Zyklon Locker Entfernen

 

Zyklon Locker ist ein Ransomware-Virus, der nach einer Chemiewaffe aus dem Zweiten Weltkrieg benannt wurde. Der Parasit, der von der Malware-Analytikerin Katja Hahn entdeckt wurde, ähnelt dem GNL Locker (mehr darüber unten) und wird als modifizierte Version dieser Crypto-Malware eingestuft.

Über die Zyklon Locker Ransomware

Sobald Zyklon Locker in das System Ihres Computers gelangt, legt es eine .bat Datei mit dem Namen freepalistine.bat im Ordner %AppData% ab. Diese ausführbare Datei sucht die Daten, die danach verschlüsselt werden. Alle Arten von Dateien können verschlüsselt werden: Text, Audio, Video, Fotos etc. NAS (netzgebundener Speicher) können ebenfalls infiziert werden. Der Zyklon Locker verschlüsselt Daten mit der Chiffre AES-512 und hängt (wie der GNL Locker) die Erweiterungen .locked oder .zyklon Erweiterungen an die verschlüsselten Dateien an. Danach legt das Schurkenprogramm die Datei UNLOCK_FILES_INSTRUCTIONS.txt in jedem Ordner mit verschlüsselten Dateien ab. Die Datei UNLOCK_FILES_INSTRUCTIONS.png ersetzt Ihren Desktop-Hintergrund und UNLOCK_FILES_INSTRUCTIONS.html wird geladen, sobald Sie Ihren Browser starten. Diese Dateien enthalten die Lösegeldforderung mit weiteren Anweisungen. Auch die Dateinamen ähneln jenen des GNL Lockers. Das derzeit geforderte Lösegeld beträgt rund 0,6 BTC (Bitcoins), was 250 USD entspricht. Dieser Betrag wird verdreifacht, falls die Zahlung nicht bis zum genannten Datum eintrifft (die dritte Gemeinsamkeit mit dem GNL Locker). Ein Neustart des Computers hilft Ihnen nicht, da die Registry-Einträge zum Windows-Startup hinzugefügt werden, wodurch die Malware startet, sobald Windows hochgefahren wurde.

Wie verbreitet sich die Zyklon Locker Ransomware?

Die Zyklon Locker Ransomware verwendet Spam-E-Mails mit betrügerischen Links und ihre infizierten Anhänge, um in Ihren Computer zu gelangen. Die E-Mails enthalten vermeintliche Nachrichten von offiziellen Unternehmen (z.B. DHL, FedEx etc.). Sie könnten sogar mit Logos und anderen Anzeichen für „Seriosität“ versehen worden sein. In Wirklichkeit handelt es sich um Köder, weshalb sie alle im Spam-Ordner landen. Außerdem werden Exploit Kits, wie das Nuclear Exploit Kit, Angler Exploit Kit, Neutrino Exploit Kit, von Hackern verwendet, um Benutzer mit Malware, vor allem Ransomwares, zu infizieren.

Wie entschlüsselt man Dateien, die von der Zyklon Locker Ransomware verschlüsselt wurden?

Leider gibt es derzeit noch keine Entschlüsselungsprogramme. Der Zyklon Locker Virus scheint auch die Schattenkopien zu löschen, weshalb offensichtlich ist, dass der VSS (Volume Shadow Copy Service) nicht weiterhelfen kann. Dennoch können Datenwiederherstellungsprogramme, wie PhotoRec, R-studio etc. verwendet werden. Als Vorsichtsmaßnahme sollten Sie Ihre Daten in einem externen Laufwerk sichern und ein seriöses Anti-Malware-Programm installieren. Es können auch professionelle Programme zur Malware-Entfernung, wie Reimage, SpyHunter, Malwarebytes oder StopZilla, verwendet werden, um die Zyklon Locker Ransomware von Ihrem Computer zu entfernen. Befolgen Sie zur manuellen Entfernung die nachfolgende Entfernungsanleitung für den Zyklon Locker.



Programme zur automatischen Entfernung von Zyklon Locker

 
 
Hinweis: Reimage findet Parasiten wie Zyklon Locker und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.  We might be affiliated with some of these programs. Full information is available in disclosure

Wie entferne ich Zyklon Locker mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Zyklon Locker in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Zyklon Locker ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Zyklon Locker in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Zyklon Locker betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Zyklon Locker, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

       
 
 
August 1, 2016 07:49, August 6, 2016 21:53
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.