Das Ziel dieses Artikels ist es, den Aufbau des CTB Locker-Ransomware-Virus klarzustellen. Im Speziellen werden Sie sämtliche Symptome dieser Infektion kennenlernen, die technischen Details ihrer Aktivität, die Optionen des Opfers hinsichtlich der Wiederherstellung der unberechtigterweise verschlüsselten Dateien und die anwendbaren Methode zur vollständigen Entfernung des Virus.
CTB Locker ist eine hochgradig schädliche Computerinfektion, welche die meiste typische Malware in einigen kritischen Punkten überbietet. Zunächst einmal hindert es das Opfer am Zugriff auf seine Dateien. Dies geschieht nicht einfach nur aus dem Willen zur Störung oder zum Spaß des Entwicklers – dahinter steckt eine eindeutig kaufmännische Absicht als Grund für diese Aktivität. Tatsächlich verschlüsselt das Virus die Daten des Opfers und erpresst es dann um Geld (0,2 BTC) für die Wiederherstellung. Auch als Critroni bekannt wurde die hier analysierte Ransomware in Untergrund-Black-Hat-Kreisen zum Verkauf angeboten und stellt dabei eine Komplettlösung dar, die eine Reihe von Support- und Wartungsdiensten mitbringt. Dies ist scheinbar ein Hinweis darauf, dass die von Hackern unterstützte Malware-Infrastruktur eine neue Entwicklungsstufe erreicht hat, was der Sicherheits-Community große Sorgen bereit und eine Herausforderung für sie darstellt.
Beim Infiltrieren eines Computers mithilfe eines Exploits, das Ausnutzen von Schwachstellen in veralteter Software auf dem Zielsystem, hat CTB Locker den Vorteil, für das Opfer unsichtbar zu sein, bis seine schmutzige Arbeit erledigt ist. Es scannt alle Laufwerke auf dem Gerät nach Dateien mit den am häufigsten verwendeten Erweiterungen und verschlüsselt dann alle gefundenen Dateien mit der sogenannten Elliptic Curve Cryptography. Lassen Sie sich gesagt sein, dass Netzwerklaufwerke oder externe Datenspeicher, die an den PC angeschlossen sind, ebenfalls davon betroffen sind, solange Sie als einfache Laufwerksbuchstaben im System erfasst sind. Außerdem konfiguriert die Ransomware das Betriebssystem, um seine Ausführung bei jedem Hochfahren zu ermöglichen und sicherzustellen, dass es dauerhaft ausgeführt wird. Es kapert den Desktop und ersetzt den Desktophintergrund durch ein Bild mit Anweisungen für die notwendigen Schritte, um die verschlüsselten Informationen wiederherzustellen.
Dieser Nachricht zufolge hat der Benutzer 96 Stunden, um das Lösegeld zu zahlen. Übrigens wurde die Zeitspanne kürzlich verlängert – es waren in der vorherigen Version des Virus 72 Stunden. Die Nachricht teilt außerdem mit:
Ihre persönlichen Dateien wurden von CTB-Locker verschlüsselt. Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden mit der stärksten Verschlüsselung verschlüsselt und ein einmaliger Schlüssel wurde für diesen Computer erzeugt.
Leider entspricht diese Nachricht der Wahrheit. An alle gestohlenen Dateien wurden ungewöhnlich aussehende Erweiterungen angehängt, und sie lassen sich von keiner Software öffnen. Das manuelle Verändern der Erweiterungen hat ebenso wenig einen Zweck. Zunächst ist der einzige sichere Weg, die Dateien zurückzuerhalten, das Lösegeld zu zahlen. Sobald Sie den Weiter-Knopf auf dem CTB-Locker-Bildschirm drücken, öffnet die Malware ein Dokument, das weitere Anweisungen enthält. Sie werden aufgefordert, eine spezielle Seite mithilfe von Tor statt einem üblichen offenen Internet-Kanal zu besuchen – Die Kriminellen geben offensichtlich ihr Bestes, um anonym zu bleiben. Die Opfer landen also schlussendlich auf einer Website, deren Adresse mit „.onion“ endet und auf der von Ihnen erwartet wird, dass Sie 0,2 Bitcoins übermitteln, was derzeit 51,87 US-Dollar entspricht. Dann wird das Entschlüsselungswerkzeug zur Verfügung gestellt.
Was sind also Ihre Optionen, wenn Sie infiziert wurden? Zunächst einmal gibt es keinen 100%ig effizienten Weg, die Dateien zu entschlüsseln, als den Betrügern Folge zu leisten, das heißt, das Lösegeld zu übermitteln. Sie können CTB Locker selbst vom System entfernen, doch das wird nicht automatisch die Daten wiederherstellen. Eine Säuberung ist jedoch zu empfehlen. Zum Glück gibt es mehrere gangbare Wege, die Sie ausprobieren können, um die verschlüsselten Informationen zurückzuerhalten. Lesen Sie die folgenden Anweisungen, um mehr darüber zu erfahren.
CTB Locker automatisch entfernen
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
CTB Locker Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden, um die von CTB Locker verschlüsselten Dateien wiederherzustellen
Es wurde bereits erwähnt, dass CTB Locker eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass CTB Locker die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von CTB Locker verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Gehen Sie sicher, dass die CTB Locker-Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den CTB Locker Ransomware Scanner und Entferner herunter