wp_alphaDie Einen tanzen Ende April in den Mai und die Anderen bringen neue Ransomware unters Volk – So ist Ende Mai den Experten Katja Hahn, S!Ri, MalwareHunterTeam und Michael Gillespie erneut eine Variante eines Verschlüsselung-Trojaner ins Netz gegangen, der die Dateien der Opfer im AES-256 Verfahren verschlüsselt und für die Freigabe ein Lösegeld von 400 USD erpresst. Nur diesmal hätten die Kriminellen gerne das Lösegeld in Form von iTunes-Geschenkkarten von den Opfern angewiesen.

Bildschirmfoto 2016-05-02 um 10.55.32

Bild: bleepingcomputer.com – Alpha Erscheinungsbild

Fällt der Rechner dem Erpressungs-Trojaner zum Opfer, werden Systemdateien infiziert und Startdateien im Autostart des Systems abgelegt. Wird die Ransomware bei der Verschlüsselung unterbrochen, setzt die Malware beim nächsten Neustart des Rechners die Verschlüsselung fort. Um nicht von Sicherheitssystemen erwischt bzw. analysiert zu werden, entfernt sich die Alpha nach erfolgreicher Verschlüsselung und Sperrung des Systems, hinterlässt aber in jedem Ordner mit verschlüsselten Daten folgende Nachricht für deren Auslösung (Read Me (How Decrypt) !!!!.txt).
Folgende Nachricht wird von den Kriminellen hinterlassen
[su_expand]Greetings,
We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps:
1. Buy iTunes Gift Cards for a total amount of $400.00
2. Send the gift codes to the indicated e-mail address
3. Receive a code and a file that will unlock your computer.
Please note:, – The nominal amount of the particular gift card doesn’t matter, yet the total amount have to be as listed above. – You can buy the iTunes Gift Cards online or in any shop. The codes must be correct, otherwise, you won’t receive anything. – After receiving the code and the security file, your computer will be unlocked and will never be locked again.
Sorry for the inconveniences caused.[/su_expand] Analysen der Ransomware haben ergeben, dass es Alpha nur auf das Laufwerk C und dort bestimmte Dateien auf dem Desktop abgesehen hat. Weiterhin ist von den Experten nicht nachvollziehbar, das auch diese Variante, wie auch die Ransomware TrueCrypter schon, dem Trend folgt, dass Lösegeld über unsichere und nachvollziehbare Wege zu beziehen. Anstatt auf bewährte und sichere Bezugswege mit der Internetwährung Bitcoins zu benutzen?!
Folgende Liste mit Datei-Erweiterungen hat Alpha im Visier und ergänzt diese mit .encrypt.
[su_expand].3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra[/su_expand]

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen. Zudem gibt es einen Decryptor für die kostenfreie Wiederherstellung der Daten!

Zu guter letzt können Opfer der Ransomware Alpha aufatmen,  denn der Experte Michael Gillespie hat bereits einen passenden Decryptor für die kostenfreie Wiederherstellung der Daten entwickelt und er Öffentlichkeit bereitgestellt.

Bildschirmfoto 2016-05-02 um 11.41.54

Bild: bleepingcomputer.com

Für die Wiederherstellung  der Daten führen Sie folgende Schritte aus:

  1. Laden Sie den Decryptor folgenden Link herunter und führen Sie diesen aus: Download Alpha-Decryptor>>
  2. Laufwerk wählen (Select Directory)
  3. Decryptor starten (Decrypt My Files)

Weiterhin ist es möglich die verschlüsselten Dateien nach Wiederherstellung zu löschen, sowie die sperrende Warnmeldung zu entfernen!
Wie Sie die Ransomware auf ihrem System bestimmen können, lesen sie hier>> 

Maßnahmen die getroffen werden können, bevor „Alpha“ oder auch andere Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.

Bild: bleepingcomputer.com