Dieser Artikel handelt von einer der längsten Online-Erpressungskampagnen bis heute. Ursprünglich war er als TorrentLocker bekannt, die gegenwärtig aktive Ransomware namens Crypt0L0cker gibt es seit Ende April 2015. Seine Autoren konnten bisher ungeschoren davon kommen, da sie ausgekocht, wie sie sind, ihre Spur durch die Verwendung von schwer zu verfolgender Bitcoin Entschlüsselungs-Währung (cryptocurrency) und der Onion Router Technologie verwischen konnten.
Worum handelt es sich bei dem Crypt0L0cker 2017?
Crypt0L0cker 2017 ist ein Lösegeld Trojaner, der sich durch Spam vermehrt, er verschlüsselt sämtliche wichtigen Daten auf einem Computer und verlangt Bitcoins zur Entschlüsselung. Im Laufe seiner Entwicklung wurde die Infektion einer Reihe von Optimierungen unterzogen. Jede der vorherigen Versionen hängte an die Dateien eines Opfers eine gewisse Erweiterung an, darunter .enc und .encrypted. Im Gegensatz zu seinen Vorläufern, setzt die Ausgabe, die gegenwärtig in Umlauf ist, ein bisschen Zufälligkeit ein, was die Kennzeichnung verschlüsselter Dateneinträge angeht. Es verkettet eine zufällige 6-stellige Erweiterung an jede codierte Datei. Zum Beispiel wird ein Foto namens Pic.bmp in so etwas wie Pic.bmp.ayncxo verwandelt. Natürlich werden sämtliche Versuche, die verstümmelte Datei zu öffnen, eine Fehlermeldung auswerfen.
Obwohl das neue Datei-Erweiterungsformat eine Hürde zur Identifizierung des Stammes ist, zeigt Crypt0L0cker mehr Eigenschaften, die nicht Raum für Zweifel lassen, um was für eine besondere Bedrohung es sich handelt. Es lässt Lösegeld Notizen fallen, welche Dateien sind, welche die Opfer über das Missgeschick alarmieren und bieten eine vorläufige Anleitung zur Wiederherstellung. Die neueste Variante dieser Krypto-Ransomware erstellt die folgenden Lösegeld-Handbücher: HOW_TO_RESTORE_FILES.html und HOW_TO_RESTORE_FILES.txt. Es ist ein Kinderspiel sie zu finden, da sie auf dem Desktop erscheinen, ebenso wie in Ordnern, die nicht mehr zugängliche Dateien enthalten. Die Formulierung in diesen Gewusst-wie-Dokumenten ist in verschiedenen Ausgaben unveränderlich. Sie lauten, „Ihre wichtigen Dateien, einschließlich der auf den Netzwerk-Festplatten, USB, usw.): Fotos, Videos, Dokumente usw. wurden mit unserem Crypt0L0cker Virus verschlüsselt. Der einzige Weg, um Ihre Dateien zurück zu bekommen ist, uns zu bezahlen. Andernfalls werden Ihre Dateien verloren gehen.“
Wenn infizierte Benutzer den Anweisungen folgen, landen sie am Ende auf einer Tor-Seite, die ihnen erklärt, die Entschlüsselung zu kaufen. Diese Transaktion setzt voraus, dass den Angreifern eine Zahlung von etwa 0,5 BTC zugesandt wird. Es gibt eine Frist von 120 Stunden oder 5 Tage, um das Lösegeld zu senden, sonst verdoppelt sich der Betrag. Der geplagte Benutzer kann auch die Gesamtzahl ihrer verschlüsselten Dateien auf der Seite „Entschlüsselung kaufen“ herausfinden. Die Kriminellen bieten auch eine Möglichkeit, eine Datei kostenlos zu dekodieren, die einzige Einschränkung ist, dass ihre Größe weniger als 1 Megabyte sein sollte.
Wie schon erwähnt, verwenden die Kriminellen an der Spitze der Crypt0L0cker 2017 Kampagne Spam als Mittel der Nutzlastverteilung. Sie nutzen ein Botnet, um massive Spam-Wellen zu erzeugen, die den Ransomware-Downloader in einem Rutsch auf Tausende von Computern abliefern. Die Anhänge tendieren dahin, trickreiche Microsoft Word-Dateien zu sein, welche die Empfänger auffordern, Makros oder ZIP-Archive zu aktivieren, die schädliche JavaScript-Objekte enthalten. Unabhängig davon, um welchen Infektionsvektor es sich handelt, wird das Öffnen dieser Einheiten auf der Stelle den Einsatz der Ransomware im System auszulösen. Wenn der Einbruch aufgetreten ist und alle Ihre persönlichen Daten gesperrt sind, sollten die folgenden Schritte der Ausgangspunkt sein, um das Problem zu lösen. Das Lösegeld sollte der letzte Ausweg sein, also versuchen Sie sämtliche Alternativen zuerst.
Automatische Entfernung des Crypt0L0cker 2017 Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Crypt0L0cker 2017 Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen von Dateien, die von Crypt0L0cker verschlüsselt wurden
Es wurde bereits erwähnt, dass Crypt0L0cker 2017 eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Crypt0L0cker 2017 die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Crypt0L0cker 2017 verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie, ob die Crypt0L0cker 2017 Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Crypt0L0cker 2017 Ransomware Scanner und Entferner herunter