Entfernung des R980 Ransomware

 

Die R980 Ransomware ist einer der aktuellsten (vielleicht sogar der aktuellste) Dateiverschlüssler. Eine umfassende Analyse der Cyberbedrohung kann erst in Zukunft durchgeführt werden. Derzeit können wir Ihnen nur die Fakten präsentieren, die wir bereits über diesen Ransomware Virus haben.

Über die R980 Ransomware

Derzeit wird diskutiert, ob der R980 Virus als Cryptomalware bezeichnet werden kann, da einige Quellen angeben, dass er keine Verschlüsselung durchführt. Es gibt allerdings auch viele Meldungen, dass diese Ransomware Daten verschlüsselt und zu diesem Zweck einen jener asymmetrischen Verschlüsselungsalgorithmus verwendet, die die gängigsten Ransomwares nutzen (z.B. Jager Ransomware etc.). In der Lösegeldforderung werden Benutzer darüber informiert, dass die Daten mit AES-256 und RSA-4096 verschlüsselt wurden. Das bedeutet, dass während der Verschlüsselung zwei Schlüssel generiert werden. Ein Schlüssel ist öffentlich und wird für die Verschlüsselung genutzt. Der andere Schlüssel ist privat und zur Entschlüsselung erforderlich. Der letztgenannte Schlüssel ist auf den Remote Servern dieser Cyberkriminellen versteckt. Dieser Schlüssel wird ihnen zum Kauf angeboten. Die Lösegeldforderung lautet:

!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES – 256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server.An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK
: To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe

Please wait up to 24 hours for your decrypter to arrive.

Die Datei heißt „DECRYPTION_INSTRUCTIONS“. Wie Sie sehen, fordern die Hacker, die hinter dem R980 Dateiverschlüssler stecken, 0,5 BTC (Bitcoins), was derzeit 327,69 USD entspricht. Der Betrag muss in Cryptowährung (z.B. Bitcoins) übermittelt werden, damit die Identität der Cyberbetrüger verborgen bleibt. Es wird versprochen, dass Ihnen der Entschlüsselungscode innerhalb von 24 Stunden nach der Zahlung übermittelt wird. Die Dateitypen, auf die die R980 Cryptomalware abzielt, werden nicht angegeben. Wir können aber annehmen, dass jedes Dateiformat infiziert werden kann, da Ransomwares eine große Auswahl von Daten beschädigen.

Wie wird die R980 Ransomware verbreitet?

Die R980 Ransomware ist ein Trojaner, da sie die bekannten Verbreitungsmethoden dieser Viren verwendet. Sie wird über Spam-E-Mails verbreitet, die an die Opfer gesandt werden. Natürlich sind entweder die enthaltenen Links oder die Anhänge der Nachrichten infiziert. Im Allgemeinen wird nicht empfohlen, auf die Links in Spam E-Mails zu klicken oder deren Anhänge zu öffnen. Sie könnten zwar verlockend aussehen – lassen Sie sich aber nicht täuschen. Die R980 Cryptomalware kann auch von Exploit Kits auf Ihrem Computer abgelegt werden, während Sie fragwürdige Webseiten, wie Filesharing-Seiten, besuchen. Exploit Kits (z.B. Angler, Nuclear, Blackhole etc.) laufen auf Domains dieser Art – sobald sie Schwachstellen in der Software Ihres Computers entdecken, installieren sie die Nutzdaten der Ransomware auf dem PC.

Wie entschlüsselt man Dateien, die von der R980 Ransomware verschlüsselt wurden?

Zu diesem Zeitpunkt gibt es noch keine Entschlüsselungsprogramme, die von Sicherheitsexperten entwickelt wurden, um die vom R980 Verschlüssler verschlüsselten Dateien zu entschlüsseln. Den Entschlüssler zu kaufen, ist keine Lösung. Verwenden Sie Ihr Backup oder sehen Sie in den Schattenkopien nach. Verwenden Sie professionelle Programme zur Datenwiederherstellung, falls Sie bereits alles ausprobiert haben, um Ihre Daten zu retten. Dazu gehören Softwares von Kaspersky Lab, Recuva, R-Studio, PhotoRec etc. Erstellen Sie zuerst eine Kopie des infizierten Laufwerks. Jetzt kommt die wichtigste Aufgabe – entfernen Sie die Malware mit einem der folgenden automatischen Malware-Entfernungsprogramme:  Reimage, SpyHunter oder Hitman. Diese Instrumente vereinfachen Ihnen die Entfernung des R980 Verschlüsslers. Eine manuelle Entfernungsanleitung finden Sie am Ende dieses Artikels.

Wie entferne ich R980 Ransomware mit einer Systemwiederherstellung?

1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.

für Windows 7 / Vista/ XP

● Start → Herunterfahren → Neu starten → OK.

● Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.

● Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.

für Windows 8 / 10

● Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.

● Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.

● Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.

2. Stellen Sie Ihre Systemdateien und Einstellungen wieder her.

● Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.

● Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.

● Klicken Sie im nächsten Fenster auf „Weiter“.

● Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem R980 ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“.

● Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.

3. Schließen Sie die Entfernung von R980 ransomware virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit R980 virus in Verbindung stehen, zu entfernen.

4. Stellen Sie die von R980 cryptomalware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht R980 crypto-malware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.

b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

 

Programme zur automatischen Entfernung von R980 Ransomware

 

Andere Werkzeuge

 
  0   0
    Malwarebytes Anti-Malware
 
  Reimage zur Entfernung von R980 Ransomware herunterladenHinweis: Reimage findet Parasiten wie R980 Ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.
  We might be affiliated with some of these programs. Full information is available in disclosure             
     

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.