Locky Ransomware devs scheinen in letzter Zeit ziemlich damit beschäftigt gewesen zu sein Updates für ihr ruchloses Erpressungsprodukt zu veröffentlichen. Weniger als ein Monat nach dem Aufkommen der vorherigen “Odin” Variante, wurde eine brandneue Iteration entdeckt, die die Erweiterung .thor an verkrüppelte Dateien anhängt. Neben den etwas anderen Dateinamen, weist diese Locky Version eine Anzahl verteilungsbezogener Erweiterungen auf.
Was ist der .thor Dateien-Virus?
Der Locky Crypto Virus existiert nun schon fast seit einem Jahr und hat in diesem Zeitraum bisher noch keine Abnahme der Verteilung erlitten. Ganz im Gegenteil, die Software bleibt eine der vorherrschenden und gefährlichsten Erpressungssoftwares. Darüber hinaus ist das Ende für viele intellektuelle Forscher bisher nicht entschlüsselbar. Davon abgesehen hat sich die Häufigkeit der neuen Locky Editionsveröffentlichungen erhöht, was die Erkennungs- und Entschlüsselungsaufgaben weiter erschwert. Die vorherige Variante mit dem Namen Odin, hielt nicht mal einen Monat stand. Der letzte Kniff brachte ein paar große Veränderungen mit sich. Zunächst begann die Infektion damit, die .thor Erweiterung auf alle Dateien anzuwenden die im Laufe der Gefährdung verschlüsselt wurden. Weiterhin haben sich die Betreiber dieser Kampagne dazu entschlossen das Format des schädlichen Loaders zu modifizieren.
Die Art und Weise auf die sich Locky zurzeit verbreitet ist noch immer über Spam, unterstützt vom mächtigen Botnetz mit dem Namen Necurs. Das Format der angehängten Rogue-Datei wurde jedoch in .hta geändert. Es bezeichnet eine HTML-Applikation die schädliche Prozesse im Hintergrund auslöst sobald sie ein ahnungsloser Benutzer öffnet. Diese irreführenden E-Mails können die folgenden Betreffe haben: „Quittung“ oder „Beschwerdebrief“. Die angehängte Datei ist höchst wahrscheinlich ein ZIP Archiv das sich in eine Datei mit dem Namen Quittung [zufällige Zahlen].hta, Beschwerdebrief [zufällige Zahlen].hta oder Gespeicherter Brief [Zufallstext].hta extrahiert. Die Verwendung dieses neuen Formats des Loaders zielt vermutlich darauf ab, eine AV-Erkennung zu vermeiden und den Angriffs-Workflow zu straffen.
Sobald die ausführbare Ransomwaredatei im Zielsystem gelagert und geöffnet wird, wird ein Datenscan gestartet. Während dieses Scans sucht die .thor Version von Locky nach weit verbreiteten Dateitypen auf der Festplatte, austauschbaren Laufwerken, sofern diese mit dem Computer verbunden sind, und Netzwerkfreigaben. Dann verwendet es eine Kombination aus kryptografischen RSA-2048 und AES-128-Algorithmen um alle Einträge, die während des Scans als persönlich identifiziert werden, zu verschlüsseln. Die Infektion breitet sich dann weiter aus, indem das Hintergrundbild mit einer Warnung ersetzt wird. Außerdem werden Lösegeldforderungen auf dem Desktop und auf verschlüsselten Verzeichnissen angezeigt die „_HOWDO_text“ heißen. Diese Anleitungen, zusammen mit dem neuen Hintergrundbild, weisen das Opfer an die Locky Decryptor Seite aufzurufen, bestimmte Informationen einzugeben und somit 0,5 Bitcoins für die automatische Entschlüsselungslösung zu überweisen.
Eine interessante Eigenschaft der .thor Erweiterungsvariante von Locky ist, dass sie Daten im Offline-Modus verschlüsseln kann. Das bedeutet, dass eine Abfrage eines externen Befehls- und Steuerservers für Krypto Schlüssel nicht nötig ist und es sich dabei also nun um eine autonome Bedrohung handelt. Darüber hinaus ist nicht klar wie weite die eigene Firewall reicht, was den Angreifern eine weitere Schicht zur Verschleierung bietet. Während die Entschlüsselung von .thor Dateien ohne Bezahlung für den privaten RSA Schlüssel kaum möglich ist, sollten infizierte Benutzer die Nutzung einer intelligenten forensischen Methode zur Wiederherstellung der wichtigsten Daten in Erwägung ziehen.
Automatische Entfernung des .thor Erweiterungs-Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Thor Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen von verschlüsselten .thor Dateien
Es wurde bereits erwähnt, dass Thor eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Thor die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Thor verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfe ob die Locky Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Thor Ransomware Scanner und Entferner herunter