Die Ransomware Locky Entfernen und .locky Verschlüsselte Dateien Wiederherstellen

shutterstock_271501652

Ein Angriff einer Ransomware (eine Art Schadsoftware, die den Zugriff des Benutzers auf den Computer blockiert, bis ein Lösegeld bezahlt wird) wird derzeit schnell im Netz verbreitet. Die fragliche Ransomware heißt Locky und sie benutzt eine Dateinamenerweiterung mit demselben Namen für die verschlüsselten Dateien des Opfers. Die Dateien, die Locky anstrebt, sind vor allem Dokumente. Um diese Ransomware zu entfernen und um zu erfahren, wie Sie Ihre Dateien wiederherzustellen versuchen, lesen Sie aufmerksam diesen Artikel.

Zusammengefasste Information über die Bedrohung

Name

Locky

Typ Ransomware
Kurze Beschreibung Die Ransomware verschlüsselt Dateien mit einem RSA-Algorithmus und AES-128-Blockchiffren zum Zwecke des Erhaltens einer bestimmten Geldsumme (Lösegeld) zur Entschlüsselung der betroffenen Dateien.
Symptome Die Dateien sind verschlüsselt und nicht mehr zugänglich. Erpresserbrief mit Hinweisen für die Bezahlung des Lösegeldes in Form einer.txt Datei.
Verbreitungswege Spam, E-Mail-Anhänge, Netzwerke für gemeinsamen Zugriff auf Dateien.
Erkennungswerkzeug Überprüfen Sie, ob Ihr System von Locky angegriffen worden ist.

Download

Werkzeug zum Entfernen von Schadsoftware

Nutzererfahrung Beteiligen Sie sich an unserem Forum, um die Locky Ransomware zu besprechen.

Locky Ransomware – Verbreitung

Die Locky Ransomware verbreitet sich auf verschiedenen Wegen. Eine Möglichkeit ist durch Spam, der eine bösartige Datei im Anhang enthält. Im Falle, dass der Anhang geöffnet wird, bringt er automatisch Schadsoftware durch. Bösartiger Code kann sogar im Inhalt der E-Mail stecken. Das heißt, dass Sie angegriffen werden können, wenn Sie solche E-Mail geöffnet haben, egal ob Sie den Anhang benutzt haben oder nicht.

Erfahren Sie mehr über die Spam-Kampagnen von Locky

Ein weiterer Verbreitungsweg für die Ransomware sind die sozialen Netzwerke und die Zentren für gemeinsamen Zugriff auf Dateien, die solche bösartige Anhänge oder solche, die die Locky Ransomware in sich selbst enthalten kann, enthalten. Die Dateien können als etwas Nützliches, das Sie brauchen, eine wichtige Aktualisierung z.B., vorgestellt werden. Die Besuche von unverlässlichen Webseiten oder das Klicken auf Hypertext-Links können auch zur Ansteckung mit Schadsoftware führen.

Locky Ransomware – technische Information

Die Locky Ransomware ist von Forschern als Schadsoftware klassifiziert. Im Falle, dass Ihr Computer davon angegriffen worden ist, kann die Schadsoftware zur Sicherung ihrer ständigen Anwesenheit neue Windows-Registry-Werte erstellen. Die Modifikationen in Windows Registry werden vor allem in diesen Aufnahmen in der System-Registry erstellt:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/

und

HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell

Sie wurde schon von ein paar Sicherheitsprogrammen erkannt und ihren Definitionen hinzugefügt, wie auf der Webseite VirusTotal gezeigt:

stf-locky-ransomware-virustotal-virus-total-entdeckung

Danach wird die Ransomware mindestens eine Datei mit dem Namen _Locky_recover_instructions.txt erstellen, die den Erpresserbrief und die Zahlungshinweise enthält. Sie lautet, wie folgt:

!!! WICHTIGE INFORMATION !!!
Alle Dateien von Ihnen sind mit RSA-2048 und AES-128 Blockchiffren verschlüsselt.
Mehr Informationen über RSA und AES können Sie hier finden:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Die Entschlüsselung von Dateien ist nur durch den privaten Schlüssel und das Entschlüsselungsprogramm möglich, die auf unserem geheimen Server sind.
Um Ihren privaten Schlüssel zu bekommen, klicken Sie einen der folgenden Links an:
1. hxxp: //6dtxgqam4crv6rr6.tor2web(.)org/[Kombination von Buchstaben und Ziffern] 2. hxxp: //6dtxgqam4crv6rr6.onion(.)to/[Kombination von Buchstaben und Ziffern] 3. hxxp: //6dtxgqam4crv6rr6.onion(.)cab/[Kombination von Buchstaben und Ziffern] 4. hxxp: //6dtxgqam4crv6rr6.onion(.)link/[Kombination von Buchstaben und Ziffern] Falls diese Adressen nicht verfügbar sind, folgen Sie den Anweisungen:
1. Laden Sie herunter und installieren Sie Tor Browser: https://www.torproject.org/download/download-easy(.)html
2. Nach erfolgreicher Installation öffnen Sie den Browser und warten Sie auf die Initialisierung.
3. Geben Sie in die Adressleiste: 6dtxgqam4crv6rr6(.)onion / [Kombination von Buchstaben und Ziffern] ein 4. Folgen Sie den Anweisungen der Webseite.
!!! Ihr persönlicher Personalausweis: [Kombination von Buchstaben und Ziffern] !!!

Reddit-Benutzer haben einige von den Links angeklickt, die im Erpresserbrief angegeben sind, und haben ein Foto der Webseite für die Bezahlung bekommen:

stf-locky-ransomware-tor2web

Auf dieser Webseite befinden sich ein vermutliches Locky-Decrypter-Programm und ein Versprechen, dass Ihre Dateien entschlüsselt werden werden, falls Sie zahlen. Sich mit den Entwicklern der Ransomware in Verbindung zu setzen ist NICHT empfehlenswert. Es gibt keine Garantie, dass die Dateien von der obengenannten Software zur Entschlüsselung entschlüsselt werden werden. Außerdem ist die Zahlung des Lösegeldes den Entwicklern der Ransomware der Unterstützung der Entwicklung einer schlechteren Version der Schadsoftware mit schwieriger Entschlüsselung entsprechend.

Locky Ransomware ist bekannt für die Suche und die Verschlüsselung von Dokumenten und Textdateien. Die Dateien, die verschlüsselt werden können, bekommen die folgenden Dateinamenerweiterungen:

→ .doc, .docm, .log, .pap, .info, .gdoc, .asp, .jsp, .json, .xhtml, .txt, .xls, .xlsx, .xml, .docx, .html, .js, .mdb, .odt, .asc, .conf, .msg, .rtf, .cfg, .cnf, .pdf, .php, .ppt, .pptx, .sql

Das ist keine volle Liste mit Dateinamenerweiterungen – es ist möglich, dass auch weitere Dateinamenerweiterungen bestehen, nach denen die Ransomware zur Verschlüsselung sucht. Nachdem die Dateien verschlüsselt worden sind, besitzen sie die Dateinamenerweiterung .locky. Der Verschlüsselungsalgorithmus der Ransomware, nach seinem Erpresserbrief, stellt RSA mit einer Kombination von AES-128-Blockchiffren dar. Das ist eine sehr mächtige und komplexe Verschlüsselung.

Erfahren Sie mehr über die AES-128-Verschlüsselung

Die Locky Ransomware ist bekannt für die Verschlüsselung von Ablageorten, die normalerweise Dokumente erhalten, wie z.B.:

  • C:\Users\[UserName]\Documents
  • Desktop\MyDocs\Downloads
  • C:\Documents and Settings\Users\My Documents

Zur Zeit ist es nicht bekannt, ob Shadow Volume Copies (Schattenkopien) vom Betriebssystem von Windows gelöscht werden, aber in diesem Fall eher ja. Nach dem Entfernen der Ransomware wäre es gut, den dritten Teil von den Anweisungen unten anzusehen, der einige Methoden darstellt, die Ihnen bei der Wiederherstellung Ihrer Dateien helfen können.

Locky Ransomware entfernen und .locky verschlüsselten Dateien wiederherstellen

Locky manuell von Ihrem Computer entfernen

Achtung! Wichtige Information über die Bedrohung Locky:Eingriff in die Systemdateien und Register. So kann Ihr Computer beschädigt werden. Falls Ihre Computerkenntnisse nicht auf professioneller Ebene sind, haben Sie keine Angst. Sie können selbst die Beseitigung nur im Rahmen von 5 Minuten durchführen, mit Hilfe von einem Tool zum Entfernen von Schadsoftware.

1. Starten Sie Ihren Computer im abgesicherten Modus (Safe Mode), um die Dateien und Objekte, die mit der Locky verbunden sind, zu isolieren und zu entfernen
2.Finden schädliche Dateien erstellt von Locky on your PC

Automatisches Entfernen von Locky durch eine erweiterte Anti-Malware-Programm herunterzuladen.

1. Entfernen Locky mit SpyHunter Anti-Malware Tool und sichern Sie Ihre Daten
2. Wiederherstellen von Dateien verschlüsselt durch von Locky
Auf Wunsch: Verwendung von alternativen Antischadsoftware-Tools

Berta Bilbao

Berta is the Editor-in-Chief of SensorsTechForum. She is a dedicated malware researcher, dreaming for a more secure cyber space.

More Posts - Website

 

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.