fügt dieser Ableger die Erweiterung .aesir zu den verschlüsselten Dateien hinzu. Außerdem erstellt die Infektion einen aktualisierten Satz als Lösegeldbrief mit dem Namen „([random_number]) – INSTRUCTION.html“ und „“ ([random_number]) – INSTRUCTION.bmp „, um Opfern eine Lösung zur eine Datenentschlüsselung zu geben. Die Bedrohung hat noch die gleichen kryptographischen Standards und wuchert über eine komplizierte Spam-Kampagne.
Worum handelt es sich beim .aesir-Dateivirus?
Es ist ein wenig weniger als einen Monat her seit der Vorherigen Thor Ausgabe der berüchtigten Locky Ransomware die aktiv wurde. Die neueste Aktualisierung dieses Stammes scheint einige bemerkenswerte Änderungen herbeigeführt zu haben. Zunächst verwendet der neue Locky-Nachkomme eine andere Erweiterung, um jede verschlüsselte Datei zu beschmutzen. Insbesondere hat esrbegonnen, die Zeichenfolge .aesir anzufügen. Das Prinzip den Dateinamen zu ändern ist genau das gleiche wie vorher: Der Ransom Trojaner ersetzt immer noch die ursprünglichen Werte durch 5 Gruppen von hexadezimalen Zeichen, deren Zahl 32 ergibt. Die Ausgabe dieses Verschlüsselung ist wie folgt: Eine reguläre Datendatei übernimmt einen neuen Namen ähnlich wie MU7DRNBA-GI3N-X1GY-00D4-57BB6F127B22.aesir.
Eine weitere Änderung bezieht sich auf die Anweisungen zur Lösegeldzahlung, die vom Aesir-Virus hinterlassen werden. Diese werden „([random_number]) – INSTRUCTION.html“ und „([random_number]) – INSTRUCTION.bmp“ genannt. Die Bildausgabe (BMP-Datei) wird automatisch als Desktop-Hintergrund eingestellt, so dass das Opfer gar nicht anders kann, als die auf eine Zahlung beruhenden Wiederherstellungsschritte zu finden. Der Wortlaut dieser Notizen ist in allen Varianten des Virus unveränderlich. Sie sagen, „Alle Ihre Dateien sind mit RSA-2048 und AES-128 Ziffern verschlüsselt.“ Die Nachricht spiegelt die tatsächliche Situation, in der die zielgerichteten Benutzer sich wieder finden. Diese Ausgabe von Locky führt eine zusammengesetzte Verschlüsselung Schritt für Schritt durch, indem er den symmetrischen Advanced Encryption Standard nutzt und dann den AES-Schlüssel mit einem noch stärkeren Algorithmus verschlüsselt, das heißt, das asymmetrische RSA-System. Da die Bedrohungsakteure diesen Teil professionell durchführten, gibt es gegenwärtig keine vollständig zuverlässige Methode, Dateien wieder zu entschlüsseln, es sei denn, eine infizierte Person entscheidet sich für den Wiederherstellungsweg, das Lösegeld zu bezahlen.
Ein ernstes Hindernis zur Erkennung, das auch in der vorherigen Version dieser Pest beobachtet wurde, ist die Offline Datenverschlüsselungsroutine. Das bedeutet, dass die Ransomware ihre Command- und Control-Server für die Verschlüsselungs-Schlüssel nicht kontaktiert. Stattdessen arbeitet er autonom im sogenannten Autopilot-Modus. Dies stellt ein großes Problem dar, da Antivirus-Suiten und Firewalls keine Ransomware-Aktivitäten auf der Basis von Datenverkehrsaustausch mit C2-Sites identifizieren können.
Die Aesir-Datei Ransomware wird durch eine der größten Spam-Kampagnen in den vergangenen Monaten verbreitet. Die Verbrecher verwenden Email-Anhänge in JS, VBS-Formaten, die die Infektion herunterladen, sobald darauf geklickt wurde. Ein weiterer interessanter Angriffsvektor ist eine Spam-Kampagne, die ansteckende .svg-Dateien über Facebooks Instant Messenger liefert. Es wird dringend empfohlen, auf diese dubiosen Dateien zu verzichten, sonst müssen Sie 0,5 Bitcoin für den privaten Entschlüsselungsschlüssel bezahlen. Es gibt mehrere Methoden, die dazu beitragen können, einige .aesir-Dateien wiederherzustellen, die von der neuesten Inkarnation von Locky betroffen sind. Lesen Sie den folgenden Teil sorgfältig durch und versuchen Sie die Schritte, bevor Sie andere Entschlüsselungsoptionen in Betracht ziehen.
Automatische Entfernung des Aesir Erweiterung Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Aesir Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen von verschlüsselten .aesir-Dateien
Es wurde bereits erwähnt, dass Aesir eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Aesir die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Aesir verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie, ob die Aesir-Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Aesir Ransomware Scanner und Entferner herunter