Gute Arbeit von IT-Sicherheitsfirmen und Experten macht es zur Zeit immer wieder relativ schnell möglich, dass Opfer von Erpressungs-Trojaner zeitnah auf Entschlüsselungs-Tools zurückgreifen können, welche kostenfrei den Rechner von erpresserischer Ransomware befreit. Dabei wird nicht nur die ärgerliche Sperre entfernt, sondern es werden auch die verschlüsselten Dateien, in der Regel ohne Verluste, wiederhergestellt.
Das entgeht den Kriminellen natürlich nicht, diese lernen aus Ihren Fehlern und entwickeln Ihre Malware stetig weiter. So haben Unbekannte die Ransomware Jigsaw jetzt weiterentwickelt und versuchen erneut mit einer Ransomware namens CryptoHitman, die Windows-Rechner zu sperren, persönliche Daten des Anwenders zu sperren und natürlich ordentlich Kasse zu machen.
Nach Infektion des Systems versucht die Ransomware CryptoHitman, wie auch schon Jigsaw, seine Opfer zeitlich unter Druck zu setzen. Zudem werden mit Ablauf der gesetzten Frist erst 1000 Dateien und dann zunehmend immer mehr Daten vom System unwiederbringlich gelöscht. Die verschlüsselten Dateien erhalten bei CryptoHitman die Erweiterung .porno. Über diverse Bezahlinformationen hinaus, werden dem Opfer über den Sperrbildschirm diverse Pornobilder präsentiert und das Lösegeld von 0,4 Bitcoin (ca. 150 Euro) für die Freigabe der Dateien von den Kriminellen eingefordert.
Gute Nachrichten für infizierte Systeme und deren Opfer
Mal wieder Pech für die Cyber-Kriminellen, denn Dank des Experten DemonSlay335 wurde der für die Ransomware Jigsaw veröffentlichte JigSawDecrypter nochmals modifiziert, sodass nun auch die von CryptoHitman verschlüsselten Dateien kostenfrei wiederhergestellt werden können.
Anleitung:
- Achtung: Auf mit Jigsaw bzw. CryptoHitman betroffenen Systeme sollen im ersten Schritt die Prozesse %LocalAppData%Suerdfsuerdf.exe und %AppData%Mogfhmogfh.exe über den Task-Manager beendet werden, damit keine weiteren Dateien von der Malware gelöscht werden können.
- Anschließend das kostenlose Entschlüsselungs-Tool JigsawDecrypter herunterladen und starten.
- Wurden alle Daten wiederhergestellt und das Programm ist fertig, erscheint im JigSawDecrypter –Files Decrypted!
- Anschliessend muss der Rechner mit einer Antivirensoftware überprüft werden.
- Die Option “Delete Encrypted Files?” (Bild 2) sollte erst gewählt werden, wenn sicher ist, dass alle Dateien wiederhergestellt wurden!
Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.
- Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
- Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
- Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
- Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
- Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
- Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
- Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
- Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-Ransom, Emsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!
Bilder: bleepingcomputer.com