Dieser Artikel enthält umfassende Details der neuen Crysis / Dharma Ransomware Variante, welche die Erweiterung .cesar oder .cezar extension an verschlüsselte Dateien anhängt.
Die Crysis Ransomware, früher bekannt als Dharma, ist nach mehreren Monaten der Inaktivität plötzlich wieder erweckt worden. Darüber hinaus wurde die Pause von einem anonymen Dump von Meisterschlüsseln zur Entschlüsselung Ende Mai 2017 begleitet. Obwohl Ereignisse wie diese dahin tendieren, dass eine Kampagne für immer aufhört, muss offensichtlich jemand im Untergrund der Cyber-Kriminellen eine andere Meinung gehabt haben. Der letzte Ausbruch der Crysis / Dharma-Ransomware Welle dreht sich um eine Variante, welche die codierten Dateien mit der Erweiterung .cesar verunstaltet. Einige der neueren Berichte haben auch die .cezar-Dateiversion enthüllt. Diese Zeichenfolge ist nur ein Teil der verketteten Erweiterung, aber es wird ihr die ID eines Opfers und die Kontaktadresse der Bedrohungsakteure vorangestellt , so dass der infizierte Benutzer von Anfang an ein paar Hinweise auf die Datenentschlüsselung erhält.
Das Ergebnis des Arbeitsablaufs dieser Daten-Optimierung ist, dass ein beliebiger Dateiname mit einem Erweiterungs-Token im folgenden Format verkettet wird: .id-{8-char victim ID}.[Email-Adresse].cesar. Zum Beispiel wird ein Beispiel-Objekt namens Coffee.jpg sich in etwas wie Coffee.jpg.id-C21FD978.[m.heisenberg@aol.com].cesar verwandeln. Beachten Sie, dass der E-Mail-Teil unterschiedlich sein kann. Abgesehen vom oben genannten, kann sie auch black.mirror@qq.com, gladius_rectus@aol.com oder btc2017@india.com lauten. Die Variable der E-Mail Adresse bedeutet höchstwahrscheinlich ein bestimmter „Partner“, der in der Lage war, den ausübenden Code auf einem Computer abzulegen. Es gibt verschiedene Gruppen von Cyber-Kriminellen, welche die Ausgabe der Cesar-Ransomware von Crysis gleichzeitig verbreiten, jeder mit seinen eigenen Kontakten.
Im Gegensatz zu den meisten Datei-verschlüsselnden Stämmen da draußen, die mit Hilfe von bösartigem Spam verbreitet werden, macht das Cesar-Virus die Runden über das Remote Desktop Protocol. Die Angreifer betrügen die RDP-Anmeldeinformationen, um Systeme aus der Ferne zu infiltrieren. Auf diese Weise können sie beliebigen Code auf kompromittierten Computern ausführen. Im Fall von Cesar heißt das Störfaktor Verfahren bars.exe. Wenn dieser in einer Maschine angewendet wird, löscht diese ausführbare Datei die Schattenkopien der Dateien des Opfers und fügen einen Registrierungswert hinzu, der ausgeführt wird, wenn das Betriebssystem hochgefahren wird. Dann scannt die Ransomware das lokale Laufwerk und die Wechseldatenträger, falls vorhanden, auf eine vordefinierte Liste der Datenformate. Es verschlüsselt jede einzelne Datei, die während dieses Scans erkannt wurde.
Während die Erweiterung, die an alle Geiseldateien angebracht ist, recht selbsterklärend ist, in Bezug darauf, was der Benutzer tun soll, hinterlässt das Cesar-Virus auch einen Lösegeldbrief mit dem Namen Info.hta auf dem Desktop. Nach diesem Erpresserbrief muss das Opfer eine Nachricht an die E-Mail-Adresse senden, die in eckigen Klammern angegeben ist, die dem .cesar-Teil der Dateierweiterung vorangehen. Der geplagte Benutzer wird angewiesen, seine persönliche ID in diese E-Mail rein zu schreiben. Die Verbrecher werden mit der Höhe des Lösegelds antworten und nennen auch die Bitcoin-Wallet Adresse, um es zu senden. Als Garantie, dass das Werkzeug zur Entschlüsselung auch funktionieren wird, können die Erpresser bis zu drei Dateien, deren Gesamtgröße 10 MB nicht übersteigt, angeblich wiederherstellen. Alles in allem, anstatt sich auf die Versprechen der Mistkerle zu verlassen und durch das schmerzhafte Lösegeld Verfahren zu gehen, beginnen Sie mit den untenstehenden alternativen Optionen zur Datenwiederherstellung.
Automatische Entfernung des Cesar Ransomware-Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Cesar Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Dateien wiederherstellen, die von der Cesar Ransomware verschlüsselt wurden
Es wurde bereits erwähnt, dass Cesar eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Cesar die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Cesar verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Ist das Problem weg? Prüfen Sie und schauen Sie nach
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Cesar Ransomware Scanner und Entferner herunter