Ransomware-Virus OhNo! Entfernen

-
 0
Typ: Erpressersoftware(Ransomware)
 

Der Ransomware-Virus OhNo! wurde gestern entdeckt und Scans verpasstem ihm das Label Trojan.Ransom. Von Anfang an vermuteten Security-Experten, dass sich die neueste Variante immer noch in der Entwicklung befindet, ganz so wie CryForMe. Dieses Statement bedeutet auch, dass die Datei-Verschlüsselung noch nicht vollständig implementiert ist, und Opfer nicht befürchten müssen, dass ihre Dateien unbrauchbar geworden sind. Jedoch hielt die ursprüngliche Vermutung nicht allzu lange. Die Ransomware entpackt PowerShell-Module, einen Exploit für .NET AesManaged darstellen, um Schlüssel zu generieren. Wir haben in einem sehr hilfreichen Artikel über ein sehr ähnliches Thema berichtet: Wie man Nutzern hilft, Infektionen mit Erpressungstrojanern zu vermeiden, und ihre Daten vor der Verschlüsselung zu schützen.

Analyse des Computer-Virus OhNo!

Überraschenderweise wird für das Lösegeld statt Bitcoins die Zahlung in Monero gefordert. Sehr wenige Samples bestehen auf die Krypto-Währung Monero: Kirk und eBayWall. XMR wird als nicht nachverfolgbares digitales Austauschmedium betrachtet, das Bitcoin besiegen und dessen Platz einnehmen könnte (CNBC).


OhNo! ransomware virus

Forscher deckten schließlich auf, dass diese Krypto-Malware tatsächlich Dateien mittels AES-Schlüsseln chiffriert. Dieselbe kryptographische Technik treibt auch die Ransomware-Varianten Balbaz und MMM an. Der Virus OhNo! verschlüsselt nicht alle Dateien auf den Rechnern seiner Opfer, sondern wählt bestimmte Orte aus, um Dateien zu finden, die er beschädigt. Vermutlich werden alle ausführbaren Dokumente verschlüsselt, zusammen mit auf dem Desktop abgelegten Dateien.

Zusätzlich wird der Inhalt des „Downloads“-Ordners vollständig chiffriert. Da Sie sehr leicht alle verlorenen Dateien erneut herunterladen können, wird das nicht als zerstörerisches Feature betrachtet. Jedoch kann es sehr unkomfortabel sein, keinen Zugriff auf Dateien mit der Endung OhNo! zu haben. Selbst wenn Sie diese ausführbaren Dateien unbedingt benötigen, sollten Sie keinesfalls ein Lösegeld bezahlen (ZDNET).

Viele Ransomware-Infektionen verkleiden sich als zufällige Programmdateien, um ihren wahren Zweck zu kaschieren. In diesem Fall haben sich die Schöpfer des Verschlüsslers OhNo! dazu entschieden, ihre Nutzlast als eine Google-Chrome-Anwendung daher kommen zu lassen. Darüber hinaus wird der Krypto-Virus das Hintergrundbild durch eines mit einer Facepalm-Statue austauschen. Es gibt ein paar Empfehlungen, wie man sich verhalten sollte, nachdem man herausgefunden hat, dass ein Erpressungstrojaner das System befallen und alle Dateien verschlüsselt hat.

Beseitigung von Ransomware und Entschlüsselung von Dateien

Derzeit wissen wir von keiner Methode, mit der man Dateien wiederherstellen könnte, die von der Verschlüsselung betroffen sind. Jedoch bieten wir Ihnen mehrere Optionen am Ende dieses Artikels an. Wir beziehen uns dabei auf Möglichkeiten Volumenschattenkopien wiederherzustellen, oder auf die Nutzung universaler Datei-Rettungs-Software, um beschädigte Dateien wiederherzustellen. Es gibt keine Garantie, dass diese Techniken funktionieren, aber wir hoffen, dass Sie diese einen Versuch wert finden.

Die beste Lösung wäre es jedoch, die Dateien von einem Back-up-Speicher oder anderen Orten wieder einzuspielen. Wir erinnern unsere Leser ständig daran, dass sich deren wertvollen Daten an mehr als einem Ort befinden sollten. Sie könnten beispielsweise eine Menge Dateien auf USB-Sticks speichern. Wenn Sie nicht an die Bedrohung durch Ransomware-Viren glauben, dann sollten Sie Back-ups anlegen, falls Ihr Computer abstürzt.

Es ist äußerst entscheidend, sich einen Punkt in Erinnerung zu rufen: Die Opfer müssen die Ransomware und alle dazugehörigen Dateien von ihren Systemen entfernen. Dies muss erfolgen, bevor man versucht, die Dateien wiederherzustellen. Geschieht dies nicht, könnten die geretteten Dateien erneut verschlüsselt werden. Entfernen Sie Ransomware mit Reimage.

Tatsächlich denken einige Opfer daran, das Lösegeld zu bezahlen, um ihre Dateien zurückzubekommen. In diesem Fall verlangt der Virus OhNo! 2 XMR, was ungefähr 268,96 USD entspricht. Obwohl der Betrag nicht sehr hoch ist, bedeutet dessen Bezahlung, dass sie künftige Ransomware-Projekte damit unterstützen. Falls Sie sich entschließen, zu bezahlen, teilen Sie bitte das Entschlüsselungs-Tool mit Security-Forschern. Sie könnten in der Lage sein, damit ein Tool für künftige Opfer zu entwickeln.

Ransomware-Infektionen können auf mehrere Arten verteilt werden. Zuallererst sollten Sie bitte keine E-Mails aus verdächtigen/unbekannten Quellen lesen. Das Herunterladen Anhängen von Mails, die eine Menge Tippfehler, Widersprüche und unlogische Aussagen aufweisen, wird als hochgefährlich betrachtet. Außerdem sollten Sie Ihre Remote-Desktop-Protokolle schützen und Software auf den neuesten Stand aktualisieren.

Wie entferne ich Ransomware-Virus OhNo! mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem OhNo! Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Ransomware-Virus OhNo! ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit OhNo! Virus in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Ransomware-Virus OhNo! betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht OhNo! Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

     
 
 
Oktober 11, 2017 16:13, Oktober 11, 2017 16:13
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.