Coin Locker Ransomware Entfernen

 

Obwohl die Coin Locker Ransomware mit einer relativ einfach entschlüsselbaren Codierung, die Ceasar Cipher heißt, arbeitet, kann Ihnen dieser Parasit einige Probleme bescheren. Der Name der Codierung basiert auf Julius Cäsar, der Nachrichten verschlüsselte, indem er jeden einzelnen Buchstaben durch jenen, der im selben Alphabet eine bestimmte Anzahl von Stellen vor oder nach dem Buchstaben liegt, ersetzte.

Über die Coin Locker Ransomware

Die Caesar Cipher, die von der Coin Locker Ransomware verwendet wird, ist auch als ROT4 bekannt. Derartige Codierungen verschieben das Anfangszeichen vier Stellen nach links. So wird im Rahmen der Verschlüsslung der Buchstabe „A“ durch „E“ ersetzt und so weiter. Der Coin Locker File-Encrypter zielt auf alle Dateien ab – mit Ausnahme jener, die die folgenden Wörter enthalten: „Mozilla“, „Google“, „Windows“ oder „Notepad“. Das Schurkenprogramm hängt die Erweiterung „.encrypted“ an den Dateinamen der verschlüsselten Dateien an. „book.pdf“ wird also zu „book.pdf.encrypted“.

Wenn die Verschlüsselung abgeschlossen ist, legt die Coin Locker Cryptomalware „Coin.Locker.txt“ in jedem Ordner der verschlüsselten Dateien ab. Diese Datei enthält die Lösegeldforderung. Die Nachricht lautet wie folgt:

You have been infected with the Coin Locker malware.
All files on this system have been encrypted.
To regain access to your files you will need the Coin Locker decryption software.
To obtain our software you will need to access the deep web with TOR, download TOR here:
https://www.torproject.org/download/download-easy.html.en
Launch TOR and navigate to our website:
http://unjbvgrxu2mpobuj.onion
Follow the steps on the site to use the decryption software and your files will be unlocked.

Wie Sie sehen enthält die Lösegeldforderung einen Link auf eine TOR-Seite, auf der die Zahlung durchgeführt werden muss. Die Höhe des Lösegelds schwankt zwischen 50 und 500 USD. Der Betrag wird in Cyrptowährung, nämlich Bitcoins, gefordert.

Wie wird die Coin Locker Ransomware verbreitet?

Der Coin Locker Virus wird auf zwei Arten verbreitet. Einerseits werden infizierte Spam-E-Mails an die Opfer gesandt. Diese Spam E-Mails enthalten betrügerische Links oder Anhänge. Sie können als wichtige E-Mails von großen Unternehmen, wie FedEx, oder Behörden, wie der Zollbehörde, getarnt sein. Eventuell gibt es auch gar keinen Absender. Wir empfehlen Ihnen in jedem Fall, solche E-Mails zu ignorieren. Die zweite Verbreitungsmethode der Coin Locker Ransomware ist BlackHole EK (Exploit Kit). Dieses EK lädt die Ransomware auf Ihren Computer herunter, sobald Sie auf einen infizierten Link klicken oder betrügerische Webseiten besuchen. Daher ist es so wichtig, auf den Webbrowser zu hören, falls dieser URLs auf die Blacklist setzt oder Sie vor potenziellen Gefahren warnt. Ein vertrauenswürdiges Antivirenprogramm, wie Reimage, SpyHunter oder Stopzilla, ist ein Muss.

Wie entschlüsselt man Dateien, die von der Coin Locker Ransomware verschlüsselt wurden?

Der Cybersicherheitsexperte Nathan Scott entwickelte einen Entschlüssler für den Coin Locker Crypto Virus. Der Entschlüsselungscode kann über folgenden Link heruntergeladen werden: http://download.bleepingcomputer.com/Nathan/Coin_Locker_Decrypter.exe. Sobald Sie dieses Programm herunterladen, klicken Sie doppelt darauf und führen Sie es aus. Es handelt sich um ein einfach zu verwendendes Programm mit klaren Anweisungen. Löschen Sie danach die Malware von Ihrem Computer. Verwenden Sie dafür die automatischen Malware-Entfernungstools Reimage, SpyHunter oder Malwarebytes. Sie können auch versuchen, die Badware manuell zu entfernen, indem Sie unsere kostenlose Entfernungsanleitung für die Coin Locker Ransomware befolgen. Diese Anleitung finden Sie nachfolgend.

Wie entferne ich Coin Locker Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Coin Locker Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Coin Locker Ransomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Coin Locker Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Coin Locker Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Coin Locker Ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

       
 
 
Oktober 3, 2016 08:24, Oktober 30, 2016 20:46
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.