Efji File-Locking Malware entfernen

Die Malware Efji macht Dateien mittels Verschlüsselung unbrauchbar, versieht sie mit der Dateiendung „efji“ und verlangt dann Geld für die Entschlüsselung. Der Schädling lässt sich ebenso wie die restliche Malware entfernen, die er im Schlepptau hat. Leider kann es etwas kompliziert werden, sich private Dateien zurückzuholen, die in die Hände von Cyberkriminellen gelangt sind. Mit Ihrem Schadprogramm fordern diese Verbrecher hunderte von Dollars als Lösegeld – eine Summe, die man natürlich nicht gerne bezahlt.

Efji im Überblick:

Schädlingsart	Ransomware Trojaner
So verbreitet sich Efji	Aus dem Internet heruntergeladen, typischerweise von Warez-Portalen.
Wie kann man die Dateien wiederherstellen?	Aus einem Backup. Mit Tools zur Datenrettung. Durch Reparatur von Hand. Mit dem kostenlosen Dekryptor.
So entfernen Sie Efji	Vorgenommene Änderungen rückgängig machen. löschen Sie Efji und andere Malware mit Spyhunter oder anderen Antiviren-Tools. Setzen Sie Passwörter zurück und schützen Sie andere Daten, die möglicherweise von der Spyware gestohlen wurden.

So infiziert Efji Computer

Aus dem Internet heruntergeladen

Der Efji-Erpressungstrojaner verbreitet sich hauptsächlich über Warez-Portale. Meistens fangen sich Nutzer den Schädling ein, wenn sie sich eine Raubkopie herunterladen wollen.

Einige Raubkopier-Websites sind schlecht moderiert und überprüfen nicht jede hochgeladene Datei. Auf diese Weise können Cyberkriminelle Malware unter die Downloads mischen, die dann stunden- oder sogar tagelang aktiv bleiben.

Wenn die infizierte Datei ausgeführt wird, werden Efji und andere Schadprogramme heruntergeladen.

Gebündelt mit anderer Malware.

Efji wird wahrscheinlich mit anderer Malware gebündelt – einem Trojaner namens Azorult. Azorult protokolliert in Webbrowsern gespeicherte Anmeldedaten und späht andere Online-Anwendungen aus. Der Schädling stiehlt seinen Opfern die Passwörter, wodurch ihre Konten gehackt werden können. Möglicherweise wird auch ein Adware-Virus installiert, was zu übermäßigen Pop-ups im Browser führt.

Efji verändert einiges:

• Der Schädling blockiert viele Websites, die über Lösungen für Malware berichten (er blockiert auch unsere Website).
• Er deaktiviert den Task-Manager.
• Er löscht Wiederherstellungspunkte und Schattenkopien.
• Er löscht Antiviren-Updates.

Efji macht das alles, um den Opfern die Wiederherstellung zu erschweren oder unmöglich zu machen.

Verschlüsselt Dateien

Anschließend durchsucht Efji den infizierten Computer und verschlüsselt viele Benutzerdateien. Verschlüsselung bedeutet hier, dass die Daten so durcheinander gewürfelt werden, dass sie nicht mehr zu erkennen sind. Öffnen Sie eine von Efji verschlüsselte Textdatei – sie sollte voller beliebiger Symbole sein.

Verschlüsselung heißt nichts anderes, als Informationen zu verbergen, indem der Text nach willkürlichen Regeln verändert wird. Die einzige Möglichkeit, diese Informationen wiederherzustellen, besteht darin, die Regeln zu kennen und über den eindeutigen Dechiffrierschlüssel zu verfügen.

Leider teilt Efji jedem Opfer eindeutige Schlüssel zum Ver- und Entschlüsseln zu. Diese Schlüssel kann man nicht erraten.

Um die verschlüsselten Dateien zu kennzeichnen, vergibt Efji eine zusätzliche Dateiendung: „efji“.

Die Kriminellen hinter Efji wollen Geld: Sie verlangen bis zu 980 Dollar als Lösegeld dafür, dass sie einem Opfer den Schlüssel aushändigen. Natürlich stehen die Kriminellen nicht immer zu ihrem Wort: Manchmal verlangen sie einfach mehr Geld oder ignorieren das Opfer. Es muss für sie lukrativ sein, da Efji eine von vielen, vielen Varianten der Djvu-Ransomware ist, die es seit Jahren gibt. Foqe ist ein neuerer Vertreter.

So bekommen Sie Ihre Dateien zurück

Angenommen, Sie verfügen über kein Backup (Backups sind wichtig Und sehr einfach anzulegenp) und möchten Ihr Geld nicht Kriminellen geben, dann gibt es mehrere Möglichkeiten, wie Sie wieder an Ihre Daten kommen können.

Überprüfen Sie Ihre Dateien. Vileicht hat Efji einige übersehen und nicht verschlüsselt.

Verwenden Datenrettungs-Tools. Falls Sie den Computer seit dem Angriff noch nicht intensiv benutzt haben, besteht die Hoffnung, einige Ihrer Dateien zurückzubekommen.

Reparieren Sie die Dateien. Interessanterweise verschlüsselt Efji pro Datei nur eine bestimmte Datenmenge. Die kleineren Dateien sind vollständig verschlüsselt, wohingegen die größeren viele unverschlüsselte Teile enthalten. Diese Daten können möglicherweise noch wiederhergestellt werden. Zwar könnten diese Dateien lückenhaft sein, aber das ist immerhin besser als nichts. Einige Personen haben Reparaturprogramme speziell für Djvu-Attacken entwickelt.

Entschlüsseln Sie die Dateien. Ich habe gelogen, als ich sagte, dass jeder von Efji verwendete Verschlüsselungsschlüssel einzigartig ist. Unter ganz besonderen Umständen (kein Internet, keine Verbindung zum Server) verwendet Efji möglicherweise einen nicht eindeutigen Verschlüsselungsschlüssel. Mehr auf der Website von Emsisoft Emsisoft.com.

So entfernen Sie Efji

Wenn Sie die von Efji verschlüsselten Dateien wiederherstellen möchten, sollten Sie Backups machen. Legen Sie immer Backups an, bevor Sie Änderungen an diesen Dateien vornehmen.

Korrigieren Sie die Hosts-Datei (Anweisungen unten) und den Task-Manager und aktualisieren Sie Ihr Antivirenprogramm. Scannen Sie Ihren Computer damit oder mit einem anderen zuverlässigen Tool wie Spyhunter. Efji, der Spyware-Trojaner und die heruntergeladene Malware sowie die Datei, die ursprünglich Ihren PC infiziert hat, müssen gelöscht werden.

Setzen Sie Ihre Passwörter zurück, falls die Spyware sie gestohlen hat. Verwenden Sie 2-Faktor-Authentifizierung.

Wie entferne ich Efji File-Locking Malware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.

für Windows 7 / Vista/ XP

• Start → Herunterfahren → Neu starten → OK.
• Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
• Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.

für Windows 8 / 10

• Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
• Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
• Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.

• Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
• Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
• Klicken Sie im nächsten Fenster auf „Weiter“.
• Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Efji File-Locking Malware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
• Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.

Shritt 2. Schließen Sie die Entfernung von Efji File-Locking Malware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Efji File-Locking Malware in Verbindung stehen, zu entfernen.

Shritt 3. Stellen Sie die von Efji File-Locking Malware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Efji File-Locking Malware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.

b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.