Bad-Rabbit-Virus Entfernen

Von         Oktober 28, 2017 21:27          0
 

Der Ransomware-Virus Bad-Rabbit fackelt nicht lange herum, und ein weltweiter Ausbruch wurde am 24. Oktober 2017 beobachtet. Die Situation erinnert deutlich an die Krisen nach den Infektionen mit WannaCry und NotPetya. Bei Bad-Rabbit handelt es sich nicht vollständig um eine Ransomware-Bedrohung, da man es auch als eine neue und verbesserte Version von Petya betrachten kann. Wie Sie vielleicht bereits wissen, war es das Ziel von NotPetya, Geräte zu zerstören. Mit anderen Worten: Es handelte sich um eine Viper. Die Malware Bad-Rabbit gelangt als install_flash_player.exe file auf die Systeme. Sie hinterlässt außerdem die Dateien infpub.dat und rundll32.exe auf dem Laufwerk C:.

Typische Symptome der Bad-Rabbit-Ransomware, Bezüge auf Game of Thrones und AES-Verschlüsselung

Der Ransomware ist es gelungen, sich in Computer einzuschleusen, die Benutzern aus Osteuropa gehören. Dazu gehört, wieder einmal, die Ukraine, zusammen mit Teilen Russlands, Bulgariens, Polens und zusätzlich die Vereinigten Staaten von Amerika, Südkorea und die Türkei. Behörden und Unternehmen müssen sich im Moment auf die Cyber-Security konzentrieren, weil sich die massive Attacke durch Bad-Rabbit noch stärker ausbreiten könnte. Das ukrainische Infrastrukturministerium, das U-Bahnsystem und der Flughafen von Odessa wurde Opfer dieser Infektion. Außerdem berichteten einige Unternehmen aus Russland, dass ihre Dienstleistungen wegen Bad-Rabbit arg in Mitleidenschaft gezogen worden sind (New ransomware attack hits Russia and spreads around globe).


Bad Rabbit ransomware virus

Die Bad-Rabbit-Bedrohung zerstört nicht nur Festplatten, sondern verschlüsselt zudem die Daten auf den Geräten der Opfer. Anscheinend wird zur Chiffrierung der Dateien der AES-Algorithmus verwendet. Um die Dinge zu verkomplizieren wird der erzeugte Dechiffrier-Schlüssel zusätzlich mit einer RSA-Chiffre encodiert. Hierbei handelt es sich um eine beliebte Strategie von Ransomware-Schädlingen (Bad Rabbit Ransomware Strikes Russia and Ukraine).

Es mag Sie vielleicht überraschen, dass die Infektion eine eigene Endung an die beschädigten Programmdateien anfügt. Stattdessen fügt sie einen Marker-String namens „verschlüsselt“ ans Ende jeder beschädigten Datei hinzu. Eine weitere sehr wichtige Eigenschaft dieser Ransomware ist es, dass sie in der Lage ist, den Zugriff auf Netzwerk-Shares zu erlangen. Das bedeutet, dass sich die Infektion von einem Rechner zum nächsten ausbreiten könnte. Der ursprüngliche Ausbruch sol auf der russischen Webseite argumentiru.com stattgefunden haben. Vielleicht erinnern Sie sich daran, das im Falle von NotPetya die Infektion von der Servern von M.E.Doc aus übertragen wurde.

Vermutungen zufolge soll der Krypto-Virus Bad-Rabbit von eingefleischten Fans der Serie Game of Thrones erschaffen worden sein. Während der technischen Untersuchung der Ransomware fanden Forscher Bezüge auf die populäre TV-Serie. so zum Beispiel ein Tri von geplanten Tasks, die nach den berühmen Drachen von Viserion, Rhaegal and Drogon benannt worden sind.


Bad Rabbit ransomware

Der Bad-Rabbit-Virus wird durch eine Drive-by-Dowenload-Methode verteilt, konkret durch falsche Updates für den Adobe Flashplayer. Einige häufig besuchte Domains im Web wurden gehackt, damit die Cyberkriminellen bösartige Java-Scrips in den HTML-Body oder die *.js-Datei injizieren konnten (Bad Rabbit: Not-Petya is back with improved ransomware). Deshalb wird einem Nutzer, der eine kompromittierte Domain besucht, das Update für den Flashplayer angeboten. Nachdem der Besucher zustimmt, das heruntergeladene Update zu installieren, entpuppt sich eine Datei von Ldnscontrol.com turns als Win32/FileCoder.D.

Als Disk-Coder stiehlt Bad-Rabbit außerdem die persönlichen Daten seiner Opfer, indem er sich als Spyware verhält. Wenn er sich erst einmal seinen Bedürfnissen entsprechend eingerichtet hat, darunter Modifikationen des Master Boot Record (MBR), werden die Rechner der Opfer am vollständigen Start gehindert. Die Nutzer erblicken die gleiche Lösegeldforderung wie bei der NotPetya-Attacke. Man kann jedoch darüber diskutieren, ob dieselben Leute hinter der Malware Bad-Rabbit stecken. Obgleich es sehr viele Ähnlichkeiten gibt, gibt es auch sehr viele Unterschiede, und nur 13 % des Codes von NotPetya werden wiederverwendet.

Dieser frisch entdeckte Malware-Albtraum Bad-Rabbit fordert die Nutzer auch dazu auf, eine Webseite via TOR aufzurufen. Die Domain Caforssztxqzf2nm.onion wird eine Text-Nachricht anzeigen, die darauf besteht, dass die Opfer ihren persönlichen Schlüssen in der unten stehenden Box eintragen. Wenn dann der Schlüssel erkannt wurde, wird den Opfern eine detaillierte Anleitung gegeben, auf welchem Wege sie das Lösegeld begleichen sollen. Das geforderte Lösegeld beträgt 0.05 BTC, was ungefähr 274,87 USD entspricht. Jedoch handelt es bei diesem Betrag nicht um das endgültige Lösegeld: Wenn sich ein Opfer mehr als 40 Stunden weigert zu zahlen, steigt der Betrag. Nichtsdestotrotz ermutigen wir Sie, NICHT zu bezahlen!

Verteilungsmechanismen, die der BAD-Rabbit-Virus ausnutzt

Wir haben bereits ausgeführt, dass sich die Infektion über falsche Updates für den Adobe Flashplayer verbreitet. Diese werden über seriöse Webseiten bereitgestellt, die von bösartigen JavaScripts kompromittiert worden sind. Wenn eine beliebige Domain Sie ermutigt, ein Update zu installieren, dann lehnen Sie dieses Angebot bitte ab, da Sie ansonsten ein Opfer eines furchtbaren Schädlings wie Bad-Rabbit werden könnten. Außerdem ist es denkbar, dass der Virus beginnt, von einem Rechner zum nächsten zu springen.

Ist es möglich, die Dateien wiederherzustellen, die die Krypto-Malware Bad-Rabbit beschädigt hat?

Es ist noch zu früh, um über mögliche Entschlüsselungs-Tools für die ruinierten Dateien zu sprechen. Erst einmal müssen die Forscher tiefer gehende Analysen durchführen und herausfinden, ob es eine Möglichkeit gibt oder nicht. Befolgen Sie unseren Ratschlag und sichern alle Ihre Dateien, die Sie nicht verlieren möchten. Wenn Sie Ihre Dateien an mehren Orten haben, sollte eine Ransomware kein Problem darstellen.

Was das Entfernen angeht, müssen die Leute vorsichtig sein. Auch wenn der Server der Angreifer nicht länger aktiv ist, könnte die Infektion für die Verbreitung zum nächsten Schlag ausholen. Denken Sie daran, dass Sie, um sicher zu sein, eine zuverlässige Anti-Malware auf Ihrem System installiert haben müssen. Dazu gehören solche Anwendungen wie Reimage.

Gegenmittel gefunden!

Amit Serper hat ein Gegenmittel für diesen schrecklichen Cyber-Virus angekündigt. Befolgen Sie diese Schritte, um vor dem Ransomware-Virus Bad-Rabbit sicher zu sein:

  1. Erzeugen Sie die Dateien infpub.dat und cscc.dat in C:Windows.
  2. Dann entfernen Sie alle (vererbten) Rechte.
  3. Sie sollten vor dieser Infektion sicher sein.

Programme zur automatischen Entfernung von Malware

 
Andere Werkzeuge
 
  Spyhunter
0     0
 
Hinweis: Reimage findet Parasiten wie Bad-Rabbit-Virus und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.
Wenn Reimage einen Schädling nicht erkennt, dann stellen Sie bitte Ihre Frage mit möglichst vielen Details in den Kommentaren oder versuchen einen Scan mit anderen Tools.

Terms of Service, Privacy Policy, Refund Policy, Uninstall Instructions
  Wir sind Partner dieses Programms. Lesen Sie unsere Offenlegung.

Wie entferne ich Bad-Rabbit-Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Bad-Rabbit-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Bad-Rabbit-Virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Bad-Rabbit-Virus in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Bad-Rabbit-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Bad-Rabbit-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

Bad-Rabbit-Virus manuell entfernen

 
     
 

 |       

Oktober 28, 2017 21:27, Oktober 28, 2017 21:27

Quelle: https://www.2-viruses.com/remove-bad-rabbit-virus

 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bad-Rabbit-Virus Fakten
Typ: Erpressersoftware(Ransomware)
Extensions: [none]