Scarab-Ransomware Entfernen

Von         Juli 17, 2018 13:56          0
 

Man hat festgestellt, dass derzeit eine neue Art von Ransomware namens „Scarab Ransomware“ in großer Zahl verteilt wird. Diese Ransomware wird durch eine Malspam-Kampagne verteilt, die das Necurs-Botnet dafür eingesetzt, um das durchzuziehen. Obwohl keine genauen Zahl vorliegen, weiß man, dass bislang auf diese Weise mehr als 10 Millionen bösartige verschickt wurden, und diese Zahl weiter ansteigt. Die Cyber-Kriminellen, die hinter diesem Virus stecken, verschickten innerhalb von nur vier Stunden mehr als 3 Millionen E-Mails. Das ist wirklich beeindruckend. Basierend auf der Art, wie er verteilt wird, erinnert dieser Virus irgendwie an den Jaff-Erpressungstrojaner.

Das macht die Scarab Ransomware so besonders

Wenn Sie jetzt denken, Scarab Ransomware wäre etwas Neues, dann liegen Sie daneben: Der Cybersecurity-Forscher Michael Gillespie hat sie bereits im Juni entdeckt. Warum also berichten wir erst jetzt – Monate nach der Entdeckung – darüber? Vor allem wegen der Tatsache, dass der Schädling bis dato nicht sonderlich aktiv war. Jetzt wurde er ein wenig modifiziert und die endgültige Version ist noch gefährlicher.


Scarab Ransomware remove

Was die Verteilung anbelangt: Die Nutzlast dieses Virus kommt als E-Mail-Anhang mit dem Betreff „Gescannt durch * zufälliger Firmenname *“. Mit hoher Wahrscheinlichkeit sind mehrere Bilder und eine ZIP-Datei an die Mail angehängt. Benutzer müssen nur die angehängte ZIP-Datei öffnen, um sich zu infizieren. Anschließend wird automatisch die Payload auf dem Computer abgelegt und schädliche Dateien werden heruntergeladen.

Sobald der Scarab-Virus drin ist, startet automatisch die Verschlüsselung. Die eindeutige Dateiendung [suupport@protonmail.com] .scarab wird ans Ende aller persönlichen Dateien hinzugefügt und macht sie somit wertlos. Man weiß nicht, welche Verschlüsselung Scarab einsetzt, aber so oder so, es gibt im Moment kein Werkzeug, um diese Dateien zu entschlüsseln.

Wie üblich, erstellt die Scarab-Ransomware nach der Verschlüsselung eine Lösegeldforderung namens „WENN SIE ALLE IHRE DATEIEN ZURÜCK BEKOMMEN MÖCHTEN WOLLEN, LESEN SIE BITTE DIESEN.TXT“ und legt sie in jedem Ordner mit verschlüsselten Dateien ab sowie auf dem Desktop. Originaltext der Lösegeldforderung:

*** WENN SIE ALLE IHRE DATEIEN ZURÜCK BEKOMMEN MÖCHTEN, LESEN SIE BITTE DIES ***

Ihre Dateien sind nun verschlüsselt!

Alle Dateien wurden durch ein Sicherheitsproblem auf Ihrem PC verschlüsselt.

Jetzt sollten Sie uns eine E-Mail mit Ihrer persönlichen Kennung schicken.

Diese E-Mail dient als Bestätigung, dass Sie bereit sind, für den Dechiffrierschlüssel zu bezahlen.

Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben.

Nach Zahlungseingang senden wir Ihnen das Entschlüsselung-Tool zu, das alle Ihre Dateien entschlüsseln wird.

Kontaktieren Sie uns über diese E-Mail-Adresse: resque@plague.desi

Kostenlose Entschlüsselung als Garantie!

Bevor Sie bezahlen, können Sie uns für eine kostenlose Entschlüsselung bis zu 3 Dateien senden.

Die Gesamtgröße der Dateien muss kleiner als 10 Mb sein (unkomprimiert) und die Dateien sollten keine

wertvollen Informationen (Datenbanken, Backups, große Excel-Sheets, etc.) enthalten.

| Wie erhält man Bitcoins?

| * Der einfachste Weg, um Bitcoins kaufen, ist die Webseite LocalBitcoins. Sie müssen sich registrieren, dann klicken Sie auf

| ‘Bitcoins kaufen‘ und wählen den Verkäufer nach Zahlungsmethode und Preis:

| hxxps://localbitcoins.com/buy_bitcoins

| * Sie können auch an anderen Orten Bitcoins kaufen. Eine Anleitung für Anfänger gibt es hier:

| hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins

| Achtung!

| * Benennen Sie verschlüsselte Dateien nicht um.

| * Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, dies kann zu dauerhaften Datenverlust führen.

| * Die Entschlüsselung der Dateien mithilfe Dritter verursacht einen erhöhten Preis

| (Sie fügen deren Gebühr unserer hinzu) oder Sie können ein Opfer eines Betrugs werden.

Die noch nicht bekannte Methode dieses Erpressungstrojaners: Die Höhe des Lösegelds wird nicht genannt. Stattdessen werden die Opfer darüber aufgeklärt, dass die Höhe des Lösegelds direkt davon abhänge, wie schnell sie sich per E-Mail an resque@plague.desi wenden.

Wir empfehlen nicht, um das zu tun, weil Sie schlichtweg übers Ohr gehauen werden könnten. Uns sind mehrere Fälle bekannt, in denen die Nutzer nach Zahlung des Lösegeldes nichts mehr von den Erpressern gehört haben.

Dieser Virus wurde zuerst im Juni 2017 entdeckt. Seitdem war er aktiv. Die meisten Infektionen gab es im November. Anscheinend haben die Cyberkriminellen jedoch im Dezember 2017 ihre Taktik geändert und Scarab aktualisiert. Tatsächlich haben sie sogar den Namen ein wenig verändert: Jetzt hört der Virus auf den Namen Scarabey. Anscheinend ist diese neue Version des berühmt-berüchtigten Virus speziell auf ein Russisch sprechendes Publikum ausgerichtet.

Beide Viren sind jedoch fast identisch, außer Name, Dateinamen und Lösegeldforderung, die im Falle von Scarabey in russischer Sprache geschrieben ist. Anscheinend wurde auch der Scarab-Virus auch von jemandem geschrieben, der Russisch als Muttersprache spricht und mit einigen grammatikalischen Fehlern ins Englische übersetzt. Dies ist die russische Version der Lösegeldforderung ins Deutsche übersetzt:

Guten Tag. Ihr Computer wurde mit Scarabey infiziert. Alle Daten wurden mit einem eindeutigen Schlüssel verschlüsselt, der nur uns zur Verfügung steht.

Ohne den eindeutigen Schlüssel können die Dateien nicht wiederhergestellt werden.

Alle 24 Stunden werden 24 Dateien gelöscht. (Wir haben Kopien davon)

Wenn Sie nicht innerhalb von 72 Stunden das Entschlüsselungsprogramm ausführen, werden alle Dateien auf dem Computer vollständig gelöscht, ohne die Möglichkeit der Wiederherstellung.

Lesen Sie sorgfältig weiter, wie Sie alle verschlüsselten Daten wiederherstellen können.

Außerdem wurde die in der Scarabey-Version nach der Verschlüsselung hinzugefügte Dateiendung ein wenig verkürzt: Sie lautet jetzt nur „scarab“ statt „[suupport@protonmail.com] .scarab“.

Versionen des Scarab-Virus

Variantenname

Release-Datum

Dateiendung

E-Mail

Dekryptor

Scarab Locker Original

  1. Juni 2017

.scarab

qa458@yandex.ru

JA

Scorpio

  1. Juli 2017

.[Help-Mails@Ya.Ru].Scorpio

Help-Mails@Ya.Ru,

alexous@bk.ru

 

Jackie

  1. Oktober 2017

. [Jackie7@asia.com]

jackie7@Asia.com, jchan@india.com

 

Russischer (Scarabey) Primärquelle

  1. Dezember 2017

.scarab

support7@cock.li

 

Entschlüsselt

  1. März 2018

.Decrypts@Airmail.CC,. decryptsairmail.cc,.tech@cock.email (April 10),.decrypts@8chan.co (24. April),.supdec@8chan.co (24. April),.777@8chan.co (April 26),.dan@cock.email (27. April),.supports@cock.li (20. Mai),.infovip@airmail.cc (31. Mai). fastrecovery@Airmail.CC (11.), goodsupport@airmail.cc (12 Juni),.xmail@cock.li (13. Juni)

Decrypts@Airmail.CC, tech@cock.email (April 10), decrypts@8chan.co & techn@airmail.cc (24. April), supdec@8chan.co & tech.help@openmail.cc (24. April), 777@8chan.co (26 April), dan@cock.email (27. April), recover@8chan.co (30. April), supports@cock.li () 20. Mai), infovip@airmail.cc (31. Mai), fastrecovery@airmail.cc (11.), goodsupport@airmail.cc (12 Juni), xmail@cock.li (13. Juni)

Ja (wenn bis 18. Juni entschlüsselt)

Crypto

  1. März 2018

.crypto

anticrypto@protonmail.com

 

Amnesia

  1. März 2018

.Amnesia,.ssimpotashka@gmail.com (8. Mai)

WESTLAN@PROTONMAIL. CH, kraskamy@gmail.com (April 10), westportmeed@protonmail.com (18. Mai),

Damasc@protonmail.com (28. Mai), ssimpotashka@gmail.com (8. Mai)

Ja (wenn bis 18. Juni entschlüsselt)

Please

  1. März 2018

.please, .red

decry1@Cock.Li, decry2@cock.li

 

XTBL

  1. April 2018

.xtbl

suupport@protonmail.com, joxe@cock.li

JA

Oblivion

  1. April 2018

.Oblivion

obliviondecrypt@cock.li obliviondecrypt@protonmail.com https://t.me/oblivionhelp

 

Horsia

  1. Mai 2018

.horsia @ airmail.cc

horsia@airmail.cc

JA

Walker

  1. Mai 2018

.JohnnieWalker

JohnnieWalker@firemail.cc

JA

Osk

  1. Mai 2018

.osk

translatos@protonmail.com

 

Rebus

  1. Mai 2018

.REBUS

rebushelp@airmail.cc, rebushelp@protonmail.com, rebushelper@exploit.im

 

DiskDoctor

  1. Juni 2018

.DiskDoctor

DiskDoctor@protonmail.com

JA

Danger (ursprüngliche Quelle)

  1. Juni 2018

.fastsupport @ xmpp.jp .fastrecovery @ xmpp.jp

fastsupport@xmpp.jp, https://www.xmpp.jp

 

Crypt000

  1. Juni 2018

.crypt000

.CRYPT000

24on7@tutamail.com, 24on7online@gmx.us, 24on7online@mail.ee

 

Bitcoin

  1. Juni 2018

.Bitcoin

GarryAxe@protonmail.ch

 

Bomber (ursprüngliche Quelle)

  1. Juni 2018

.bomber,

.bomber_test_build (18. Juni)

soft2018@tutanota.com, soft2018@mail.ee, newsoft2018@yandex.b, http://bitmsg.me, test_bomber_test@test.test (18. Juni)

 

Leen

  1. Juni 2018

.leen

mr.leen@protonmail.com

 

JungleSec

  1. Juni 2018

.Jungle@anonymousspechcom

junglesec@anonymousspeech.com

 

Recme

  1. Juni 2018

.recme

recfiles@protonmail.com

 

So geht man mit Viren wie Scarab/Scarabey um

Der beste Weg, um mit einem Erpressungstrojaner fertig zu werden, ist es normalerweise, Ihren Computer in einen früheren Zustand zu versetzen. Allerdings ist das hier nicht möglich weil Scarab einen Befehl ausführt, der die Recovery-Funktion von Windows deaktiviert. Das bedeutet, dass er nur den Weg gibt, die Dateien aus einem Back-up wiederherzustellen, das auf einer externen Festplatte oder in der Cloud abgespeichert wurde. Befolgen Sie dazu unsere Anleitung zur Systemwiederherstellung. Wenn Sie jedoch kein Back-up besitzen, dann ist diese Aktion nicht möglich.

Obwohl sich der Scarab-Erpressungstrojaner nach der Verschlüsselung automatisch deinstallieren sollte, besteht die Wahrscheinlichkeit, dass einige schädliche Dateien mit dieser Infektion auf Ihrem Computer zurückbleiben. Natürlich müssen diese Dateien entfernt werden. Der beste Weg dazu ist es, sich eine zuverlässige Anti-Malware-Anwendung, wie zum Beispiel Reimage oder SpyHunter herunterzuladen und Ihren Computer damit zu scannen. Jedes dieser Tools beseitigt automatisch alle bösartigen Anwendungen von Ihrem Computer und schützt das System künftig vor ähnlichen Viren.

Bitte beachten Sie, dass kein Anti-Malware-Tool in der Lage ist, Dateien zu entschlüsseln, die von der Scarab Ransomware gesperrt wurden. Anti-Malware-Tools können nur dazu verwendet werden, um schädliche Dateien von einem System zu entfernen.


Programme zur automatischen Entfernung von Scarab-Ransomware

 
Andere Werkzeuge
 
  Spyhunter
0     0
 
Hinweis: Reimage findet Parasiten wie Scarab Ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.

Terms of Service, Privacy Policy, Refund Policy
  Wir sind Partner dieses Programms. Lesen Sie unsere Offenlegung.

Wie entferne ich Scarab-Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Scarab Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von Amnesia ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Bitcoin in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von Bomber betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Crypt000, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

Scarab-Ransomware manuell entfernen

 
 

Scarab-Ransomware Bildschirmfotos

 
     
 

 |       

Juli 17, 2018 13:53, Juli 17, 2018 13:56

Quelle: https://www.2-viruses.com/remove-scarab-ransomware

 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Scarab-Ransomware Fakten
Typ: Erpressersoftware(Ransomware)
Andere Namen: Amnesia, Bitcoin, Bomber, Crypt000, Crypto, Danger, Decrypts, Disk Doctor, Horsia, Oblivion, Osk, Please, Rebus, XTBL, Walker
Extensions: [suupport@protonmail.com].scarab ,.scarab