PokemonGO Ransomware Entfernen

 

Der Hype um PokemonGo wird wahrscheinlich noch länger anhalten. Da immer mehr Spieler hinzukommen, lockt die Pokemon-Welt aber leider auch zwielichtige Menschen an. Dieses Mal handelt es sich um eine Ransomware-Infektion, die die Kontrolle über die Computer der Opfer übernimmt und über die Datei PokemonGo.exe verbreitet wird. Um den Parasit glaubwürdiger zu machen, wurde er mit einem süßen Symbol mit dem springenden Pikachu versehen. Diese Datei ist allerdings weder unschuldig noch normal: es handelt sich um das Zentrum eines Ransomware Virus und wir können ihre Gefährlichkeit nicht oft genug betonen. Die PokemonGo Ransomware zielt nur auf arabischsprachige Länder ab, da die Lösegeldforderung in dieser Sprache verfasst wurde. Achten Sie genau auf diese Bedrohung und stellen Sie sicher, dass sich die zwielichtige ausführbare Datei nicht in den Ordnern Ihres Computers versteckt.

Über die PokemonGO Ransomware

Der PokemonGO Virus nimmt signifikante Änderungen am infizierten Computer vor. Das Schurkenprogramm erstellt ein separates Benutzerkonto, das als „Hack3r“ bezeichnet wird. Außerdem wird der Windows Registry-Schlüssel so geändert, dass der Parasit gemeinsam mit anderen Anwendungen gestartet wird. Nach der Infektion wird ein Großteil Ihrer Dateien verschlüsselt, wofür der Schlüssel AES-256 verwendet wird. Dieser Algorithmus sorgt dafür, dass Sie nicht mehr auf Audio-Dateien, Videos und andere Dokumente zugreifen können. Die Verschlüsselung ist eine sehr beängstigende Funktion des PokemonGO Virus: es besteht die Möglichkeit, dass Sie Ihre gesamten Daten permanent verlieren. Deshalb haben die Opfer oft das Gefühl, das geforderte Lösegeld bezahlen zu müssen, um die Dateien zurückzubekommen. Nachdem der PokemonGO Virus alle Ihre Dateien verschlüsselt hat, wird jeder einzelnen Datei die Erweiterung .locked hinzugefügt. Der PokemonGO Virus wäre keine echte Ransomware, wenn er keine Lösegeldforderung anzeigen würde: auf den Desktops der infizierten Geräte wird die Datei هام جدا.txt abgelegt. Ihr Inhalt liefert nur wenige Informationen.

“(: لقد تم تشفير ملفاتكم, لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا”

Hier ist die englische Übersetzung:

“(: Your files have been encrypted, decoding Falaksa Mobilis following address me.blackhat20152015@mt2015.com and thank you in advance for your generosity.”

Wie entschlüsselt man Dateien, die von der PokemonGO Ransomware verschlüsselt wurden?

Der PokemonGO Virus kann Ihnen anbieten, Ihre Dateien zu entschlüsseln, sofern Sie genügend Geld überweisen – für diese Option sollten Sie sich allerdings nicht entscheiden. Die Höhe des Lösegelds ist nicht angegeben und könnte daher vom Ausmaß der Verschlüsselungen abhängen. Es wird dringend empfohlen, die Hacker nicht über die angegebene E-Mail Adresse zu kontaktieren. Die betrügerischen Programmierer wollen nur Geld sehen – falls Sie ihnen Geld senden, bedeutet das noch lange nicht, dass Sie auch den Entschlüsselungscode erhalten. Sie können Ihre Dateien über Backups wiederherstellen, universelle Dateiwiederherstellungsprogramme verwenden und kontrollieren, ob Schattenkopien gelöscht wurden.

Wie wird die PokemonGO Ransomware verbreitet?

Der PokemonGO Virus wird als PokemonGO.exe Datei verbreitet. Diese Nutzdaten können auf verschiedene Weise verbreitet werden. Eine Möglichkeit sind E-Mails, die Internetbenutzern anbieten, eine neue Variante von PokemonGO herunterzuladen. Benutzer sollten solche Nachrichten nie öffnen und den angebotenen Anhang auf keinen Fall herunterladen. Es ist sehr wahrscheinlich, dass Ransomwares angehängt wurden. Außerdem kann diese Art von Virus über Drive-by-Downloads verbreitet werden. Stellen Sie sicher, dass Sie keine unseriösen Domains besuchen, die betrügerische ausführbare Dateien enthalten könnten.

Der PokemonGO Virus kann automatisch mit  Reimage, SpyHunter oder Hitman gelöscht werden. Weitere Informationen über die Entschlüsselung und die manuelle Entfernung finden Sie nachfolgend. Wir empfehlen Ihnen, die oben genannten Anti-Malware-Programme zu verwenden, falls Ihnen die Sicherheit am Herzen liegt.

Wie entferne ich PokemonGO Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem PokemonGO ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von PokemonGO virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit PokemonGO Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von PokemonGO ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht PokemonGO virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

       
 
 
September 5, 2016 11:53, Oktober 1, 2016 21:27
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.