Der Spora Virus entfernen - wie man es los wird

 
UAB DIGIMA

Der Januar verging, ohne dass Sicherheits-Forscher eine der kompliziertesten Ransomware Samples von 2017 entdeckten. Der Spora Krypto-Virus ist eine bösartige Infektion, die offensichtlich von Profis entwickelt wurde. Der Virus wird per Spam-Mail verteilt, die hauptsächlich russischsprachige Benuter erreicht: auf sie wird abgezielt. Obwohl der Virus dieselbe Strategie seiner Vorgänger aus der Ransomware-Kategorie verwendet, sticht er durch seinen komplexen Verschlüsselungs-Prozess und eine clever gestaltete Bezahlungs-/Entschlüsselungs-Webseite hervor. Außerdem verändert der Virus im Gegensatz zu anderen die verschlüsselten Dateinamen nicht. Alle Betroffenen erhalten eine ID Nummer, die auf der Spora.bz Webseite benutzt werden kann, um sich einzuloggen. Vielleicht haben sich die Hacker gedacht, dass sie mit einer unkonventionellen Domain für die Bezahlungs-/Entschlüsselungs-Website höhere Chancen auf das Erhalten der verlangten Summen haben. Die ID Nummer, die man in das Log-In Feld eingibt, liest automatisch die Details Ihrer Infektion: das Wichtigste ist dabei die Anzahl verschlüsselter Dateien. Für mehr Informationen, lesen Sie bitte diesen Artikel weiter.

Mehr nützliche Details über den Spora Virus und seine Einzigartigkeit

Aus unserer langjähriger Erfahrung im Verfassen von Artikeln über Cyber-Infektionen, sind wir zahlreichen Infektionen begegnet. Heutzutage kann jeder Möchtegern-Hacker mit Open Source Code eine unkomplizierte Ransomware-Infektion konstruieren. Von Zeit zu Zeit, stellen jedoch engagierte Programmierer hochkomplexe Meisterwerke her. Die Spora Ransomware ist definitiv eine dieser Infektionen, wo es Sicherheits-Experten nicht einfach haben, eine Lösung für den Virus zu finden. Die Infektion wird mit E-Mails in Form von Executables verteilt, die die Prozesse von Spora beginnen, sobald sie geöffnet werden. Überraschenderweise zielt die Ransomware nicht auf viele Dateientypen ab, sondern auf die am meisten verbreiteten, die sich auf jedem Computer befinden. Warum sollte man auch auf hunderte von Dateientypen abzielen, wenn beliebte Dateienarten auf jedem Gerät present sind. Word Dokumente, PDF Dateien, Photos, ZIP und RAR Dateien etc. können vom Spora Virus betroffen werden. Die .KEY Datei implementiert den extrem komplexen Verschlüsselungs-Prozess. Bei diesem Prozess wird eine Kombination aus den RSA und AES Verschlüsselungs-Algorithmen benutzt, sodas das Herstellen eines gratis Entschlüsselungsprogramm schwierig wird. Der Spora Virus zerstört auch alle Shadow Volume Copies, um die Wiederherstellungs-Chance noch mehr zu vermindern.

Es wurde festgestellt, dass die Ransomware mit drei Executables operiert. Nachdem sie geöffnet wird, wird erstmal die close.js Datei in den Temp Ordner platziert. Danach kommt ein weiteres Executable hinzu, welches für den Verschlüsselungs-Prozess zuständig ist. Es hat keinen bestimmten Namen und und kann für jeden Betroffenen individuell benannt werden. Die dritte Datei des Spora Virus ist ein .docx Typ, die die folgende Nachricht hervorruft: “Word kann diese Datei nicht öffnen, da das Format nicht mit der Datei-Endung übereinstimmt.”

Wir haben bereits erwähnt, dass die Bezahl-/Entschlüsselungs-Website des Spora Virus etwas anders als üblich ist. Betroffene müssen ihre ID Nummern eingeben, um die vollständige Version der Website einzusehen. Das heißt, dass wenn Sie nicht von Spora betroffen sind, ist die Seite für Sie nicht zugänglich. Die Eingabe der ID Nummer ist aber nicht genügend: Man muss auch die .KEY Datei hochladen. Nur dann werden die Preise für eine Entschlüsselung abhängig von der Anzahl der verschlüsselten Dateien generiert. Es wird nicht nur eine Entschlüsselung und vollständige Reparatur des Systems offeriert, sondern auch einen zukünftiger Schutz vor Viren dieser Hacker. Natürlich kostet dies nochmal extra. Somit versuchen die Kriminellen, maximalen Gewinn zu erzielen. Es wird damit auch impliziert, dass von diesen Leuten noch weitere Ransomware Viren geplant sind. Im folgenden Photo sehen Sie ein Beispiel einer bösartigen Mail(auf Englisch):

Ist es möglich, den Spora Virus mit seiner komplizierten Verschlüsselungs-Strategie zu überlisten?

Da der Spora Virus eine sehr komplizierte Methode zur Verschlüsselung von Dateien verwendet, ist es noch nicht absehbar, wann es ein entsprechendes gratis File-Recovery-Tool geben wird. Es braucht eine ausführliche Analyse, um einen solchen Dekryptor herzustellen. Im Falle einer Infektion empfehlen wir Ihnen, ruhig und rational zu bleiben: Lassen Sie sich nicht austricksen und bezahlen Sie kein Geld an die Hacker. Sie sollten jedoch 2 Dateien kostenlos wiederherstellen lassen: das könnte Sicherheits-Forschern helfen, ein gratis Tool zu generieren. Obwohl der Virus bis jetzt hauptsächlich auf russischsprachige Benutzer abzielt, vermuten wir, dass er bald auch andere Nutzer attackieren wird. Die besten zwei Methoden um vor Ransomware immun zu bleiben, sind: Speichern Sie Ihre Dateien zusätzlich in Backup-Speichern oder lassen Sie sie an anderen sicheren Orten. Falls Ihr Computer infiziert wird, müssen Sie sich dann nicht mehr um File-Recovery kümmern, da Sie auch aus einer anderen Quelle Zugang zu den Dateien haben werden.

Taktiken des Spora Virus, um Computer-Geräte zu erreichen

Die Urheber der Spora Ransomware versenden E-Mails mit infektiösen Anhängen an zufällige Leute. Wenn man den Anhang öffnet und ausführt, wird der Virus aktiviert. Deswegen sollten Sie ihr Postfach stets von Spam-Nachrichten bereinigen. Es kann manchmal aber wirklich schwierig sein, vertrauenswürdige Mails von Scams zu unterscheiden. Wir empfehlen deshalb, niemals E-Mails von unbekannten Absendern zu öffnen. Öffnen Sie Anhänge nur, nachdem Sie sichergestellt haben, dass diese keine Gefahr darstellen.

Da der Spora Virus Shadow Volume Copies löscht und auch andere Tricks benutzt, um die Datei-Entschlüsselung komplizierter zu machen, können wir Ihnen in dieser Hinsicht nicht viel weiterhelfen. Sie sollten aber die Ransomware so schnell wie möglich eliminieren. Reimage, Spyhunter oder Malwarebytes können Ihnen dabei helfen.

Update vom 24. Januar, 2017. Genau wie wir vorhergesagt haben, hat sich der Virus tatsächlich über russischsprachige Benutzer hinweg weiterverbreitet. Zu Beginn waren nur Nutzer in Russland von den bösartigen Spam-Mails betroffen. Nun können Computer in verschiedenen Ländern mit dem Virus infiziert werden. Außerdem hat man bemerkt, dass Spora von einem Server verteilt wird, der Ransomware-Giganten wie Cerber und Locky verteilt. Das kann nicht gut enden: Seien Sie bitte extrem vorsichtig, da man nicht weiß, welche Länder noch zur Liste der Betroffenen hinzugefügt werden.

Update vom 6. Februar, 2017. Security expertsSicherheitsexperten bemerkten, dass der Spora Virus eine neue Strategie für die Verbreitung benutzt. Er wird jetzt via Google Chrome verbreitet, wenn die Benutzer aufgefordert werden, ein Update des Browsers durchzuführen. EITest Chrom Font Update ist das Fenster, dass vermutlich erscheinen wird, aber man sollte nicht zustimmen, es zu installieren.

Update vom 20. März, 2017.

Dank Analysen von Sicherheitsexperten, ist es nun viel leichter, eine Spora-Infektion zu entdecken. Außerdem wurde eine neue Website dieses Virus festgestellt: Torifyme.com.

Wie entferne ich Der Spora Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Spora virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Spora ransomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Der Spora Virus in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Spora virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Spora ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

 

Der Spora Virus Bildschirmfotos

 
         
Mai 5, 2017 08:23, Mai 5, 2017 08:23

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.