Wiederherstellung nach Ransomware

Ransomware ist ein Computer-Malware-Virus, der Ihr System sperrt und ein Lösegeld verlangt, um Ihre Dateien zu entsperren. Im Wesentlichen gibt es zwei verschiedene Arten. Erstens PC-Locker, der die gesamte Maschine sperrt und Data-Locker, der bestimmte Daten verschlüsselt, aber die Maschine funktioniert. Das Hauptziel besteht darin, vom Benutzer Geld abzufordern, das normalerweise in einer Kryptowährung wie Bitcoin bezahlt wird.

Identifizierung und Entschlüsselung

Sie müssen zunächst den Familiennamen der Ransomware kennen, die Sie infiziert hat. Das ist einfacher als es scheint. Suchen Sie einfach nach Malwarehunterteam und laden Sie die Lösegeldforderung hoch. Es erkennt den Familiennamen und führt Sie oft durch die Entschlüsselung. Sobald Sie den Familiennamen haben, der zur Notiz passt, können die Dateien mit Teslacrypt 4.0 entschlüsselt werden. Zuerst muss der Verschlüsselungsschlüssel festgelegt werden. Wenn Sie die an die verschlüsselten Dateien angehängte Erweiterung auswählen, kann das Tool den Hauptschlüssel automatisch festlegen. Wählen Sie im Zweifelsfall einfach aus.

Datenwiederherstellung

Wenn dies nicht funktioniert, müssen Sie selbst eine Datenwiederherstellung versuchen. Oftmals kann das System jedoch zu beschädigt sein, um viel zurückzubekommen. Der Erfolg hängt von einer Reihe von Variablen ab, z. B. Betriebssystem, Partitionierung, Priorität beim Überschreiben von Dateien, Umgang mit Speicherplatz usw.). Recuva ist wahrscheinlich eines der besten verfügbaren Tools, aber es ist am besten, es auf einer externen Festplatte zu verwenden, anstatt es auf Ihrem eigenen Betriebssystemlaufwerk zu installieren. Führen Sie nach der Installation einfach einen Tiefenscan durch und hoffentlich werden die gesuchten Dateien wiederhergestellt.

Neue Verschlüsselungs-Ransomware für Linux-Systeme

Bekannt als Linux.Encoder.1-Malware werden private und geschäftliche Websites angegriffen und eine Bitcoin-Zahlung von rund 500 US-Dollar für die Entschlüsselung von Dateien verlangt.

Eine Schwachstelle im Magento CMS wurde von Angreifern entdeckt, die die Situation schnell ausnutzten. Während für Magento jetzt ein Patch für eine kritische Schwachstelle veröffentlicht wurde, ist es für die Webadministratoren, die aufgewacht sind, zu spät, um die Nachricht zu finden, die die abschreckende Nachricht enthält:

“Ihre persönlichen Dateien sind verschlüsselt! Die Verschlüsselung wurde mit einem einzigartigen öffentlichen Schlüssel erstellt … um Dateien zu entschlüsseln, müssen Sie den privaten Schlüssel erhalten … Sie müssen 1 Bitcoin bezahlen (~420 USD)”

Es wird auch vermutet, dass Angriffe auf andere Content-Management-Systeme stattgefunden haben könnten, sodass die Zahl der Betroffenen derzeit nicht bekannt ist.

Wie die Malware zuschlägt

Die Malware schlägt sich durch, wenn sie mit den Ebenen eines Administrators ausgeführt wird. Alle Home-Verzeichnisse sowie die zugehörigen Website-Dateien sind alle betroffen, wobei der Schaden mit 128-Bit-AES-Krypto ausgeführt wird. Dies allein würde schon großen Schaden anrichten, doch die Malware geht noch weiter, indem sie anschließend die gesamte Verzeichnisstruktur durchsucht und verschiedene Dateien unterschiedlichen Typs verschlüsselt. In jedem Verzeichnis, das es betritt und durch Verschlüsselung Schaden anrichtet, wird eine Textdatei abgelegt, die der Administrator beim Anmelden als erstes sieht.

Es gibt bestimmte Elemente, nach denen die Malware sucht, und dies sind:

Apache-Installationen
Nginx-Installationen
MySQL-Installationen, die sich in der Struktur der Zielsysteme befinden
Aus Berichten geht auch hervor, dass Log-Verzeichnisse nicht immun gegen den Angriff sind, ebensowenig die Inhalte der einzelnen Webseiten. Die letzten Stellen, auf die es trifft – und vielleicht die kritischsten sind:
Ausführbare Windows-Dateien
Dokumentdateien
Programmbibliotheken
Javascript
Aktive Server-Dateiseiten (.asp)
Das Endergebnis ist, dass ein System zur Lösegeldforderung gezwungen wird, wobei Unternehmen wissen, dass sie entweder nachgeben und die Forderung bezahlen müssen, wenn sie die Dateien nicht selbst entschlüsseln können, oder dass es für einen unbekannten Zeitraum zu ernsthaften Geschäftsunterbrechungen kommt.
Forderungen gestellt

In jedem verschlüsselten Verzeichnis legen die Malware-Angreifer eine Textdatei namens README_FOR_DECRYPT.txt ab. Die Zahlungsaufforderung wird gestellt, wobei die Entschlüsselung nur über eine versteckte Site über ein Gateway erfolgen kann.

Entscheidet sich die betroffene Person oder das Unternehmen zu zahlen, wird die Malware so programmiert, dass sie mit der Entschlüsselung aller Dateien beginnt und dann beginnt, den Schaden rückgängig zu machen. Es scheint, dass es alles in der gleichen Verschlüsselungsreihenfolge entschlüsselt und der Abschiedsschuss ist, dass es alle verschlüsselten Dateien sowie die Lösegeldforderung selbst löscht.

Leave a Reply

Your email address will not be published.

Previous post Reparieren Sie Ihre ausgefallene externe Festplatte
Next post Der Unterschied zwischen Datensicherung und Archiven