Erneut haben wir es mit einem Erpressungstrojaner zu tun, der auf dem Hidden-Tear-Projekt basiert. Er handelt sich in dieser Woche bereits um die zweite Ransomware-Infektion, die auf diesem Opensource-Projekt aufbaut, wir anlässlich des jHash-Virus bereits gestern diskutiert haben.
Der hier vorliegende Ransomware-Schädling wendet AES-Verschlüsselung an, die sehr stark ist und äußerst schwer zu entschlüsseln. Wenn sich Ihr Rechner mit der Cyber-Police-Ransomware angesteckt hat, werden Sie vermutlich nicht in der Lage sein, eine Ihrer persönlichen Dateien zu öffnen, obwohl Sie den Computer weiterhin benutzen können. In diesem Artikel versorgen wir Sie mit detaillierten Informationen, wie Sie den Cyber-Police-Erpressungstrojaner beseitigen und Ihre persönlichen Dateien wiederherstellen können. Es lohnt sich also, diesen Artikel ganz durchzulesen.
Die Sperreigenschaften von Cyber-Police
Der Cyber-Police-Virus wurde als Erstes vom Sicherheitsforscher Lawrence Abrams entdeckt. Er berichtete in einem Twitter-Posting über „eine weitere Hidden-Tear-Ransomware“. Tatsächlich wurde er auf den Namen Police-Locker getauft, weil er einen Sperrbildschirm von Cyber-Police verwendet. Jedoch hat die Dateisperre nichts mit einer Cyber-Polizei zu tun, weil sie die Endung .locked anfügt, ganz so wie der jCandy-Virus.
Falls Sie sich fragen, wie dieser Schädling es geschafft hat, in Ihr System einzudringen, gibt es zwei mögliche Szenarien – er kam im Bündel mit irgendeiner Art von kostenloser Software oder er wurde Ihnen als Anhang einer Spam-Mail geschickt. Wie dem auch so, sobald er auf Ihrem Computer ist, wird Cyber-Police automatisch damit beginnen, Ihren Computer nach Dateien zu scannen und diese schließlich verschlüsseln.
Im Lauf dieser Prozedur wird die Endung ‘.locked’ an Ihre Dateien angehängt und von diesem Moment an können Sie diese nicht mehr öffnen, weil sie verschlüsselt sind. Nach dieser Prozedur wird Ihr Bildschirmschoner automatisch auf das Bild von Cyber-Police geändert und eine neue Datei namens ‘READ_IT.txt’ wird auf Ihrem Desktop abgelegt.
Originaltext der Datei ‘READ_IT.txt’:
IHR COMPUTER WIRD VON DER CYBER-POLICE WEGEN DES EINSATZES UNLIZENZIERTER SOFTWARE GESPERRT.
Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt mit starker Verschlüsselung und einem eindeutigen Schlüssel, der für diesen Computer erzeugt wurde. Der private Dechiffrierschlüssel ist auf einem geheimen Internet-Server abgespeichert und niemand kann Ihre Dateien entschlüsseln, bis Sie schön bezahlt haben und dann den privaten Schlüssel erhalten. WIE MAN BEZAHLT: Gehen Sie auf http://www.localbitcoins.com und
kaufen Bitcoins im Wert von 100$ mit Ihrer bevorzugten Zahlmethode. Dann senden Sie mit Ihrem Account Bitcoins im Wert von 100$ an unsere Bitcoin-Adresse: 1NiGZiFPRqGdxB7ZpbcVsRUVqLJ2SjLsuM und geben Ihre
E-Mail an, um den Dekryptor-Schlüssel an Ihre E-Mail-Adresse geschickt zu bekommen
Wie Sie sehen können, fordert man von Ihnen die Bezahlung von $100 in Bitcoins. Obwohl $100 nicht nach viel aussehen, raten wir immer noch dringend davon ab, das Lösegeld zu bezahlen. Cyber-Kriminelle, die Malware verbreiten, tendieren oft dazu, die Nutzer nach der Lösegeldzahlung zu ignorieren, deshalb ist die Zahlung keine Garantie dafür, dass Sie den Dekryptor erhalten.
Abgesehen davon gibt es Anhaltspunkte, das dieser Erpressungstrojaner außerdem seine Opfer übers Ohr haut. Zunächst einmal wissen wir nicht, ob der Cyber-Police-Virus eindeutige IDs generiert, um Computer zu identifizieren oder nicht. Außerdem gibt es keinen Button oder eine E-Mail-Adresse, um die Cyber-Kriminellen zu kontaktieren. Sie versuchen zudem den Nutzern Angst einzujagen, indem sie behaupten, dass sie von der Cyber-Police bestraft wegen unlizenzierter Software worden sind, statt zuzugeben, dass der Rechner infiziert und verschlüsselt worden ist, um Geld zu erpressen.
Entfernen des Cyber-Police-Virus
Wir haben den Cyber-Police-Virus mit der VirusTotal-Engine geprüft und 43 von 68 Anti-Malware-Tools haben ihn als ransomware oder Trojaner identifiziert. Das bedeutet, dass Sie jede der gebräuchlichen Anti-Malware-Programme verwenden können, um den Cyber-Police-Virus von Ihrem Computer zu entfernen. Wir empfehlen Ihnen dazu Spyhunter – beide Anwendungen haben sich als äußerst effizient bewährt, wenn es darum geht, mit Malware wie dieser hier fertig zu werden.
Was Ihre gesperrten Dateien anbelangt – ein kostenloser Dekryptor für Cyber-Police ist im Moment nicht verfügbar, aber wir werden diesen Artikel aktualisieren, sobald einer erscheint. Zum jetzigen Zeitpunkt können Sie nur Ihre Dateien aus einem Back-up wiederherstellen, wenn Sie eines haben. Bitte folgen Sie diesem Tutorial zu Systemwiederherstellung, um das zu tun.
Cyber Police Virus Schnelle Links
- Die Sperreigenschaften von Cyber-Police
- Entfernen des Cyber-Police-Virus
- Programme zur automatischen Entfernung von Malware
- Wie entferne ich Cyber-Police-Virus mit einer Systemwiederherstellung?
- Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
- Shritt 2. Schließen Sie die Entfernung von Cyber-Police-Virus ab.
- Shritt 3. Stellen Sie die von Cyber-Police-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Cyber Police Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Cyber Police Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,
Wie entferne ich Cyber-Police-Virus mit einer Systemwiederherstellung?
Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
für Windows 7 / Vista/ XP
- Start → Herunterfahren → Neu starten → OK.
- Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
- Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
für Windows 8 / 10
- Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
- Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
- Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.
Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
- Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
- Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
- Klicken Sie im nächsten Fenster auf „Weiter“.
- Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Cyber-Police-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
- Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.
Shritt 2. Schließen Sie die Entfernung von Cyber-Police-Virus ab.
Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Cyber-Police-Virus in Verbindung stehen, zu entfernen.
Shritt 3. Stellen Sie die von Cyber-Police-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Cyber-Police-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.
Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.
a) Windows-VorgängerversionenKlicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.
b) Shadow Explorer
Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.
Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.