Lernen Sie, wie die neue Gryphon Ransomware auf einem Computer Fuß fasst, wie sie die personenbezogenen Daten des Opfers beeinträchtigt und wie man die Geisel Dateien kostenfrei wiederherstellt.
Das Ransomware Ökosystem ist in den vergangenen Wochen im Allgemeinen untätig gewesen, mit nichts als groben, schlecht codierten Proben, die hin und wieder mal auftauchen. Der Stamm namens Gryphon hebt sich allerdings von diesem unterirdischen Pack hervor, da er starke Verschlüsselung aufweist und „besten“ Praktiken der E-Erpressung folgt. Dieses Exemplar wurde ursprünglich am 28. Juli entdeckt und es scheint seitdem durch den Testmodus der wilden Verbreitung gewichen zu sein. Die erste Ausgabe, die von Forschern entdeckt wurde, hatte an verschlüsselte Dateien die .[test].gryphon Erweiterung angehängt, wobei der „test“-Teil mit der E-Mail Adresse des Bedrohungs-Akteurs übereinstimmen sollte. Ein paar Tage später tauchte eine Ausgabe auf, die begann, die Zeichenfolge .[decr@cock.li].gryphon zu verwenden, um Lösegeld Daten zu kennzeichnen.
Letztlich wird eine Beispieldatei mit dem Namen Car.png umbenannt in Car.png.[decr@cock.li].gryphon. Die Dateierweiterung allein gibt Hinweise darauf, was das Opfer tun sollte, um die Dinge in Ordnung zu bringen. Die Schlüsselkomponente ist die E-Mail Adresse, die für weitere Anleitungen kontaktiert werden muss. Um die Wiederherstellungsschritte weiter zu erläutern, legt die Gryphon-Ransomware eine Rettungsnotiz in jeden Ordner mit verschlüsselten Dateien. Es wurden von mehreren verschiedenen Namen dieser Notizen berichtet, darunter HELP.inf, Info.txt, und !## DECRYPT FILES ##!.txt.
Trotz unterschiedlicher Titel ist deren Inhalt identisch. Der Wortlaut geht, “Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien sind kryptographisch stark verschlüsselt worden, ohne den ursprünglichen Schlüssel ist die Wiederherstellung unmöglich! Um Ihre Dateien zu entschlüsseln, müssen Sie die spezielle Software kaufen – GRYPHON DECRYPTER.” Auf diesen Teil folgt eine Empfehlung, Drittanbieter Wiederherstellungs-Software zu unterlassen, sonst können die Daten unwiederbringlich verloren gehen.
Um den Zugriff auf verschlüsselte Dateien wiederzugewinnen, wird das Opfer dann angewiesen, die Angreifer zu erreichen, indem er eine Nachricht an decr@cock.li sendet oder alternativ dazu decrsup@cock.li. Der geplagte Benutzer sollte „encryption“ (Verschlüsselung) in die Betreffzeile schreiben, ihre ID im Text der E-Mail eingeben und 3 verschlüsselte Dateien anhängen, die jeweils unter 2 MB groß sind. Um den Druck auf das Opfer zu erhöhen, geben die Verbrecher im Erpresserbrief auch an, dass sie den Schlüssel zum Entschlüsseln nicht mehr als eine Woche auf ihrem Server halten werden. Es gibt keine genauen Daten über die Menge an Krypto-Währung, welche die Kriminellen verlangen, aber es liegt normalerweise im Bereich von $ 500 – $ 1400 Wert als Bitcoin (0,2 – 0,5 BTC).
Gryphon Ransomware tendiert dahin, Computer über Schurken E-Mails zu infiltrieren, meistens solche, die von einem automatisierten bösartigen Netzwerk namens „Botnet“ erzeugt werden. Diese unterirdischen Dienste können Tausende von Malspam Nachrichten in einem Schwung ausspucken. Sobald solch eine E-Mail den Posteingang einer Person erreicht, sind die Chancen, dass der Empfänger sie öffnet groß, da er denkt, es ist tatsächlich eine Rechnung, eine verpasste Kurier-Lieferung Benachrichtigung oder etwas ähnliches. Die Datei, die an diese Nachricht angehängt wird, wird typischerweise als gutartiges ZIP-Archiv getarnt, aber wenn sie geöffnet wird, stellt sich heraus, dass sie schädliches JavaScript enthält. Dieser JS-Code seinerseits lädt die ausführbare Datei der Gryphon-Ransomware herunter und startet sie auf dem Host. So läuft die Infektionskette.
Wenn es um Datenwiederherstellung geht, empfiehlt es sich, keine Geschäfte mit den Angreifern zu machen, da sie sich kaum an ihre Versprechen halten. Auch wenn Sie bezahlen, gibt es keine Garantie, dass Sie Ihren Schlüssel zum Entschlüsseln bekommen. Also das erste, was Sie versuchen sollten, ist aus der Sache raus zu kommen, indem Sie ein speziell erstelltes Verfahren verwenden, um das Störende Programm loszuwerden und die Daten aus der Chiffre Gefährdung herauszuziehen.
Automatische Entfernung des Gryphon Ransomware-Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Gryphon Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Dateien wiederherstellen, die von der Gryphon Ransomware verschlüsselt wurden
Es wurde bereits erwähnt, dass Gryphon eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Gryphon die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Gryphon verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Ist das Problem weg? Prüfen Sie und schauen Sie nach
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Gryphon Ransomware Scanner und Entferner herunter