Die Autoren der ehemalig weitverbreiteten Petya Ransomware haben nun ein neues Erpressungstool mit einem weiteren russischen Namen veröffentlicht – Mischa. Obwohl diese zwei Varianten die gleiche Familie vertreten und einige ähnliche Verhaltensmuster aufweisen ist die neueste Variante eine deutliche Weiterentwicklung der Vorgänger. Die Mischa Ransomware ist ein „klassisches“ Beispiel basierend auf die Tatsache dass es die persönlichen Dateien des Benutzers verschlüsselt anstatt die Master File Table zu beschädigen. Dieser etwas mildere Effekt erlaubt es dem Opfer weiterhin das Betriebssystem zu starten. Dies macht diesen Trojaner jedoch nicht weniger gefährlich. Er verwendet kryptografische Algorithmen die ein Bruteforcing bei der Wiederherstellung verhindern und Daten somit, bis das Opfer das Lösegeld bezahlt, nutzlos macht.
Nachdem die Malware die Daten des Benutzers verschlüsselt hat wird die Dateiendung geändert. Beispiele für die neue Dateiendung sind .9RWE, .aRpt, .7P7m, .eQTz, .cRh8 und .3RNu. Eine Gemeinsamkeit hier sind vier Zeichen mit Ziffern und sowohl Klein- als auch Großbuchstaben. Eine Datei die ursprünglich den Dateinamen „To-Do Liste.doc“ getragen hat, heißt nun zum Beispiel „To-Do Liste.cRh8“ und kann nicht weiter geöffnet werden.
Der Mischa Virus platziert des Weiteren zwei Dateien auf dem Desktop eines jeden infizierten Systems. Diese sind „Your_Files_Are_Encrypted.html“ und „Your_Files_Are_Encrypted.txt“. Die Warnung im Innern dieser Dateien liest: „Sie sind das Opfer der MISCHA RANSOMWARE! Die Dateien auf Ihrem Computer wurden mit einem hochsicheren Algorithmus verschlüsselt. Ohne einen besonderen Schlüssel besteht keine Chance diese Daten wiederherzustellen. Sie können diesen Schlüssel auf der Darknet Seite (wie in Schritt 2 beschrieben) erstehen.“ Schritt 2 erklärt dem Benutzer wie eine der zwei verfügbaren Seiten per Tor Browser, die erste mischapuk6hym72.onion/[6 Zeichen und Ziffern] oder mischa5xyix2mrhd.onion[6 Zeichen und Ziffern], zu besuchen. Auf dem Tor Gateway wird das Opfer dazu aufgefordert einen persönlichen Code für die Entschlüsselung einzugeben und eine Gebühr von ca. 1 BTC zu bezahlen. Dies entspricht ca. 400-500 USD.
Die Betreiber der Mischa Ransomware halten sich an Social Engineering um den Trojaner zu verbreiten. Opfer erhalten hierbei eine E-Mail die sich als Bewerbung tarnt. Zum jetzigen Zeitpunkt werden hauptsächlich Personen in Deutschland angegriffen. Die Nachricht mit dem Betreff „Bewerbung Zivildienst“ drängt den Benutzer dazu auf einen Link zu einer Seite auf Magentacloud.de zu klicken. Dies ist ein beliebter deutscher Cloud-Anbieter. Die Seite enthält zwei Dateien: Bewerbungsfoto.jpg, ein Fake-Bewerbungsfoto des Bewerbers; und PDFBewerbungsmappe.exe. Die Kriminellen hoffen auf diese Art und Weise dass das Opfer somit den bösartigen Prozess ausführt, der anschließend die Ransomware auf dem Computer des Opfers startet.
Zum Zeitpunkt der Verfassung dieses Artikels gibt keine automatische Entschlüsselung Lösung für die Mischa Ransomware. Opfer dieser Ransomware sollten jedoch einige Möglichkeiten mit Hilfe von Schattenkopien, eine Windowseigene Funktion, versuchen oder eine Datenwiederherstellungsanwendung verwenden. Ein Bezahlen des Lösegeldes unterstützt die Kriminellen. Testen Sie vorher also alle anderen Lösungen bevor Sie bezahlen.
Entfernung der Mischa Ransomware mit einem Automatischen Programm
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Mischa Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Erhalten Sie die verschlüsselten Dateien zurück
Es wurde bereits erwähnt, dass Mischa eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Mischa die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Mischa verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie Ihren Computer auf Rückstände der Mischa Ransomware Infektion
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Mischa Ransomware Scanner und Entferner herunter