Can '.encrypted Virus' Dateien wiederhergestellt? - Wie, Technologie und PC Security Forum | SensorsTechForum.com
BEDROHUNG ENTFERNT

Can '.encrypted Virus’ Dateien wiederhergestellt?

1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading ...

Es gibt mehrere Ransomware Stücke, die eine ".encrypted 'Erweiterung der Dateinamen des Opfers anhängen. So, solche Ransomware werden oft bezeichnet als ".encrypted Viren". Eine solche Gefahr ist ZeroLocker, die zu Sicherheitsforscher bekannt seit 2014. Eine andere Ransomware die .encrypted Erweiterung mit ist TorrentLocker, die später zu Crypt0L0cker umbenannt wurde, sowohl für eine Weile den Forschern bekannt jetzt.

In den letzten paar Tagen, mehrere Benutzer haben uns sagen, in Kontakt gebracht, dass ihre Dateien geändert wurden und haben nun eine '.encrypted' Erweiterung. Dies könnte zweierlei bedeuten - entweder einer der Ransomware oben genannten Fällen wurde gerade wiederbelebt, oder gibt es eine neue Crypto Malware die gleiche Dateierweiterung (möglicherweise von verbundenen Unternehmen erstellt).

Die gute Nachricht ist, dass es а Entschlüsselungsprogramm für ZeroLocker. Fahren Sie mit dem Lesen um mehr zu erfahren.

Was ist ZeroLocker?

zerolocker schlüsselten-extension-Ransomware-stforum

Deutlich, es ist ein Stück verheerenden Crypto Malware, die eines Opfers Maschine schleicht sich in und verschlüsselt ihre Dateien, im Austausch für die Entschlüsselung fordern Lösegeld 'Dateien.

Was wissen wir über ZeroLocker (über Bleeping Computer-Analyse):

  • ZeroLocker verwenden AES-Verschlüsselung, erwarten, wenn die Dateien in bestimmten Ordnern befinden oder größer als 20 MegaBytes;
  • Ordner, die von der Verschlüsselung geschont werden, sind alle, die eines der folgenden Wörter in ihren Namen enthalten - Fenster, WINDOWS, Programme, ZeroLocker, Desktop;
  • Dateien verschlüsselt durch ZeroLocker haben eine .encrypted Erweiterung ihrer Dateinamen angehängt;
  • Nachdem der Verschlüsselungsprozess abgeschlossen, Die Ransomware läuft die C:\Windows System32 cipher.exe / w:C:\ Befehl, und werden alle gelöschten Daten auf des Opfers C überschreiben:\ Fahrt in die Quere kommen ein Recovery-Tool zu verwenden;
  • Auch ZeroLocker Erzeugt die C:\ZeroLocker Ordner, in dem es verschiedene Dateien und die decryptor Programmdatei namens ZeroRescue.exe speichert; Letztere läuft automatisch beim Neustart des Systems über einen neuen Registrierungseintrag.

Was ist Schatten Volume-Kopien?

Wenn wir die Bedrohung zurück erforscht in 2014, entdeckten wir, dass es nicht Schatten Volume-Kopien nicht beeinträchtigte.

Zur Zeit, wir können keine Informationen geben, ob ZeroLocker Quellcode vor kurzem geändert zu beeinflussen Schatten Volume-Kopien wurde. Dennoch, ein decryptor für ZeroLocker ist vorhanden und es wurde erstellt von Vinsula .

Hier ist, was Vinsula sagen über ihre Nützlichkeit:

  • Die Wiederaufnahme Dienstprogramm wir entwickelt haben, ist eine Windows-Konsolenanwendung, die eine einzelne verschlüsselten ausführbaren scannt den Verschlüsselungsschlüssel zu entdecken. Der Betrieb nutzt eine Brute-Force-Methode und ist CPU-bound (Compute-gebundenen). In unseren Tests, das Dienstprogramm dauert in der Regel weniger als einen Tag, einen Verschlüsselungsschlüssel zu finden, aber in einem Worst-Case-Szenario könnte es dauern, bis 5 Wochen. Das Dienstprogramm kann Brute eine verschlüsselte ausführbare Binärdatei zwingen, entweder auf einem infizierten Rechner oder auf einem anderen, dedizierte Maschine. Je schneller die Maschine (mehr CPU-Kerne), desto schneller wird die Brute-Force-Prozess nimmt den Verschlüsselungsschlüssel zu lösen.
  • Keine Internetverbindung ist für den Prozess benötigt für den Verschlüsselungsschlüssel zu laufen und zu scannen. Das Dienstprogramm hat keine externen Abhängigkeiten. Für die brute force Option muss das Werkzeug nur Zugriff auf einen einzigen verschlüsselten ausführbare Binärdatei zu haben.

NB. Das Dienstprogramm Vinsula Erholung gilt nur für Dateien verschlüsselt durch ZeroLocker. Wenn Ihre Dateien haben eine ".encrypted 'Erweiterung aber dieses Dienstprogramm sie nicht entschlüsseln, Sie wurden von einem anderen Ransomware getroffen worden.

Hier ist ein Beispiel eines ".encrypted’ Datei:

  • es.gamma01.xla.encrypted (über eine Benutzer Post auf GitHub).

Was ist Crypt0L0cker?

crypt0l0cker-Ransomware-Lösegeld-note-stforum

Crypt0L0cker Angriffe wurden im Frühjahr registriert von 2015. Das heißt, wenn die Sicherheit Analysten zeigten, dass Crypt0L0cker in der Tat eine neue Version des bekannten TorrentLocker. Jedoch, Crypt0 erschien Geo-Gesperrt und als solche zu sein, würde nicht angreifen US-basierte Maschinen. Wie bei vielen anderen Fällen Ransomware, Crypt0 wurde vor allem in Spam-E-Mail-Kampagnen verteilt, vorgibt Regierung bemerkt zu sein.

Lerne mehr über TorrentLocker

Die Kommunikationsmethoden von Crypt0 verwendet wurden, waren ganz ähnlich wie TorrentLocker des. Wenn auf Opfer des Systems installiert, Crypt0L0cker würde zu einem Befehl verbinden & Control-Server und übermittelt die eindeutige Kennung des Opfers und eine Kampagnen-ID.

Crypt0L0cker würde dann scannen alle Festplattenbuchstaben und bestimmte Dateien verschlüsseln, während andere ausgeschlossen. Verschlüsselte Dateien müssten eine ".encrypted" Erweiterung am Ende.

Was ist Schatten Volume-Kopien?

Einmal aktiviert, Crypt0L0cker würde Schatten Volume-Kopien löschen und somit die Dateien machen’ Wiederherstellung ziemlich schwierig, wenn nicht unmöglich.

Leider, gibt es noch keine Lösung für entweder Crypt0L0cker oder TorrentLocker.

Sie können unter der Anleitung beziehen sich noch Ihr System von Ransomware zu reinigen und Ihre Daten sichern.

Wir halten Sie auf dem Laufenden, wenn ein Entschlüsselungswerkzeug für Crypt0L0cker / TorrentLocker entwickelt. Sie können auch einen Kommentar in unserem verlassen Sicherheitsforen.

1. Starten Sie Ihren PC im abgesicherten Modus zu isolieren und zu entfernen ZeroLocker, Crypt0L0cker
2. entfernen ZeroLocker, Crypt0L0cker mit SpyHunter Anti-Malware-Tool
3. Sichern Sie Ihre Daten bis zu sichern gegen Infektionen und Dateiverschlüsselung von ZeroLocker, Crypt0L0cker in Zukunft
4. Entschlüsseln von Dateien verschlüsselt durch ZeroLocker, Crypt0L0cker
Fakultativ: Mit Hilfe eines alternativen Anti-Malware-Tool
HINWEIS! Erhebliche Benachrichtigung über die ZeroLocker, Crypt0L0cker Bedrohung: Manuelle Entfernung von ZeroLocker, Crypt0L0cker erfordert Eingriffe in Systemdateien und Registrierungsstellen. So, es kann zu Schäden an Ihrem PC führen. Auch wenn Ihr Computer Fähigkeiten nicht auf professionellem Niveau, mach dir keine Sorgen. Sie können die Entfernung selbst nur in zu tun 5 Minuten, Verwendung einer Malware Removal Tool.
Avatar

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der mit SensorsTechForum ist seit 4 Jahre. Genießt ‚Mr. Robot‘und Ängste‚1984‘. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel!

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...