CBT Locker Ransomware oder wie man verschlüsselte Dateien entschlüsselt

 

Eine CTB Locker Ransomware (die manchmal die Namen Critoni und CBT Locker trägt) wurde zum ersten Mal im Juli 2014 beobachtet. Der Virus verschlüsselt verschiedene Dateien und fordert danach ein Lösegeld, um sie wieder zu entschlüsseln. Fast alle Versionen von Windows, inklusive Windows XP, Windows Vista, Windows 7 und Windows 8, können von dieser Ransomware betroffen sein. Ein exklusives Attribut dieser Malware ist, dass sie mit dem Command-and-Control-Server über TOR kommuniziert. Interessant ist, dass jeder CTB Locker um rund $3.000 USD im Internet kaufen kann. Für diesen Betrag erhalten Sie das Basisset und kompletten Kundenservice durch die Entwickler von CTB Locker, die Ihnen helfen, alles richtig zu installieren. Das bedeutet, dass es viele Versionen dieses Virus mit unterschiedlichem Aussehen geben kann.

Alle Dateien, die von Critoni verschlüsselt wurden, werden in CTBL Format umgewandelt und können nicht mehr geöffnet werden. Sobald diese Ransomware installiert wurde, scannt Sie Ihren Computer, um in Erfahrung zu bringen, welche Dateien sich darauf befinden. Danach wird ein Großteil von ihnen verschlüsselt (nicht unbedingt alle) und es erscheint ein großes Fenster auf Ihrem Bildschirm. Es sieht wie das unten stehende Bild aus. Darin wird angegeben, dass Ihre persönlichen Dateien verschlüsselt wurden. Falls Sie sie wieder verwenden möchten, müssen Sie ein Lösegeld in Höhe von rund $120 USD bezahlen. Zahlungen werden über das Bitcoin Zahlungssystem abgewickelt.

CTB

Falls Ihr Computer mit Critoni infiziert wurde, sollten Sie einen Ordner mit einem zufällig ausgewählten Namen im %Temp% Ordner Ihres Computers sehen. Diese Malware wird immer dann gestartet, wenn Sie sich in Ihr System einloggen. CTB Locker verwendet Elliptische-Kurven-Kryptographie (ECC), um die Dateien von Benutzern zu verschlüsseln, wobei es sich um eine besondere Möglichkeit dafür handelt. Sobald CTB Locker Ihr System gescannt und Ihre Dateien verschlüsselt hat, wird Ihnen eine Nachricht mit Anweisungen angezeigt, wie Sie das Lösegeld bezahlen können. Außerdem wird Ihr Hintergrundbild in die %MyDocuments%AllFilesAreLocked .bmp Datei geändert, in der Sie genaue Informationen zur Bezahlung des Lösegelds finden. Andere Dateien, die erstellt werden und dem Benutzer zur Verfügung stehen, sind %MyDocuments%DecryptAllFiles <user_id>.txt und %MyDocuments%.html. Darin finden Sie die Informationen, die benötigt werden, um zur offiziellen Webseite der Malware zu gelangen und die Zahlung zu tätigen. Da die Kommunikation mit dem Command-and-Control-Server ausnahmsweise nur über TOR – und nicht das Internet – erfolgt, ist es für Strafverfolgungsbehörden komplizierter, diese Ransomware zu verfolgen. Es ist allerdings nicht unmöglich. Sie sollten auch wissen, dass die CTB Locker Malware sich bei jedem Neustart des Systems mit neuen und zufällig ausgewählten Namen in den %Temp% Ordner kopiert, es kann daher sein, dass Sie dort zahlreiche seltsam aussehenden Dateien sehen.

Nachdem Sie bemerkt haben, dass Ihr Computer mit der Citroni Ransomware infiziert wurde, sollten Sie zuerst Ihr System mit einer vertrauenswürdigen Anti-Malware, wie Spyhunter oder malwarebytes scannen. Je früher desto besser. Es ist sehr schwierig, diese betrügerische Anwendung auf Ihrem Computer zu entdecken, bevor der Bildschirm mit der Nachricht erscheint, dass Ihre Dateien verschlüsselt wurden. Es ist daher sinnvoll, den Computer immer wieder mit Antivirenprogrammen zu scannen, um derartige Schurkenprogramme zu vermeiden.

Falls Ihre Dateien allerdings bereits verschlüsselt wurden, können Sie Ihren PC dennoch scannen und zumindest die Infektion entfernen, damit beim Neustart von Windows nicht immer neue Dateien erstellt werden. Falls Sie die Entfernung manuell durchführen möchten, müssen Sie alle ausführbaren Dateien aus dem %Temp% Ordner entfernen und den verborgenen Task aus dem Windows Task Scheduler entfernen. Beachten Sie, dass dadurch nur der Virus entfernt wird und keine Dateien, die bereits verschlüsselt sind, werden dadurch entschlüsselt. Im Moment gibt es keine bekannte Methode, um Dateien zu entschlüsseln, die von CTB Locker verschlüsselt wurden. Es wurden zahlreiche Tools entwickelt, um Dateien zu entschlüsseln, die von anderer Malware verschlüsselt wurden – diese können allerdings keine Dateien entschlüsseln, die von CTB Locker verschlüsselt wurden. Es gibt nur zwei Möglichkeiten, um Ihre verschlüsselten Dateien zurückzubekommen – entweder Sie bezahlen das Lösegeld oder Sie stellen die Dateien über ein Backup wieder her. Öffnen Sie die Datei %MyDocuments%.html, um herauszufinden, welche Dateien verschlüsselt wurden und wiederhergestellt werden müssen.

Die Nachricht von CTB Locker sieht wie folgt aus:

Your personal files are encrypted.%f0%%c0%

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

Falls Sie das Hauptfenster des Lockers sehen, befolgen Sie die Anleitungen am Locker. Ansonsten scheint es, dass Sie oder Ihr Antivirenprogramm das Locker-Programm gelöscht haben. Jetzt haben Sie die letzte Chance, Ihre Dateien zu entschlüsseln.

1. Geben Sie die Adresse %c1%http://torproject.org%c0% in Ihren Internetbrowser ein. Dadurch öffnet sich die Tor-Seite.

2. Klicken Sie auf “Tor herunterladen” und danach auf “Tor Browser Bundle HERUNTERLADEN”, installieren Sie das Programm und führen Sie es aus.

3. Jetzt sehen Sie den Tor Browser. Öffnen Sie im Tor Browser %c1%http://%onion%/%c0%.

Beachten Sie, dass dieser Service nur über den Tor Browser zur Verfügung steht.
native Windows Previous Versions

Versuchen Sie es in 1 Stunde erneut, falls Sie die Seite nicht erreichen können.

4. Schreiben Sie den folgenden Public Key in das Eingabeformular des Servers. Vermeiden Sie Tippfehler.
ShadowExplorer

%f1%%c1%%key%%f0%%c0%

5. Befolgen Sie die Anweisungen des Servers.
dropbox

Diese Anleitung wird auch in einer Datei mit dem Namen DecryptAllFiles.txt im Ordner Dokumente gespeichert. Sie können diese öffnen und die Adresse und den Schlüssel kopieren und einfügen.

Wie man verschlüsselte Dateien entschlüsselt

Wie bereits zuvor erwähnt, gibt es keine Möglichkeit, Dateien zu entschlüsseln, die von CTB Locker verschlüsselt wurden. Falls Sie das Lösegeld an die Cyberkriminellen nicht bezahlen, können Sie Ihre Dateien aus einem Backup wiederherstellen. Es gibt mehrere Möglichkeiten dafür.

Die beste Möglichkeit ist es, einfach alle Systemeinstellungen und Einstellungen über ein Windows-Backup wiederherzustellen. Das ist allerdings nur dann möglich, wenn Sie zuvor ein Backup erstellt haben. Falls Sie das nicht getan haben, ist eine Systemwiederherstellung nicht möglich. Auch wenn Sie über eine gültige Wiederherstellungsdatei verfügen, könnte es unmöglich sein, die verlorenen Dateien wiederherzustellen, falls das Verzeichnis, in denen sie gespeichert sind, nicht in das Windows-Backup inkludiert waren (Sie können das in den Einstellungen festlegen).

Die folgende Methode kann ebenfalls effektiv sein. CTB Locker verschlüsselt die Datei nicht nur: der Parasit erstellt eine Kopie, verschlüsselt sie und löscht danach die Original-Datei. Aus diesem Grund können Sie bestimmte Softwares verwenden, um verlorene Dateien wiederherzustellen. R-Studio oder Photorec können diese Aufgabe zum Beispiel erledigen. Falls Sie sich fragen, weshalb Sie nicht lange warten sollten, nachdem CTB Locker in Ihr System gelangt ist, ist der Grund schnell erklärt: je länger Sie warten, desto schwieriger wird es für das Dateiwiederherstellungsprogramm sein, ihre gelöschten und nicht verschlüsselten Dateien wiederherzustellen.

Shadow Volume Kopien

Falls Sie die Wiederherstellungsfunktion Ihres Betriebssystems nicht nutzen können, besteht die Möglichkeit, Shadow Copy Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien, zum Zeitpunkt, an dem der Systemwiederherstellungs-Snapshot erstellt wurden. CTB Locker versucht normalerweise, alle möglichen Shadow Volume Kopien zu löschen, manchmal schafft das Schurkenprogramm das allerdings nicht. Es muss erwähnt werden, dass Shadow Volume Kopien nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung stehen. Es gibt zwei Möglichkeiten, um ihre Dateien über Shadow Volume Copy wiederherzustellen. Sie können das über frühere native Windows-Versionen oder über den Shadow Explorer erledigen.

Frühere native Windows Versionen

Klicken Sie einfach mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften>Frühere Versionen. Jetzt sehen Sie alle verfügbaren Kopien dieser bestimmten Datei zum Zeitpunkt, an dem die Shadow Volume Copy erstellt wurde. Wählen Sie einfach die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf “Kopieren”, falls Sie sie in ein bestimmtes Verzeichnis kopieren möchten, oder “Wiederherstellen”, falls Sie die bestehende, verschlüsselte Dateien ersetzen möchten. Falls Sie den Inhalt der ersten Datei sehen möchten, klicken Sie einfach auf Öffnen.

native Windows Previous Versions

Shadow Explorer

Dabei handelt es sich um ein Programm, das kostenlos aus dem Internet heruntergeladen werden kann. Sie können entweder eine Vollversion oder eine mobile Version von Shadow Explorer herunterladen. Öffnen Sie das Programm und wählen Sie in der linken oberen Ecke das Laufwerk, in welchem die Datei gespeichert ist, nach der Sie suchen. Danach werden Ihnen alle Ordner in diesem Laufwerk angezeigt. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie die Option “Export”. Wählen Sie danach, wo die Datei gespeichert werden soll. Das war’s.

ShadowExplorer

Wie man verschlüsselte Dateien in DropBox wiederherstellt

Falls Sie Ihre Dateien in einer DropBox gespeichert haben (dem häufigsten, webbasierten Service zur Dateispeicherung) und sie verschlüsselt wurden, können Sie die unten stehenden Tipps befolgen.

Um verschlüsselte Dateien einer DropBox wiederherzustellen, loggen Sie sich einfach in Ihr Konto auf der DropBox Webseite ein. Wählen Sie danach den Ordner, in dem die Datei, die wiederhergestellt werden soll, gespeichert ist. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie eine Option aus den früheren Versionen. Jetzt sehen Sie alle verfügbaren früheren Versionen eines Datei (wie in Shadow Volume Kopien). Wählen Sie die gewünschte Version und klicken Sie auf Wiederherstellen.

dropbox