In den letzten Jahren verbreiten Cyberkriminelle eine neue Art von Viren, die Dateien auf Ihrem Computer (oder Ihrem Netzwerk) verschlüsseln können, um von ihren Opfern leichtes Geld zu verdienen. Diese Art von Viren werden als „Ransomware“ bezeichnet und können Computersysteme infizieren, wenn der Benutzer des Computers dies nicht tut Vorsicht beim Öffnen von Anhängen oder Links von unbekannten Absendern oder gehackten Seiten Cyberkriminelle. Meiner Erfahrung nach besteht der einzige sichere Weg, sich vor dieser Art von Viren zu schützen, darin, saubere Backups Ihrer Dateien an einem von Ihrem Computer getrennten Ort zu speichern. Zum Beispiel in einer nicht angeschlossenen externen USB-Festplatte oder in DVD-Roms.
Dieser Artikel enthält wichtige Informationen über einige bekannte verschlüsselnde Ransomware-Krypt-Viren, die entwickelt wurden, um Verschlüsseln Sie kritische Dateien sowie die verfügbaren Optionen und Dienstprogramme, um Ihre verschlüsselten Dateien nach einer Infektion zu entschlüsseln. Ich habe diesen Artikel geschrieben, um alle Informationen zu den verfügbaren Entschlüsselungstools an einem Ort zu halten, und ich werde versuchen, diesen Artikel auf dem neuesten Stand zu halten. Bitte teilen Sie uns Ihre Erfahrungen und alle anderen neuen Informationen mit, die Sie möglicherweise kennen, um sich gegenseitig zu helfen.
So entschlüsseln Sie von Ransomware verschlüsselte Dateien – Beschreibung und bekannte Entschlüsselungstools – Methoden:
- RANSOWARE-NAME
- Kryptowall
- CryptoDefense & How_Decrypt
- Cryptorbit oder HowDecrypt
- Cryptolocker (Troj/Ransom-ACP“, „Trojan. Ransomcrypt. F)
- CryptXXX V1, V2, V3 (Varianten: .crypt, crypz oder 5 hexadezimale Zeichen)
- Locky & AutoLocky (Varianten: .locky)
- Trojaner-Lösegeld. Win32.Rector
- Trojaner-Lösegeld. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
- Trojaner-Lösegeld. Win32.Rakhni
- Trojaner-Lösegeld. Win32.Rannoh oder Trojan-Ransom. Win32.Cryakl.
- TeslaCrypt (Varianten: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc und .vvv)
- TeslaCrypt 3.0 (Varianten: .xxx, .ttt, .micro, .mp3)
- TeslaCrypt 4.0 (Dateiname & Erweiterung unverändert)
Aktualisierungen Juni 2016:
1. Trend Micro hat veröffentlicht Ransomware-Dateientschlüsseler Tool, um zu versuchen, Dateien zu entschlüsseln, die von den folgenden Ransomware-Familien verschlüsselt wurden:
CryptXXX V1, V2, V3*
.crypt, crypz oder 5 hexadezimale Zeichen
CryptXXX V4, V5.5 Hexadezimale Zeichen
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX oder TTT oder MP3 oder MICRO
TeslaCrypt V4.
SNSLocker.RSNSLocked
AutoLocky.locky
BadBlock
777.777
XORIST.xorist oder zufällige Erweiterung
XORBAT.verschlüsselt
CERBER V1 <10 zufällige Charaktere>.cerber
Stampado.gesperrt
Nemukod.verschlüsselt
Chimäre.Krypta
* Notiz: Gilt für CryptXXX V3 Ransomware: Aufgrund der fortschrittlichen Verschlüsselung dieser speziellen Crypto-Ransomware werden nur Teildaten Die Entschlüsselung von Dateien, die von CryptXXX V3 betroffen sind, ist derzeit möglich, und Sie müssen ein Reparaturtool eines Drittanbieters verwenden, um Ihre zu reparieren Dateien wie: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Um das Ransomware File Decrypter-Tool von Trend Micro herunterzuladen (und die Anweisungen zu seiner Verwendung zu lesen), navigieren Sie zu dieser Seite: Herunterladen und Verwenden des Trend Micro Ransomware File Decryptor
2. Kasperky hat die folgenden Entschlüsselungstools veröffentlicht:
A. Das RakhniDecryptor-Tool von Kaspersky wurde entwickelt, um Dateien zu entschlüsseln, die betroffen sind von*:
* Notiz: Das Dienstprogramm RakhniDecryptor wird immer aktualisiert, um Dateien aus mehreren Ransomware-Familien zu entschlüsseln.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Kryptokluchen
Demokratie
Bitman – TeslaCrypt-Version 3 und 4B. Kasperskys RannohDecryptor-Tool wurde entwickelt, um Dateien zu entschlüsseln, die betroffen sind von:
Rannoh
AutoIt
Zorn
Krybola
Cryakl
CryptXXX Version 1 und 2
Cryptowalll – Vireninformationen und Entschlüsselungsoptionen.
Der Kryptowall (oder "Cryptowall-Entschlüsseler”) Virus ist die neue Variante von Kryptoverteidigung Ransomware-Virus. Wenn ein Computer infiziert ist mit Kryptowall Ransomware, dann alle kritischen Dateien auf dem Computer (einschließlich der Dateien auf zugeordneten –Netzwerk-Laufwerken, wenn Sie in einem Netzwerk angemeldet sind) werden mit einer starken Verschlüsselung verschlüsselt, die eine Entschlüsselung praktisch unmöglich macht Ihnen. Nach dem Kryptowall Verschlüsselung erstellt der Virus den privaten Schlüssel (Passwort) und sendet ihn an einen privaten Server, damit er vom Kriminellen zum Entschlüsseln Ihrer Dateien verwendet werden kann. Danach teilen die Kriminellen ihren Opfern mit, dass alle ihre kritischen Dateien verschlüsselt sind und die einzige Möglichkeit, sie zu entschlüsseln, darin besteht, ein Lösegeld von 500 $ (oder mehr) in einem definierten Zeitraum zahlen, andernfalls wird das Lösegeld verdoppelt oder ihre Dateien gehen verloren permanent.
So entschlüsseln Sie mit Cryptowall infizierte Dateien und erhalten Ihre Dateien zurück:
Wenn Sie entschlüsseln möchten Kryptowall verschlüsselte Dateien und erhalten Sie Ihre Dateien zurück, dann haben Sie diese Optionen:
A. Die erste Möglichkeit besteht darin, das Lösegeld zu zahlen. Wenn Sie sich dafür entscheiden, dann fahren Sie mit der Zahlung auf eigenes Risiko fort, da nach unseren Recherchen einige Benutzer ihre Daten zurückbekommen und andere nicht. Denken Sie daran, dass Kriminelle nicht die vertrauenswürdigsten Menschen auf dem Planeten sind.
B. Die zweite Möglichkeit besteht darin, den infizierten Computer zu bereinigen und dann Ihre infizierten Dateien aus einem sauberen Backup (sofern vorhanden) wiederherzustellen.
C. Wenn Sie kein sauberes Backup haben, bleibt nur die Möglichkeit, Ihre Dateien in früheren Versionen von „Schattenkopien”. Beachten Sie, dass dieses Verfahren nur unter Windows 8, Windows 7 und Vista OS funktioniert und nur, wenn die „Systemwiederherstellung”-Funktion war zuvor auf Ihrem Computer aktiviert und wurde nach dem Kryptowall Infektion.
- Empfehlungslink: So stellen Sie Ihre Dateien aus Schattenkopien wieder her.
Eine detaillierte Analyse von Kryptowall Eine Ransomware-Infektion und -Entfernung finden Sie in diesem Beitrag:
- So entfernen Sie den CryptoWall-Virus und stellen Ihre Dateien wieder her
CryptoDefense & How_Decrypt – Virusinformationen & Entschlüsselung.
Kryptoverteidigungist ein weiterer Ransomware-Virus, der alle Dateien auf Ihrem Computer unabhängig von ihrer Erweiterung (Dateityp) mit starker Verschlüsselung verschlüsseln kann, so dass es praktisch unmöglich ist, sie zu entschlüsseln. Der Virus kann die „Systemwiederherstellung”-Funktion auf dem infizierten Computer und löscht möglicherweise alle “Schattenvolumenkopien”-Dateien, sodass Sie Ihre Dateien nicht auf ihre früheren Versionen wiederherstellen können. Bei Ansteckung Kryptoverteidigung Ransomware-Virus erstellt zwei Dateien in jedem infizierten Ordner („How_Decrypt.txt“ und „How_Decrypt.html“) mit detaillierten Anweisungen zur Zahlung der Lösegeld, um Ihre Dateien zu entschlüsseln, und sendet den privaten Schlüssel (Passwort) an einen privaten Server, damit der Kriminelle Ihre Dateien entschlüsseln kann Dateien.
Eine detaillierte Analyse von Kryptoverteidigung Eine Ransomware-Infektion und -Entfernung finden Sie in diesem Beitrag:
- So entfernen Sie den CryptoDefense-Virus und stellen Ihre Dateien wieder her
So entschlüsseln Sie mit Cryptodefense verschlüsselte Dateien und erhalten Ihre Dateien zurück:
Um zu entschlüsseln Kryptoverteidigung infizierte Dateien haben Sie folgende Möglichkeiten:
A. Die erste Möglichkeit besteht darin, das Lösegeld zu zahlen. Wenn Sie sich dazu entscheiden, fahren Sie mit der Zahlung auf eigenes Risiko fort, da nach unseren Recherchen einige Benutzer ihre Daten zurückbekommen und andere nicht. Denken Sie daran, dass Kriminelle nicht die vertrauenswürdigsten Menschen auf dem Planeten sind.
B. Die zweite Möglichkeit besteht darin, den infizierten Computer zu bereinigen und dann Ihre infizierten Dateien aus einem sauberen Backup (sofern vorhanden) wiederherzustellen.
C. Wenn Sie kein sauberes Backup haben, können Sie versuchen, Ihre Dateien in früheren Versionen von „Schattenkopien”. Beachten Sie, dass dieses Verfahren nur unter Windows 8, Windows 7 und Vista OS funktioniert und nur, wenn die „Systemwiederherstellung”-Funktion war zuvor auf Ihrem Computer aktiviert und wurde nach dem Kryptoverteidigung Infektion.
- Empfehlungslink: So stellen Sie Ihre Dateien aus Schattenkopien wieder her.
D. Wenn Sie schließlich kein sauberes Backup haben und Ihre Dateien nicht von „Schattenkopien“, dann können Sie versuchen zu entschlüsseln Cryptodefense verschlüsselte Dateien mit dem Der Entschlüsseler von Emsisoft Dienstprogramm. Das zu tun:
Wichtiger Hinweis: Dieses Dienstprogramm funktioniert nur für Computer, die vor dem 1. April 2014 infiziert wurden.
1.Herunterladen “Emsisoft Entschlüsseler”-Dienstprogramm auf Ihren Computer (z. B. Ihr Desktop).
2. Wenn der Download abgeschlossen ist, navigieren Sie zu Ihrem Desktop und "Extrakt" das "decrypt_cryptodefense.zip" Datei.
3. Jetzt Doppelklick um die „decrypt_cryptodefense“ Dienstprogramm.
4. Drücken Sie abschließend die „Entschlüsseln“, um Ihre Dateien zu entschlüsseln.
Quelle – Zusätzliche Informationen: Ein detailliertes Tutorial zum Entschlüsseln von mit CryptoDefense verschlüsselten Dateien mit Entschlüsseler von Emsisoft Dienstprogramm finden Sie hier: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit oder HowDecrypt – Virusinformationen & Entschlüsselung.
Kryptorbit oder WieEntschlüsseln virus ist ein Ransomware-Virus, der alle Dateien auf Ihrem Computer verschlüsseln kann. Sobald Ihr Computer infiziert ist mit Kryptorbit virus werden alle Ihre kritischen Dateien unabhängig von ihrer Erweiterung (Dateityp) mit einer starken Verschlüsselung verschlüsselt, die es praktisch unmöglich macht, sie zu entschlüsseln. Der Virus erstellt außerdem in jedem infizierten Ordner auf Ihrem Computer zwei Dateien („HowDecrypt.txt“ und „HowDecrypt.gif“) mit detaillierten Anweisungen, wie Sie das Lösegeld bezahlen und Ihre Dateien entschlüsseln können.
Eine detaillierte Analyse von Kryptorbit Eine Ransomware-Infektion und -Entfernung finden Sie in diesem Beitrag:
- So entfernen Sie den Cryptorbit (HOWDECRYPT)-Virus und stellen Ihre Dateien wieder her
So entschlüsseln Sie mit Cryptorbit infizierte Dateien und erhalten Ihre Dateien zurück:
Um zu entschlüsseln Kryptorbit verschlüsselte Dateien haben Sie diese Möglichkeiten:
A. Die erste Möglichkeit besteht darin, das Lösegeld zu zahlen. Wenn Sie sich dafür entscheiden, dann fahren Sie mit der Zahlung auf eigenes Risiko fort, da nach unseren Recherchen einige Benutzer ihre Daten zurückbekommen und andere nicht.
B. Die zweite Möglichkeit besteht darin, den infizierten Computer zu bereinigen und dann Ihre infizierten Dateien aus einem sauberen Backup (sofern vorhanden) wiederherzustellen.
C. Wenn Sie kein sauberes Backup haben, können Sie versuchen, Ihre Dateien in früheren Versionen von „Schattenkopien”. Beachten Sie, dass dieses Verfahren nur unter Windows 8, Windows 7 und Vista OS funktioniert und nur, wenn die „Systemwiederherstellung”-Funktion war zuvor auf Ihrem Computer aktiviert und wurde nach dem Kryptorbit Infektion.
- Empfehlungslink: So stellen Sie Ihre Dateien aus Schattenkopien wieder her.
D. Wenn Sie schließlich kein sauberes Backup haben und Ihre Dateien nicht von „Schattenkopien” dann kannst du versuchen zu entschlüsseln Kryptorbits verschlüsselte Dateien mit dem Anti-CryptorBit Dienstprogramm. Das zu tun:
1.Herunterladen “Anti-CryptorBit”-Dienstprogramm auf Ihren Computer (z. B. Ihr Desktop)
2. Wenn der Download abgeschlossen ist, navigieren Sie zu Ihrem Desktop und "Extrakt" das "Anti-CryptorBitV2.zip" Datei.
3. Jetzt Doppelklick die laufen lassen Anti-CryptorBitv2 Dienstprogramm.
4. Wählen Sie aus, welche Art von Dateien Sie wiederherstellen möchten. (z. B. „JPG“)
5. Wählen Sie schließlich den Ordner aus, der die beschädigten/verschlüsselten (JPG) Dateien enthält und drücken Sie dann die „Anfang”-Taste, um sie zu beheben.
Cryptolocker – Virusinformationen & Entschlüsselung.
Kryptolocker (auch bekannt als "Troj/Lösegeld-ACP”, “Trojaner. Ransomcrypt. F”) ist ein bösartiger Ransomware-Virus (TROJAN) und verschlüsselt, wenn er Ihren Computer infiziert, alle Dateien unabhängig von ihrer Erweiterung (Dateityp). Die schlechte Nachricht bei diesem Virus ist, dass Ihre kritischen Dateien, sobald sie Ihren Computer infiziert haben, mit einer starken Verschlüsselung verschlüsselt werden und es praktisch unmöglich ist, sie zu entschlüsseln. Sobald ein Computer mit dem Cryptolocker-Virus infiziert ist, erscheint eine Informationsnachricht auf dem Computer des Opfers, die eine Zahlung (Lösegeld) von 300 $ (oder mehr) fordert, um Ihre Dateien zu entschlüsseln.
Eine detaillierte Analyse von Kryptolocker Eine Ransomware-Infektion und -Entfernung finden Sie in diesem Beitrag:
- So entfernen Sie CryptoLocker Ransomware und stellen Ihre Dateien wieder her
So entschlüsseln Sie mit Cryptolocker infizierte Dateien und erhalten Ihre Dateien zurück:
Um zu entschlüsseln Kryptolocker infizierte Dateien haben Sie folgende Möglichkeiten:
A. Die erste Möglichkeit besteht darin, das Lösegeld zu zahlen. Wenn Sie sich dafür entscheiden, dann fahren Sie mit der Zahlung auf eigenes Risiko fort, da nach unseren Recherchen einige Benutzer ihre Daten zurückbekommen und andere nicht.
B. Die zweite Möglichkeit besteht darin, den infizierten Computer zu bereinigen und dann Ihre infizierten Dateien aus einem sauberen Backup (sofern vorhanden) wiederherzustellen.
C. Wenn Sie kein sauberes Backup haben, können Sie versuchen, Ihre Dateien in früheren Versionen von „Schattenkopien”. Beachten Sie, dass dieses Verfahren nur unter Windows 8, Windows 7 und Vista OS funktioniert und nur, wenn die „Systemwiederherstellung”-Funktion war zuvor auf Ihrem Computer aktiviert und wurde nach dem Kryptolocker Infektion.
- Empfehlungslink: So stellen Sie Ihre Dateien aus Schattenkopien wieder her.
D. Im August 2014, FireEye & Fox-IT haben einen neuen Dienst veröffentlicht, der den privaten Entschlüsselungsschlüssel für Benutzer abruft, die mit der CryptoLocker-Ransomware infiziert wurden. Der Dienst heißt 'DecryptCryptoLocker' (der Dienst wurde eingestellt), es ist weltweit verfügbar und erfordert keine Registrierung oder Angabe von Kontaktinformationen, um es verwenden zu können.
Um diesen Service nutzen zu können, müssen Sie diese Seite besuchen: (der Dienst wurde eingestellt) und laden Sie eine verschlüsselte CryptoLocker-Datei vom infizierten Computer hoch (Hinweis: Laden Sie eine Datei hoch, die keine sensiblen und/oder privaten Informationen enthält). Danach müssen Sie eine E-Mail-Adresse angeben, um Ihren privaten Schlüssel und einen Link zum Herunterladen des Entschlüsselungstools zu erhalten. Führen Sie schließlich das heruntergeladene CryptoLocker-Entschlüsselungstool (lokal auf Ihrem Computer) aus und geben Sie Ihren privaten Schlüssel ein, um Ihre mit CryptoLocker verschlüsselten Dateien zu entschlüsseln.
Weitere Informationen zu diesem Service finden Sie hier: FireEye und Fox-IT kündigen neuen Service an, um CryptoLocker-Opfern zu helfen.
CryptXXX V1, V2, V3 (Varianten: .crypt, crypz oder 5 hexadezimale Zeichen).
- CryptXXX V1 & CryptXXX V2 Ransomware verschlüsselt Ihre Dateien und fügt nach der Infektion die Erweiterung ".crypt" am Ende jeder Datei hinzu.
- CryptXXX v3 fügt nach der Verschlüsselung Ihrer Dateien die Erweiterung ".cryptz" hinzu.
Der Trojaner CryptXXX verschlüsselt folgende Dateitypen:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
So entschlüsseln Sie CryptXXX-Dateien.
Wenn Sie mit CryptXXX Version 1 oder Version 2 infiziert sind, verwenden Sie Kasperskys RannohDecryptor-Tool um Ihre Dateien zu entschlüsseln.
Wenn Sie mit CryptXXX Version 3 infiziert sind, verwenden Sie Ransomware File Decryptor von Trend Micro. *
Notiz: Aufgrund der fortschrittlichen Verschlüsselung des CryptXXX V3-Virus ist derzeit nur eine teilweise Datenentschlüsselung möglich und Sie müssen ein Reparaturtool eines Drittanbieters verwenden, um Ihre Dateien wie folgt zu reparieren: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Locky & AutoLocky (Varianten: .locky)
Locky Ransomware verschlüsselt Ihre Dateien mit RSA-2048- und AES-128-Verschlüsselung und nach der Infektion werden alle Ihre Dateien in einen eindeutigen – 32-stelligen Dateinamen mit der Erweiterung „.locky“ umbenannt (z. B. „1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky Virus kann lokale oder Netzlaufwerke infizieren und erstellt während der Infektion eine Datei mit dem Namen "_HELP_instructions.html" auf jedem infizierten Ordner, mit Anweisungen, wie Sie das Lösegeld bezahlen und Ihre Dateien mit dem TOR-Browser entschlüsseln können.
AutoLocky ist eine weitere Variante des Locky-Virus. Der Hauptunterschied zwischen Locky und Autolocky besteht darin, dass Autolocky den ursprünglichen Namen der Datei während der Infektion nicht ändert. (z.B. wenn eine Datei den Namen "Dokument1.doc" vor der Infektion benennt Autolocky es um in "Dokument1.doc.locky")
So entschlüsseln Sie .LOCKY-Dateien:
- Die erste Möglichkeit besteht darin, den infizierten Computer zu bereinigen und dann Ihre infizierten Dateien aus einem sauberen Backup (sofern vorhanden) wiederherzustellen.
- Die zweite Möglichkeit, wenn Sie kein sauberes Backup haben, besteht darin, Ihre Dateien in früheren Versionen von „Schattenkopien”. So stellen Sie Ihre Dateien aus Schattenkopien wieder her.
- Die dritte Option ist die Verwendung der Emsisofts Decrypter für AutoLocky um Ihre Dateien zu entschlüsseln. (Das Entschlüsselungstool funktioniert nur für Autolocky).
Trojaner-Lösegeld. Win32.Rector – Virusinformationen & Entschlüsselung.
Der Trojanischer Rektor verschlüsselt Dateien mit den folgenden Erweiterungen: .doc, .jpg, .pdf.rar, und nach der infektion es macht sie unbrauchbar. Sobald Ihre Dateien infiziert sind mit Trojanischer Rektor, dann werden die Erweiterungen der infizierten Dateien geändert in .VSCRYPT, .INFIZIERT, .KORREKTOR oder .BLOCK und das macht sie unbrauchbar. Wenn Sie versuchen, die infizierten Dateien zu öffnen, wird auf Ihrem Bildschirm eine Nachricht in kyrillischer Schrift angezeigt, die die Lösegeldforderung und die Details zur Zahlung enthält. Der Cyberkriminelle, der die Trojanischer Rektor namens "††KOPEKTOP†† und bittet darum, per E-Mail oder ICQ (EMAIL: [email protected] / ICQ: 557973252 oder 481095) mit ihm zu kommunizieren, um Anweisungen zum Entsperren Ihrer Dateien zu geben.
So entschlüsseln Sie mit Trojan Rector infizierte Dateien und erhalten Ihre Dateien zurück:
Beratung: Kopieren Sie alle infizierten Dateien in ein separates Verzeichnis und schließen Sie alle geöffneten Programme, bevor Sie mit dem Scannen und Entschlüsseln der betroffenen Dateien fortfahren.
1. Herunterladen Rektor EntschlüsselerDienstprogramm (von Kaspersky Labs) zu deinem Computer.
2. Wenn der Download abgeschlossen ist, führen Sie RectorDecryptor.exe.
3. Drücken Sie die „Scan starten“, um Ihre Laufwerke nach verschlüsselten Dateien zu durchsuchen.
4. Lasst den RectorDecryptor Dienstprogramm zum Scannen und Entschlüsseln der verschlüsselten Dateien (mit Erweiterungen .vscrypt, .infiziert, .bloc, .korrektor) und wählen Sie dann die Option „Verschlüsselte Dateien nach der Entschlüsselung löschen“, wenn die Entschlüsselung erfolgreich war. *
* Nach der Entschlüsselung finden Sie ein Protokoll des Scan-/Entschlüsselungsprozesses im Stammverzeichnis Ihres Laufwerks C:\ (z. B. „C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).
5. Abschließend überprüfen und bereinigen Sie Ihr System von möglicherweise vorhandenen Malware-Programmen.
Quelle – Zusätzliche Informationen:http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojaner-Lösegeld. Win32.Xorist, Trojan-Ransom. MSIL.Vandev – Virusinformationen & Entschlüsselung.
DerTrojaner Lösegeld Xorist & Trojaner Lösegeld Valdev, verschlüsselt Dateien mit den folgenden Erweiterungen:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mitte, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, roh, saf, val, welle, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, tinte, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, akt, adt, ziel, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, punkt, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, mann, mbox, msg, nfo, jetzt, odm, oft, pwi, rng, rtx, laufen, ssa, text, unx, wbk, wsh, 7z, bogen, ari, arj, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, krieg, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, groß, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, karte, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, traurig, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, festplatte, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, topf, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, wmt, wm xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, kappe, cc, kabeljau, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, für, fpp, jav, java, lbi, eule, pl, plc, pli, pm, res, rnc, rsrc, also, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, affe, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Nach der Infektion,Trojaner Lösegeld Xorist gefährdet die Sicherheit Ihres Computers, macht Ihren Computer instabil und zeigt Meldungen auf Ihrem Bildschirm an, die ein Lösegeld verlangen, um die infizierten Dateien zu entschlüsseln. Die Nachrichten enthalten auch Informationen zur Zahlung des Lösegelds, um das Entschlüsselungsprogramm von den Cyberkriminellen zu erhalten.
So entschlüsseln Sie Dateien, die mit dem Trojaner Win32.Xorist oder dem Trojaner MSIL.Vandev infiziert sind:
Beratung: Kopieren Sie alle infizierten Dateien in ein separates Verzeichnis und schließen Sie alle geöffneten Programme, bevor Sie mit dem Scannen und Entschlüsseln der betroffenen Dateien fortfahren.
1. Herunterladen Xorist DecryptorDienstprogramm (von Kaspersky Labs) zu deinem Computer.
2. Wenn der Download abgeschlossen ist, führen Sie XoristDecryptor.exe.
Notiz: Wenn Sie die verschlüsselten Dateien nach Abschluss der Entschlüsselung löschen möchten, klicken Sie auf „Parameter ändern” Option und aktivieren Sie das “Verschlüsselte Dateien nach der Entschlüsselung löschen” Checkbox unter “Zusätzliche Optionen”.
3. Drücken Sie die „Scan starten" Taste.
4. Geben Sie den Pfad von mindestens einer verschlüsselten Datei ein und warten Sie dann, bis das Dienstprogramm die verschlüsselten Dateien entschlüsselt.
5. Wenn die Entschlüsselung erfolgreich war, starten Sie Ihren Computer neu und scannen und bereinigen Sie dann Ihr System von möglicherweise vorhandenen Malware-Programmen.
Quelle – Zusätzliche Informationen: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojaner-Lösegeld. Win32.Rakhni – Virusinformationen & Entschlüsselung.
Der Trojanisches Lösegeld Rakhni verschlüsselt Dateien, indem die Dateierweiterungen wie folgt geändert werden:
Nach der Verschlüsselung sind Ihre Dateien unbrauchbar und Ihre Systemsicherheit ist gefährdet. Auch die Trojaner-Lösegeld. Win32.Rakhni erstellt eine Datei auf Ihrem %ANWENDUNGSDATEN% Ordner mit dem Namen „exit.hhr.shit“, das das verschlüsselte Passwort für die infizierten Dateien enthält.
Warnung: Der Trojaner-Lösegeld. Win32.Rakhni schafft die „exit.hhr.shit”-Datei, die ein verschlüsseltes Kennwort für die Dateien des Benutzers enthält. Wenn diese Datei auf dem Computer verbleibt, wird die Entschlüsselung mit dem RakhniDecryptor Dienstprogramm schneller. Wenn die Datei entfernt wurde, kann sie mit Dateiwiederherstellungsdienstprogrammen wiederhergestellt werden. Nachdem die Datei wiederhergestellt wurde, legen Sie sie in %ANWENDUNGSDATEN% und führen Sie den Scan mit dem Dienstprogramm erneut aus.
%ANWENDUNGSDATEN% Ordnerspeicherort:
-
Windows XP: C:\Dokumente und Einstellungen\
\Anwendungsdaten -
Windows 7/8: C:\Benutzer\
\App-Daten-Roaming
So entschlüsseln Sie mit Trojan Rakhni infizierte Dateien und erhalten Ihre Dateien zurück:
1. Herunterladen Rakhni-EntschlüsselerDienstprogramm (von Kaspersky Labs) zu deinem Computer.
2. Wenn der Download abgeschlossen ist, führen Sie RakhniDecryptor.exe.
Notiz: Wenn Sie die verschlüsselten Dateien nach Abschluss der Entschlüsselung löschen möchten, klicken Sie auf „Parameter ändern” Option und aktivieren Sie das “Verschlüsselte Dateien nach der Entschlüsselung löschen” Checkbox unter “Zusätzliche Optionen”.
3. Drücken Sie die „Scan starten“, um Ihre Laufwerke nach verschlüsselten Dateien zu durchsuchen.
4. Geben Sie den Pfad mindestens einer verschlüsselten Datei ein (z. B. „file.doc.locked“) und warten Sie dann, bis das Dienstprogramm das Kennwort aus dem „exit.hhr.shit”-Datei (beachten Sie die Warnung) und entschlüsselt Ihre Dateien.
Quelle – Zusätzliche Informationen: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojaner-Lösegeld. Win32.Rannoh (Trojaner-Ransom. Win32.Cryakl) – Virusinformationen & Entschlüsselung.
Der Trojaner Rannoh oder Trojaner Cryakl verschlüsselt alle Dateien auf Ihrem Computer wie folgt:
- Im Falle von a Trojaner-Lösegeld. Win32.Rannoh Infektion, Dateinamen und Erweiterungen werden entsprechend der gesperrten Vorlage geändert.
. . - Im Falle von a Trojaner-Lösegeld. Win32.Cryakl Infektion wird das Tag {CRYPTENDBLACKDC} am Ende der Dateinamen hinzugefügt.
So entschlüsseln Sie mit Trojan Rannoh oder Trojan Cryakl infizierte Dateien und erhalten Ihre Dateien zurück:
Wichtig: DerRannoh-Entschlüsseler Dienstprogramm entschlüsselt Dateien, indem es eine verschlüsselte und eine entschlüsselte Datei vergleicht. Wenn Sie also die verwenden möchten Rannoh-Entschlüsseler Dienstprogramm zum Entschlüsseln von Dateien müssen Sie vor der Infektion eine Originalkopie von mindestens einer verschlüsselten Datei besitzen (z. B. von einem sauberen Backup).
1. Herunterladen Rannoh-EntschlüsselerDienstprogramm auf Ihren Computer.
2. Wenn der Download abgeschlossen ist, führen Sie RannohDecryptor.exe
Notiz: Wenn Sie die verschlüsselten Dateien nach Abschluss der Entschlüsselung löschen möchten, klicken Sie auf „Parameter ändern” Option und aktivieren Sie das “Verschlüsselte Dateien nach der Entschlüsselung löschen” Checkbox unter “Zusätzliche Optionen”.
3. Drücken Sie die „Scan starten" Taste.
4. Lies das "Informationen benötigt“ Nachricht und klicken Sie dann auf “Fortsetzen“ und geben Sie den Pfad zu einer Originalkopie von mindestens einer verschlüsselten Datei vor der Infektion (sauber – Original – Datei) und den Pfad zur verschlüsselten Datei (infiziert – verschlüsselte -Datei) an.
5. Nach der Entschlüsselung finden Sie im Stammverzeichnis Ihres Laufwerks C:\ ein Berichtsprotokoll des Scan-/Entschlüsselungsprozesses. (z.B. "C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).
Quelle – Zusätzliche Informationen: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (Varianten: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc und .vvv)
Der TeslaCrypt Ransomware-Virus fügt Ihren Dateien die folgenden Erweiterungen hinzu: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc und .vvv.
So entschlüsseln Sie TeslaCrypt-Dateien:
Wenn Sie mit dem TeslaCrypt-Virus infiziert sind, verwenden Sie eines dieser Tools, um Ihre Dateien zu entschlüsseln:
- TeslaDecoder: Weitere Informationen und Anweisungen zur Verwendung TeslaDecoder finden Sie in diesem Artikel: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
- Trend Micro Ransomware-Dateientschlüsseler.
TeslaCrypt V3.0 (Varianten: .xxx, .ttt, .micro, .mp3)
Der TeslaCrypt 3.0 Ransomware-Virus fügt Ihren Dateien die folgenden Erweiterungen hinzu: .xxx, .ttt, .micro & .mp3
So entschlüsseln Sie TeslaCrypt V3.0-Dateien:
Wenn Sie infiziert sind mit TeslaCrypt 3.0 Versuchen Sie dann, Ihre Dateien wiederherzustellen mit:
- Trend Micro Ransomware File Decryptor Werkzeug.
- RakhniDecryptor (Anleitung)
- Tesla-Decoder (Anleitung)
- Tesladecrypt – McAfee
TeslaCrypt V4.0 (Dateiname und Erweiterung sind unverändert)
Um TeslaCrypt V4-Dateien zu entschlüsseln, versuchen Sie es mit einem der folgenden Dienstprogramme:
- Trend Micro Ransomware File Decryptor Werkzeug.
- RakhniDecryptor (Anleitung)
- Tesla-Decoder (Anleitung)
EnzoS.
8. Oktober 2016 um 8:01 Uhr