Philadelphia Ransomware Entfernen

 

Die Philadelphia Ransomware ist eine neue Variante der Stampado Ransomware, welche von The Rainmaker entwickelt und im Dark Web verkauft wird. Diese RaaS (Ransomware as a Service) macht für 400 USD fast jeden zum Hacker. The Rainmaker kündigte dieses neue Schurkenprogramm in Foren, vor allem auf der kriminellen Webseite AlphaBay Tor, an und präsentierte den Plan, am ersten Tag, an dem die Philadelphia Cryptomalware veröffentlicht wird, 20.000 Komplizen zu finden. Diese neue Version von RaaS ist allerdings nicht so gefährlich, wie es Ihnen die Entwickler glauben machen. Der Philadelphia Cryptovirus wurde in der Skriptsprache AutoIT programmiert und könnte daher Schwachstellen aufweisen, welche es ermöglichen, diesen betrügerischen Programmcode zu knacken. Laut Fabian Wosar von Emsisoft, der meistgehassten Person von The Rainmaker, da er die ersten zwei Versionen der Stampado Ransomware entschlüsselte, kann und wird der Philadelphia Virus entschlüsselt werden.

Über die Philadelphia Ransomware

Die Philadelphia Ransomware verwendet wie die meisten Ransomware-Viren eine asymmetrische AES-Verschlüsselung, um die Dateien der Opfer zu verschlüsseln. Dieser Ransomware-Virus zielt auf fixe, externe und Netzwerk-Laufwerke, sowie das Stammverzeichnis des Laufwerks ab. Zu den Dateitypen, auf die der Parasit abzielt, gehören die folgenden:

*.7z;*.asp;*.avi;*.bmp;*.cad;*.cdr;*.doc;*.docm;*.docx;*.gif;*.html;*.jpeg;*.jpg;*.mdb;*.mov;*.mp3;*.mp4;*.pdf;*.php;*.ppt;*.pptx;*.rar;*.rtf;*.sql;*.str;*.tiff;*.txt;*.wallet;*.wma;*.wmv;*.xls;*.xlsx;*.zip

Wie Stampado, hängt der Philadelphia Verschlüssler den Dateien die Erweiterung „.locked“ an (welche allerdings benutzerdefiniert werden kann). Außerdem wird der Name der Datei in eine zufällige Zahlen- und Buchstabenkombination verwandelt. Die Datei „Presentation.ppt“ sieht nach einem Angriff von Philadelphia zum Beispiel so aus: 7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. Nachdem die Verschlüsselung abgeschlossen ist, wird der Sperrbildschirm des Opfers durch folgende Nachricht ersetzt:

philadelphia-ransomware-lock-screen-2-viruses

Die besondere Eigenschaft des Philadelphia Verschlüsslers, welche von The Rainmaker  als „coolste Funktion“ bezeichnet wird, ist, dass die Malware nicht die gewöhnlichen C&C (Command and Control) Server verwendet. Stattdessen werden PHP Scrips, die Bridges genannt werden, verwendet, um den Verschlüsselungscode sowie die Daten des Opfers zu speichern und zu kontrollieren, ob das Lösegeld bezahlt wurde. Ein Management Client namens Philadelphia Headquarters ist ein weiteres Resultat dieser Kommunikation über Bridges. Diese Management-Konsole speichert die Daten und verfügt über alle Funktionen, die für eine Attacke notwendig sind. Außerdem enthält sie den Button „Give Mercy“, welcher von gnädigen Angreifern zur Verfügung gestellt werden kann. Die Konsole sieht wie folgt aus:

philadelphia-ransomware-console-2-viruses

Die anderen Funktionen, wie die Ordner, auf die die Malware abzielt, die Zeit, die für die Lösegeldforderung zur Verfügung steht (welche „russisches Roulette“ genannt wird – eine weitere Gemeinsamkeit mit der Stampado Ransomware), die Höhe des Lösegelds etc. können von den Betrügern personalisiert werden. Daher wissen die Opfer des Philadelphia Dateiverschlüsselungsvirus nie, wie viel Geld gefordert wird, welche Fristen gesetzt werden und ob man sich Gnade erwarten kann. Doch gehen Sie nicht vor diesen Cyberkriminellen in die Knie, da wir uns sicher sind, dass bald ein Entschlüssler veröffentlicht werden wird.

Wie wird die Philadelphia Ransomware verbreitet?

Die Philadelphia Ransomware wendet dieselben Taktiken an wie Trojaner. Der Parasit wird über Spam E-Mails, die als Mahnung des brasilianischen Finanzministeriums getarnt sind, verbreitet. Das könnte auch darauf hindeuten, dass diese Ransomware speziell für brasilianische Benutzer erstellt wurde. Doch die zuvor erwähnte Spam E-Mail kann in Posteingängen auf der ganzen Welt auftauchen. Die gefälschte Notiz sieht wie folgt aus:

philadelphia-ransomware-notice-2-viruses

Die Phishing E-Mails enthalten einen Link, der ein betrügerisches JavaScript aktiviert, welches die Nutzdaten der Philadelphia Cryptomalware in die Computersysteme der Opfer lädt und ausführt. So werden Benutzer für ihre Neugier bestraft.

Wie kann man die von der Philadelphia Ransomware verschlüsselten Dateien entschlüsseln?

Obwohl wir geduldig auf einen Entschlüssler warten, haben alle, die mit der Philadelphia Software infiziert wurden, keine Zeit, darauf zu waren. Wir empfehlen Ihnen, ein externes Backup auf Festplatten zu verwenden, die während oder nach dem Angriff nicht mit dem Computer verbunden waren. Die betroffenen Benutzer können auch die Schattenkopien kontrollieren, da noch nicht bekannt ist, ob diese von der Ransomware gelöscht werden oder nicht. Als letzten Ausweg können professionelle Datenwiederherstellungsprogramme verwendet werden. Das sind zum Beispiel Softwares, wie R-Studio, PhotoRec, Recuva, Softwares von Kaspersky Lab etc.

Bevor Sie mit der Wiederherstellung Ihrer ruinierten Daten beginnen, kopieren Sie das infizierte Laufwerk (Sie benötigen etwas für den zukünftigen Entschlüssler) und – ganz wichtig – entfernen Sie die Philadelphia Ransomware mit einem der folgenden Programme: Reimage, Spyhunter oder Malwarebytes. Diese leistungsstarke Software zur Malware-Entfernung scannt und reinigt das gesamte Computersystem, damit sich der betrügerische Programmcode nicht regenerieren kann. Die manuelle Entfernungsanleitung zur Entfernung der Philadelphia Malware finden Sie nachfolgend.

UPDATE: Der Entschlüssler für die Philadelphia Ransomware wurde soeben veröffentlicht. Um ihn zu verwenden, benötigen Sie ein Dateipaar mit einer verschlüsselten Datei und ihrer nicht entschlüsselten Originalversion. Um diese zu finden, vergleichen Sie einfach die Dateigrößen. Die Größe der verschlüsselten Datei wird auf die nächsten 16 Bytes der Originaldatei aufgerundet. Wählen Sie sowohl die verschlüsselte und nicht verschlüsselte Datei aus und ziehen Sie sie auf die Entschlüsslerdatei in Ihrem Download-Verzeichnis.

Wie entferne ich Philadelphia Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Philadelphia Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Philadelphia Ransomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Philadelphia Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Philadelphia Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Philadelphia Ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

 

Philadelphia Ransomware Bildschirmfotos

 
     
 
 
September 13, 2016 14:17, Oktober 14, 2016 21:14
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.