Readme.hta Virus – entschlüsseln der Cerber 4 Ransomware
Es sind keine außergewöhnlichen Optimierungen an der überaus produktiven Cerber Ransomware im Laufe des neuen Updates gemacht worden. Es verwendet immer noch das gleiche starke Kryptosystem, um Dateien eines Opfers zu sperren. Wie zuvor, verwandelt es den Desktop-Hintergrund in ein graues Bild mit zufälligen Pixeln und einen Warnungs-Text in grüner Schriftart. Die Art und Weise, wie es verbreitet wird wurde auch in seinem bewährten Zustand beibehalten. Einige Änderungen sind jedoch vorhanden und bemerkenswert.
Während die Cerber-Entwickler scheinbar beschlossen haben, das Rad nicht neu zu erfinden und nicht zu verändern, was bereits einwandfrei funktioniert, hat die neue vierte Ausgabe eine Reihe von Funktionen, die es von den drei Vorgängern unterscheidet. Der erste Unterschied, der ins Auge fällt, ist, dass die Infektion auf die Verwendung von zufälligen Erweiterungen, bestehend aus vier hexadezimalen Zeichen, umgeschaltet hat. Die Erweiterungen haben daher eine ähnliche Form wie .bed5, .bf05 oder .a7b6. Diese Strings werden für jedes Opfer eindeutig erzeugt. Genau wie die vorherige Iteration dieser Pest verschlüsselt die besagte auch Dateinamen und ersetzt sie durch 10 Symbole, die keine offensichtlichen Ähnlichkeiten mit den ursprünglichen Werten haben. Ultimativ wird eine reguläre Datei mit dem Namen report.docx in so etwas wie pRvLk9osB0.bed5 verwandelt.
Eine weitere erwähnenswerte Unterscheidung ist der Erpresserbrief. Während der Vorgänger von den Wiederherstellungsanweisungen drei Kopien erstellt, nämlich # HELP DECRYPT #.html (.url, .txt), löscht die neueste Variante der Cerber Ransomware nur eine Datei namens README.hta in Ordnern mit chiffrierten Daten und auf dem Desktop. Dieses Handbuch enthält die Sprachauswahl aus 13 verfügbaren Sprachen und liefert bodenständige Anweisungen zur Wiederherstellung der eklatant verschlüsselten Dateien. Darin steht: „Sie können die notwendigen Dateien nicht finden? Ist der Inhalt Ihrer Dateien nicht lesbar? Das ist normal, da die Namen der Dateien und die Daten in Ihren Dateien von der Cerber Ransomware verschlüsselt wurden.“ Dann heißt es in einem weiteren Teil, dass die Daten nicht beschädigt ist und die Änderung rückgängig gemacht werden kann.
Laut README.hta stellt das spezielle Tool Cerber Decryptor die einzige Möglichkeit dar, die Dateien sicher wieder zu entschlüsseln. Ein Opfer wird angewiesen, diese Software auf ihrer persönlichen Seite zu kaufen. Aus Gründen der Anonymität ist diese Seite durch Tor oder Onion Router geschützt, daher muss der infizierte Benutzer zuerst den Tor Browser herunterladen und installieren. Die Cerber Decryptor-Seite verfügt auch über ein Sprachauswahlscript und eine grafische Bestätigungsfunktion. Nach dem Einloggen sieht das Opfer wieder eine allgemeine Warnmeldung, die Größe des Lösegeldes, eine Countdownuhr und die Bitcoin-Adresse der Verbrecher für die Zahlungen. Innerhalb der ersten fünf Tage beträgt das Lösegeld 0,1394 BTC oder etwa 84 USD. Nach fünf Tagen verdoppelt sich der Preis und erreicht somit 0,2788 BTC oder 169 USD.
Der Text des Desktop-Hintergrunds, der von der aktualisierten Cerber Ransomware festgelegt wird, dupliziert grundsätzlich die Anweisungen im README.hta Erpresserbrief und der persönlichen Entschlüsselungsseite. Es listet mehrere temporäre Tor-URLs auf, um die dedizierte Wiederherstellungsseite aufzurufen. Alles in allem hat das letzte Update keine nennenswerte Raffinesse für diese böse Bedrohung eingeführt. Es ist immer noch der gleiche Cerber mit nicht knackbarem Krypto und einer robusten Command and Control Infrastruktur. Obwohl die Rettung der verschlüsselten Dateien nur machbar sein kann, indem man in vielen Fällen das Lösegeld zahlt, wird es sicherlich nicht schaden, ein paar zusätzliche Wiederherstellungs-Techniken zu probieren.
Automatische Entfernung der Cerber Ransomware
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Cerber Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden, um von Cerber verschlüsselte Dateien mit zufälligen Erweiterungen wiederherzustellen
Es wurde bereits erwähnt, dass Cerber eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Cerber die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Cerber verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie, ob Cerber Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Cerber Ransomware Scanner und Entferner herunter