Avast Ransomware

Auf diese Weise können wir Ihnen bei der Wiederherstellung Ihrer chiffrierten Daten behilflich sein, wenn Ihr Rechner mit einer der nachstehenden Arten von Ransomware befallen ist: Alle diese Werkzeuge sind kostenfrei und werden so weit wie möglich aktualisiert, wenn sich die Ransomware geändert hat. Nachdem die ersten sieben Entschlüsselungswerkzeuge veröffentlicht wurden, bekamen wir viele Mitteilungen von Opfern von Ransomware.

Es ist zu wünschen, dass die neuen Entschlüsselungswerkzeuge noch mehr unschuldige Menschen unterstützen, die von diesen Arten von Ransomware befallen sind. Nachfolgend finden Sie eine Kurzbeschreibung jeder der vier neuen Arten von Ransomware, für die wir nun Entschlüsselungswerkzeuge anbieten: Der Alcatraz Locker ist eine Ransomware-Art, die in der zweiten Novemberhälfte 2016 gefunden wurde. Von Alcatraz Locker verschlüsselte Daten haben die Erweiterung ".Alcatraz".

Nach der Verschlüsselung der Daten erfolgt eine Meldung (in einer so genannten Problemdatei "ransomed. html" auf dem Schreibtisch des betroffenen Computers): Anders als andere Arten von Ransomware hat Alcatraz keine Dateierweiterung, an der die Ransomware interessier. Einfach ausgedrückt, die Ransomware chiffriert alles, was sie findet, und erlaubt Schreibzugriffe.

Zur Vermeidung von Schäden am Betriebsystem (und der damit verbundenen Gefährdung, dass es nicht mehr booten kann) werden bei Alcatraz Locker nur solche Daten im Profildateiverzeichnis (meist C:/Users oder C:/Benutzer) aufbereitet. Der Alcatraz Locker kodiert Akten mit kryptographischen Merkmalen (Crypto-API), die in Windows integriert sind: Die Ransomware-Nachricht besagt, dass diese Verschlüsselung nach AES-256 ein 128-Bit-Passwort benutzt.

Die Kryptographie-API (die von der Ransomware benutzt wird) hat nun eine interessante Wendung: Erstellen Sie einen 256-Bit-Bereich, der mit dem hexadezimalen 0x36 aufgefüllt ist. Nach der Durchführung der AES-256 Verschlüsselung verschlüsselt die Ransomware auch die bereits kodierte Akte mit BASF64, so dass die kodierte Akte einem charakteristischen Schema folgt: Für die Freigabe Ihrer Angaben benötigt die Ransomware eine Gebühr von 0,3283 Stück Mühsal ( "Bitcoins") (zum jetzigen Stand ca. 224 Euro).

Falls Sie jedoch das Avast Entschlüsselungswerkzeug für Alcatraz verwenden, können Sie Ihre Daten kostenfrei zurückerhalten. Die in der Lösegeldnachricht genannte 30-Tage-Frist ist eine Lügnerin - Sie können Ihre Unterlagen auch nach 30 Tagen zu jeder Zeit dechiffrieren. Die CrySis (auch bekannt als Johanniskryptor oder Virenkodierung), ist eine Ransomware-Art, die es seit Sept. 2015 gibt.

Das Problem besteht darin, dass die Ransomware auf einer leistungsfähigen Chiffrierung (AES- und RSA-Algorithmen) aufbaut. Darüber hinaus finden Sie eine Reihe von Dateierweiterungen, die nicht chiffriert sind, anstatt einzelne Datensätze zu verschlüsseln. Obwohl sich die ID-Nummer und die E-Mail-Adresse häufig ändert, gibt es nur drei verschiedene Enden, von denen wir bisher wissen: So können entschlüsselte Filenamen wie folgt aussehen: .systemdown@india.com.

Textbl, Jede kodierte Akte beinhaltet alle notwendigen Angaben, um sich selbst zu dekodieren. Die Anzahl der gefundenen Daten ist kleiner als 262. 144 Byte sind vollkodiert. Das Endergebnis ist eine strukturierte Form, die einen kodierten AES-Schlüssel und andere Daten wie den ursprünglichen Filenamen beinhaltet und eine vollständige Dekodierung ermöglicht. Dabei ist es kein großer Nachteil, dass Daten mit einer Größe von mehr als 262.144 Byte nur bedingt kodiert werden, da sie nicht mehr verwendbar sind.

Das bedeutet auch, dass große Datenmengen nach der Chiffrierung noch mehr werden. Nach dem Verschlüsseln der Daten gibt die Ransomware eine Meldung aus, die als Image angezeigt wird (siehe unten). Sie finden die Meldung auch unter "Entschlüsselungsanweisungen. txt", "Entschlüsselungsanweisungen. txt" oder "README. txt" auf dem Computer.

Nachfolgend finden Sie einige Anwendungsbeispiele für die Neuigkeiten von Crysis: Globus ist ein Ransomware-Typ, der seit Anfang 2016 üblich ist. Bei den nicht komprimierten binären Programmen gibt es eine allgemeine Konstruktionsstruktur, in der der Ransomware-Autor z.B. einige Funktionalitäten verändern kann: der Zielname der ausführbaren Anwendungen im Ordner %APPDATA%, die Erweiterung der verschlüsselten Anwendungen, eine Reihe von Dateiarten (Erweiterungen) für die Chiffrierung, die Meldung der Ransomware im HTML-Format, ob die Ransomware Datei-Namen chiffrieren soll oder nicht, ob die Ransomware nach Sandboxen (VirtualBox, VirtualPC, Virtuelle Software, VM, Virtuelle Software, Anubis) suchen soll, ob die Schädlinge selbst auslösen sollen oder nicht, .... und andere.

Weil die Autoren die Ransomware ändern können, gibt es bereits viele verschiedene Versionen, die chiffrierte Daten mit unterschiedlichen Erweiterungen erzeugen. Interessanterweise verfügt die Ransomware über einen integrierten Debug-Modus, der durch die nachfolgenden Registry-Einstellungen ermöglicht werden kann: Wenn diese Option aktiv ist, fordert die Ransomware jeden Einzelschritt an: Auf der Grundlage unserer Beispiele kodiert die Ransomware die Daten entweder mit RC4 oder BlowFish.

Falls die Ransomware für die Chiffrierung von Filenamen eingerichtet ist, erfolgt dies auf die gleiche Art und Weise wie bei der Chiffrierung von Filenamen. Die Kodierung des verschlüsselten Namens erfolgt dann mit einer eigenen Implementierung der Base-64-Verschlüsselung. Im Folgenden finden Sie einige Anwendungsbeispiele für Dateierweiterungen, die mit dem Avast Entschlüsselungswerkzeug dekodiert werden können: Normalerweise erzeugt die Ransomware eine Grafikdatei mit dem Namen "Read Me Please. hta" oder "How to restore files. hta", die beim Einloggen des Benutzers erscheint:

Diese Art von Ransomware habe ich im Juni 2016 entdeck. Hier wird auch eine augenfällige Meldung angezeigt, wenn die Informationen bereits kodiert wurden. Die Erpressung ist eine eigentümliche Mixtur. Der Code ist recht schlecht, aber der Autor gleicht diesen Mangel an Qualität durch seine Wahl der Wörter aus. Bei NoobCrypt gibt es gegen eine Gebühr einen Freischaltcode, um die Files zu dechiffrieren.

Kurze Zeit nach diesem Angriff auf die Autoren hat uns ein Malware-Forscher namens xXToffeeXx über die Veröffentlichung einer neuen NoobCrypt-Version informiert, die auf diversen Darknet-Märkten angekündigt wird. Die Autorin hat auch ein Demo-Video erstellt, in dem die neuen Funktionen erklärt werden. Der Autor erwähnt auch meinen eigenen Vornamen und gibt Hinweise zum Lösen des Lösegeldes, wie Sie aus dem nachfolgenden Bild ersehen können.

Auch sind Sie nicht mehr auf den Dekodierungscode von NoobCrypt angewiesen (Sie sollten der Ransomware nicht trauen, Ihre Daten zu entschlüsseln, selbst wenn Sie das Lossom gezahlt haben). Das Wichtigste ist, ein Antivirenprogramm wie Avast auf allen Endgeräten zu installiern (auch Smart-Phones können mit Ransomware angesteckt sein). Dies schützt Sie und wenn Sie aus Versehen versuchen, Schadsoftware zu downloaden, wird Ransomware gesperrt, bevor es Schäden verursachen kann.

Ransomware-Entwickler nutzen oft Social Engineering-Taktiken, um Benutzer zum Herunterladen der Ransomware zu bewegen. Andernfalls können sie auch mit Ransomware auskommen. Falls Sie Unglück haben und Ihre Computer immer noch mit Ransomware angesteckt sind, schauen Sie sich unsere Entschlüsselungs-Tools an, um zu sehen, ob wir Ihnen bei der Rückgabe Ihrer Daten behilflich sein können.