Phobos Ransomware ist eine tödliche Trojaner-Infektion, die darauf abzielt, die meisten Dateitypen zu blockieren und zum Entsperren ein Lösegeld von den Benutzern zu verlangen. Laut Definition von TrendMicro ist Ransomware „eine Art von Malware, die den Zugriff von Benutzern auf Ihr System verhindert oder einschränkt, entweder durch Sperren des Systembildschirms oder durch Sperren der Benutzerdateien, sofern kein Lösegeld gezahlt wird. Modernere Ransomware-Familien, die als Crypto-Ransomware zusammengefasst werden, verschlüsseln bestimmte Dateitypen auf infizierten Systemen und zwingen Benutzer, das Lösegeld mit bestimmten Online-Zahlungsmethoden zu zahlen, um einen Dechiffrierschlüssel zu erhalten.“
In diesem speziellen Fall handelt es sich bei der Phobos-Ransomware um Krypto-Ransomware, die eine spezielle AES-Verschlüsselung verwendet, um Ihre Dateien unbrauchbar zu machen. Leider ist diese Verschlüsselungsmethode wirklich schwer zu entschlüsseln, was viele Problemen nach sich ziehen kann.
Verteilungsmethoden der Phobos-Ransomware
Fast schon eine Standardfunktion für Ransomware: Sie wird über Spam-E-Mail-Kampagnen verbreitet. Die gleiche Technik wird zum Verteilen berüchtigter Ransomware-Infektionen wie ViiperWare oder Locker verwendet. Es ist dringend davon abzuraten, Spam-Mails zu öffnen, geschweige denn deren Anhänge. Wir haben hier den exakten Wortlaut einer Spam-Mail, die von den Entwicklern des Phobos-Virus verschickt wurde.
Neuigkeiten zu Ihrer Bestellung Hallo Kunde,
Ihre am xx-xx-xxxx getätigte Bestellung xxxxxxxxxxx wurde gerade versendet.
Die für diesen Kauf verwendete Kreditkarte wurde heute mit einem Gesamtbetrag von USD 415,70. belastet.
Ihre Bestellung wurde mit UPS verschickt und erhielt die folgende Tracking-Nummer: xxxxxxx.
Bitte gedulden Sie sich einige Stunden, bis die Tracking-Informationen auf der Website aktualisiert werden. Weitere Informationen finden Sie in der angehängten Datei.
Die Lieferung Ihrer Bestellung kann sich aufgrund der Zollabwicklung verzögern.
Sie können den Lieferstatus direkt im Abschnitt Ihre Bestellung im Bereich Customer Care überprüfen.
Diese E-Mail wurde von ‚Ozean, [email protected]‘ versendet. Wie Sie sehen, versuchen sie, die Leute zu täuschen, indem sie behaupten, dass über 400 Dollar von ihrer Kreditkarte abgebucht wurden. Weitere Informationen finden Sie im Anhang. Wenn Sie diese E-Mail erhalten haben, löschen Sie sie sofort, ohne sie zu öffnen. Abgesehen davon gibt es wahrscheinlich andere Möglichkeiten, mit denen Cyberkriminelle die Phobos-Ransomware verteilen, also seien Sie sich dessen bewusst.
Spezifikationen des Phobos-Virus
Wenn sich die Phobos-Payload erst einmal auf Ihrem Computers befindet, werden schädliche Dateien in verschiedene Ordner abgelegt. Normalerweise handelt es sich um %AppData%, %Temp%, %Roaming%, %Common%, %User Profile%, %System32/64%. Die Namen der schädlichen Dateien können variieren. Mit diesen Dateien kann der Erpressungstrojaner Administratorberechtigungen für Ihr System erlangen und bestimmte Änderungen an der Registry vornehmen. Hier sind einige der Einträge, die wahrscheinlich vom Phobos-Virus bearbeitet werden:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Außerdem werden Schattenkopien gelöscht und so die Möglichkeit zur Wiederherstellung von Dateien aus einem Backup unmöglich gemacht. Danach werden die meisten Ihrer Dateien verschlüsselt. Vollständige Liste der Dateitypen, die gesperrt werden können:
PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PLL .XLS .XLS .XLSX .ACLB.DB.DBF.MDB .SDB.SQL .APK. APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD-Dateien .DWG .DXF GIS-Dateien .GPX .KML .ASPX .CP.CFM. CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPTX ..INI .PRF Kodierte Dateien .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR.RPM.SITX.TAR.GZ .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TA2014 .TAX2015 .VCF .XML Audio Dateien .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA-Videodateien .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .SRT .SWF .WMV 3D .3DM .3DS .MAX .OBJRBMP.DDS.GIF.JPG.CRX.PLUGIN.FON .OTF .TTF.TTF.TAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICV.ICN.LNK. SYS .CFG
Jeder dieser Dateien wird eine Endung ‚.PHOBOS‘ hinzugefügt. Wenn Sie beispielsweise eine Datei mit dem Namen ‚photo.jpg‘ hatten, sieht sie nach der Verschlüsselung wie ‚photo.jpg.PHOBOS‘ aus. Nun ist es nicht mehr möglich, die Datei zu öffnen oder zu verwenden. In einigen Fällen kann der Virus der Endung eine eindeutige ID und die Krypto-E-Mail-Adresse hinzufügen. In diesem Fall würde er wie „photo.jpg.*uniqueID*[email protected]“ aussehen.
Das Hintergrundbild Ihres Desktops wird ebenfalls automatisch geändert. Es wird durch eine Lösegeldforderung ersetzt: Anweisungen, wie Sie das Lösegeld bezahlen und Ihre Dateien entsperren können. Ins Deutsche übersetzte Text der Nachricht:
Alle Ihre Dateien sind verschlüsselt
Hallo Welt
Die Daten auf diesem PC haben sich in einen unbrauchbaren Binärcode verwandelt
Um zur Normalität zurückzukehren, kontaktieren Sie uns bitte per E-Mail: [email protected]
Verwenden Sie „Verschlüsselungs-ID: {CUSTOM ID}“ als Betreff Ihrer Nachricht.
Wissenswertes:
- Im Laufe der Zeit steigen die Kosten, verschwenden Sie keine Zeit
- Nur wir können Ihnen sicher helfen, sonst niemand.
- VORSICHT !!! Wenn Sie immer noch versuchen, andere Lösungen für das Problem zu finden, erstellen Sie eine Sicherungskopie der Dateien, mit denen Sie experimentieren möchten, und spielen damit.
Andernfalls können sie dauerhaft beschädigt werden
- Alle Dienste, die Ihnen Hilfe anbieten oder Ihnen einfach Geld abnehmen und verschwinden oder als Vermittler auftreten, verlangen ein überhöhtes Entgelt. Das Gegenmittel gibt es nur den Schöpfern dieses Virus
Wir empfehlen, keine Cyber-Kriminellen zu kontaktieren oder das Lösegeld zu zahlen, unabhängig von dem Betrag, den Sie zu zahlen haben. Geld für Cyber-Kriminelle auszugeben und zu hoffen, dass Sie Ihre Dateien zurückerhalten, ist keine gute Idee. Stellen Sie stattdessen sicher, dass schädliche Dateien des Virus von Ihrem System gelöscht werden, und verhindern Sie eine erneute Infektion. Am besten laden Sie sich dazu eine zuverlässigen Anti-Malware-Anwendung wie Spyhunter herunter. Scannen Sie einfach Ihren Computer mit einem dieser Programme und es sollte die Phobos-Ransomware automatisch erkennen und beseitigen.
Phobos Ransomware Virus Schnelle Links
- Verteilungsmethoden der Phobos-Ransomware
- Spezifikationen des Phobos-Virus
- Programme zur automatischen Entfernung von Malware
- Wie entferne ich Phobos Ransomware-Virus mit einer Systemwiederherstellung?
- Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
- Shritt 2. Schließen Sie die Entfernung von Phobos Ransomware-Virus ab.
- Shritt 3. Stellen Sie die von Phobos Ransomware-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Phobos Ransomware Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Phobos Ransomware Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,
Wie entferne ich Phobos Ransomware-Virus mit einer Systemwiederherstellung?
Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
für Windows 7 / Vista/ XP
- Start → Herunterfahren → Neu starten → OK.
- Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
- Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
für Windows 8 / 10
- Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
- Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
- Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.
Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
- Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
- Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
- Klicken Sie im nächsten Fenster auf „Weiter“.
- Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Phobos Ransomware-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
- Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.
Shritt 2. Schließen Sie die Entfernung von Phobos Ransomware-Virus ab.
Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Phobos Ransomware-Virus in Verbindung stehen, zu entfernen.
Shritt 3. Stellen Sie die von Phobos Ransomware-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Phobos Ransomware-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.
Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.
a) Windows-VorgängerversionenKlicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.
b) Shadow Explorer
Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.
Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.