CryptXXX Ransomware Entfernen

Von         August 29, 2017 13:57          0
 

Die CryptXXX Ransomware gehört zur Ransomware-Familie der Reveton-Bildschirmsperren. Der Dateiverschlüssler agiert neben der bekannten Verschlüsselungstätigkeit einer typischen Ransomware auch als Spyware. Der Parasit versucht auch, Ihre Bitcoin-Wallet zu stehlen, während Sie versuchen, eine Zahlung zu tätigen. Die Ransomware sammelt Informationen über FTP-Clients, Instant Messenger, E-Mails und Browser. Bisher wurden drei Versionen der CryptXXX Ransomware veröffentlicht: Version 1.0 Mitte April 2016, Version 2.0 am 6. Mai 2016 und Version 3.0 am 23. Mai 2016.

Über die CryptXXX Ransomware

Diese Malware im Ransomware-Stil verwendet den asymmetrischen Verschlüsselungsalgorithmus RSA-4096.Während der Verschlüsselung werden zwei Schlüssel generiert: der öffentliche Verschüsselungscode und der private Entschlüsselungscode. Der private Entschlüsselungscode wird auf Command-and-Control (C&C) Servern gespeichert, auf die Hacker Zugriff haben. Die CryptXXX Ransomware versieht jede verschlüsselte Datei mit der Erweiterung .crypt. Neue Versionen dieses Parasiten verwenden auch die Dateierweiterungen .crypz oder .cryp1. Es werden drei Dateien erstellt: die Datei de_crypt_readme.txt wird in jedem Ordner der verschlüsselten Dateien abgelegt, die Datei de_crypt_readme.bmp ersetzt den Desktop-Hintergrund und die Datei de_crypt_readme.html wird geladen, wann immer ein Browser gestartet wird. Diese Dateien enthalten die Lösegeldforderung, in der ein Lösegeld in Höhe von 1,2 BTC gefordert wird, was derzeit 641,92 USD entspricht. Die Gebühr für die Wiederherstellung der Daten wird auf 2,4 BTC (derzeit 1.283,81 USD) erhöht, falls die Anweisungen nicht befolgt werden und die Überweisung nicht innerhalb des angegebenen Zeitraums getätigt wird. Falls weiterhin gegen die Anweisungen verstoßen wird, wird gedroht, dass der Entschlüsselungscode permanent zerstört wird. Die Cyberkriminellen bieten die kostenlose Entschlüsselung einer verschlüsselten Datei an, um zu beweisen, dass sie über einen funktionierenden Entschlüsselungscode verfügen. Das ist über den folgenden Link auf der .onion Webseite im TOR-Netzwerk möglich. Die Lösegeldforderung lautet wie folgt:

NOT YOUR LANGUAGE? USE //translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal ID: xxxxxxxxxxxxxxxx
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 – http://2zqnpdpslpnsqzbw.onion.to
2 – http://2zqnpdpslpnsqzbw.onion.cab
3 – http://2zqnpdpslpnsqzbw.onion.city
If for some reasons the addresses are not available, follow these steps:
1 – Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 – After a successful installation, run the browser
3 – Type in the address bar – http://2zqnpdpslpnsqzbw.onion
4 – Follow the instructions on the site
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Wie wird die CryptXXX Ransomware verbreitet?

Spam E-Mails und ihre betrügerischen Anhänge sind der Hauptgrund für die Verbreitung der CryptXXX Ransomware. Der Ransomware-Trojaner wird aber auch über das Angler Exploit Kit verbreitet. Daher wird dringend empfohlen, keine Nachrichten zu öffnen, die im Spam-Ordner landen (egal, wie seriös sie aussehen) und eine seriöse Sicherheitssoftware auf Ihrem Computer zu installieren, die regelmäßig aktualisiert wird.

Wie entschlüsselt man Dateien, die von der CryptXXX Ransomware verschlüsselt wurden?

Das Kaspersky RannohDecryptor Programm steht kostenlos auf support.kaspersky.com (unter Antivirenprogramme) zur Verfügung. Zuerst müssen Sie das größte Dateipaar finden: eine verschlüsselte Datei und eine entschlüsselte Datei. Das Paar ermöglicht es dem Entschlüssler, den Entschüsselungscode für alle korrupten Dateien zu ermitteln. Mit dem Schlüssel können nur kleinere Dateien entschlüsselt werden, weshalb unbedingt zuerst das größte Paar ausgeführt werden muss. Wenden Sie einen Trick des Sicherheitsexperten Gabber  an: nutzen Sie die kostenlose Entschlüsselung, die von den Entwicklern der CryptXXX Ransomware angeboten wird, um die größte Datei zu entschlüsseln. Auf diese Weise erhalten Sie die größte verschlüsselte Datei und die größte entschlüsselte Datei. Falls das aus irgendeinem Grund nicht funktioniert (Sie wissen sicher, dass Sie Hackern nicht trauen können), verwenden Sie die Beispielbilder aus dem Beispielbilder-Ordner des C-Laufwerks. Deren nicht verschlüsselte Versionen können von einem anderen Computer heruntergeladen werden. Um die eigentliche Entschlüsselung zu starten, laden Sie RannohDecryptor.exe von Kaspersky herunter. Klicken Sie danach auf Start. Fügen Sie die verschlüsselte Datei und die entschlüsselte Datei hinzu. Jetzt ermittelt das Programm einen Entschlüsselungscode. Nachdem dieser gefunden wurde, werden Ihre Dateien entschlüsselt.

Außerdem steht der Kaspersky Entschlüssler für die CryptXXX 2.0 Version zur Verfügung. Allerdings funktioniert der Kaspersky RannohDecryptor derzeit nicht für die aktuellste (3.0) Version (die die .cryp1 Erweiterung verwendet). Verwenden Sie in diesem Fall Backups. Falls Sie über keine Backps verfügen, stellen Sie Ihre Dateien über Schattenkopien wieder her. Falls das nicht funktioniert, verwenden Sie Dateiwiederherstellungssoftware, wie PhotoRec oder R-Studio. Bedenken Sie aber dass eine Datenwiederherstellung erst durchgeführt werden kann, nachdem der Virus gelöscht wurde. Verwenden Sie professionelle Malware-Entfernungsprogramme, wie Reimage oder SpyHunter, um diesen Parasit und alle zugehörigen Bedrohungen zu entfernen. Wenn Sie den Entschlüssler verwenden, erstellen Sie eine Kopie Ihrer Festplatte, bevor Sie die Ransomware löschen. Auch die manuelle Entfernung ist möglich – eine Anleitung dafür finden Sie unter diesem Artikel.


Programme zur automatischen Entfernung von Malware

 
Andere Werkzeuge
 
  Spyhunter
0     0
 
Hinweis: Reimage findet Parasiten wie CryptXXX Ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.
Wenn Reimage einen Schädling nicht erkennt, dann stellen Sie bitte Ihre Frage mit möglichst vielen Details in den Kommentaren oder versuchen einen Scan mit anderen Tools.

Terms of Service, Privacy Policy, Refund Policy
  Wir sind Partner dieses Programms. Lesen Sie unsere Offenlegung.

Wie entferne ich CryptXXX Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem CryptXXX ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von CryptXXX virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit CryptXXX Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von CryptXXX ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht CryptXXX virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

       
 

 |       

Juli 4, 2016 08:33, August 29, 2017 13:57

Quelle: https://www.2-viruses.com/remove-cryptxxx-ransomware

 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CryptXXX Ransomware Fakten
Typ: Erpressersoftware(Ransomware)
Andere Namen: CryptXXX virus