UnlockMePlease-Virus entfernen

UnlockMePlease ist ein neuer Verschlüsselungstrojaner, der sich seit Juli 2018 rapide ausbreitet. Es ist nicht sicher, ob er zu den Ransomware-Familien Hermes oder Dharma gehört, oder ob es sich um eine selbstständige Malware handelt. Der UnlockMePlease-Virus legt aber das typische Verhalten eines Kryptotrojaners an den Tag, der persönliche Dateien verschlüsselt und ein Lösegeld verlangt.

Im Moment breitet sich der „Unlock Me Please“-Virus hauptsächlich im Westen Europas aus: Belgien, Frankreich, Portugal – er ist aber natürlich für jeden auf der Welt gefährlich. Er wird höchstwahrscheinlich mittels Social-Engineering-E-Mails verbreitet, die bösartige Links and Anhänge enthalten. Auf diese fängt sich jeder, der darauf klickt, den Schädling ein.

Obgleich diese Ransomware eingehender untersucht werden muss, reichen uns im Moment grundlegende Kenntnisse über die Arbeitsweise derartiger Viren aus, um jedem zu helfen, der den Hackern in die Falle gegangen ist und versehentlich den UnlockMePlease-Virus herunterladen hat. Am Ende dieses Artikels finden Sie eine detaillierte Beschreibung, wie Sie den Virus mit und ohne die Antivirus-Software entfernen können.

Was ist der Virus [email protected]?

Die Ransomware Unlockmeplease, auch bekannt als [email protected], ist ein Erpressungstrojaner. Das bedeutet, dass der Schädling auf hinterhältige Weise in den Rechner des Opfers eindringt und das Antivirusprogramm stoppt sowie alle persönlichen Dateien findet, z. B. Bilder, Videos und Dokumente. Diese werden dann mit AES- und RSA-Chiffren verschlüsselt und anschließend mit der Endung [[email protected]].HRM versehen. Der Erpressungstrojaner hinterlässt dann eine Lösegeldforderung mit der Anweisung, den Gaunern Geld in einer Kryptowährung (normalerweise Bitcoin) zu senden, um einen Dechiffrierschlüssel zu erhalten.

Die Hacker nehmen nicht die Systemdateien ins Visier, sondern die persönlichen Dateien, weil diese für die Anwender wertvoller sind. Diese sind zahlungswilliger, wenn es um den Verlust ihrer digitalen Erinnerungen und anderer wichtigen Daten geht. Und da das Geschäft mit Ransomware gerade nicht so gut läuft, müssen die Gauner die Anwender auf alle möglichen Arten drangsalieren, damit die Kasse klingelt. Auch die Endung [[email protected]].HRM übt zusätzlichen Druck auf die Opfer aus, da sie all die unzugänglichen Dateien vor Augen haben. Ein weiterer Grund, warum UnlockMePlease nur bestimmte Dateien verschlüsselt, liegt darin, dass der Benutzer das Lösegeld nicht bezahlen kann sowie die E-Mail und Wallet der Malware-Macher nicht sehen kann, wenn der Computer vollständig kompromittiert ist.

Wir vermuten, dass die Dateiendung [[email protected]]. HRM darauf hindeutet, dass diese Ransomware zur Hermes-Familie gehört, da diese die Endung .HRM an verschlüsselte Dateien anhängt. Hingegen ähneln der Beginn der Zeichenfolge und die E-Mail-Adresse dem Suffix des Dharma-Virus. Diese lange Zeichenfolge enthält eine persönliche ID, die E-Mail-Adresse der Gauner (ebenfalls mit der Vulgären Domain cock.li) sowie .dharma/.arrow/.java und andere Namen seiner Varianten.

Obwohl wir nicht sicher sein können, wer hinter der [email protected] steht, kann man davon ausgehen, dass Gauner ein Lösegeld zwischen ein paar hundert Dollar bis ein paar tausend Dollar in Bitcoins verlangen. Allerdings sollten Sie jetzt nicht überstürzt auf die Forderungen der Hacker eingehen, da die meisten Ransomware-Entwickler dafür bekannt sind, nur das Lösegeld einzustreichen, ohne den Opfern den versprochenen Dechiffrierschlüssel auszuhändigen. Darüber hinaus sollten Sie unsere Methoden zur Entfernung/Entschlüsselung versuchen. Das kann ihnen dabei helfen, Geld zu sparen und wieder an die gesperrten Daten zu gelangen.

So haben Sie sich die Ransomware [email protected] eingefangen

Die meisten Ransomware-Macher setzen zur Verbreitung ihrer Erpressungstrojaner auf Social-Engineering-E-Mails, die wegen der realistischen Aufmachung selbst die vorsichtigsten Online-Sufer täuschen können. Diese E-Mails können wie Rechnungen, Bewerbungen, Behördenschreiben, Berichte, Tickets usw. aussehen. Das hängt alles davon ab, ob es die Hacker auf konkrete Institutionen wie beispielsweise Banken abgesehen haben, denen sie infizierte Bewerbungsschreiben schicken, oder auf normale Leute, deren Aufmerksamkeit sie mit gefälschten Mahnungen oder kostenlosen Eintrittskarten erregen.

Das Team von 2-viruses.com hat die ultimative Anleitung zusammengestellt, um Viren wie UnlockMePlease zu bekämpfen: So schützen Sie sich vor Ransomware. Diese Viren können sich auch auf andere Arten ausbreiten: Exploit-Kits, Reklame, unsichere P2P-Verbindungen, Torrents, Fake-Updates, Freeware-Bundles, Redirects, Trojaner usw. Ein weiterer wichtiger Punkt beim Umgang mit Malware oder sonstiger Cyberkriminalität ist Die Meldung an die IC3-Behörde. Das schafft Bewusstsein für die Bedrohung und hilft dem FBI dabei, die Gauner schneller aufzuspüren.

Den Virus [email protected] loswerden und Dateien entschlüsseln

Als Erstes sollten Sie mit der Virenentfernung beginnen, um die durch UnlockMePlease verursachten Probleme zu beheben. Erst wenn Sie absolut sicher sind, dass Ihr System keine weiteren Viren mehr enthält, können Sie sich an die Entschlüsselung der Dateien machen. Die Beseitigung des [email protected] ist entscheidend, um Ihre Sicherheits wiederherstellen zu können. Die Gauner haben anschließend keine Möglichkeit mehr, Ihre Daten erneut zu verschlüsseln. Ihr PC sollte dann wieder normal laufen, nachdem Sie Ihre gesperrten Daten erfolgreich wiederhergestellt haben.

Der einfachste und effektivste Weg, um den Virus [[email protected]].HRM loszuwerden, ist es, ein automatisiertes Tools wie Spyhunter dafür zu verwenden. Es ist eines der stärksten auf dem Markt und verfügt über die aktuellsten Malware-Datenbank, die in diesem Fall sehr hilfreich sein kann, da UnlockMePlease eine relativ neue Bedrohung ist. Die Vorteile eines Anti-Spyware-Tools liegen darin, dass es Ihnen nicht nur die ganze harte Arbeit abnimmt, indem es die virtuellen Parasiten aufspürt und zur Strecke bringt, sondern auch für die Zukunft einen anständigen Schutz gewährleistet. Ein solches Tool erkennt und beseitigt Viren nicht nur anhand deren Namens, sondern auch aufgrund deren Verhaltens. Wenn Sie also einmal etwas übersehen sollten, wird sich Spyhunter darum kümmern.

Was die Entschlüsselung der Dateien anbelangt, werden diese immer noch verschlüsselt sein, nachdem Sie Ihr System in Ordnung gebracht und von Viren gesäubert haben, da die Verschlüsselung immer noch da ist. Da wir davon ausgehen, dass der Kryptovirus UnlockMePlease etwas mit Dharma oder Hermes zu tun hat und da diese beiden Erpressungstrojaner entschlüsselt werden können, kann es nicht schaden dieselben Unlocking-Tools für die Ransomware [[email protected]].HRM zu benutzen. Den Dekrytor für Dharma finden Sie Hier und den für Hermes Hier. Falls diese Dekrytoren nicht funktionieren, scrollen Sie nach unten, um mehr über die Wiederherstellungsmethoden mittels Volumenschattenkopien usw. zu erfahren.

Gewusst wie: UnlockMePlease-Ransomware ohne Software löschen

Für jene, die es bevorzugen [[email protected]].HRM manuell zu entfernen, haben wir eine Anleitung erstellt, die Ihnen Schritt für Schritt zeigt, wie Sie dem berüchtigten Virus auf eigene Faust den Garaus machen. Wenn es Ihnen gelingt, die Ransomware auf diese Weise loszuwerden empfehlen wir Ihnen dennoch, anschließend das System mit einigen zuverlässigen Antivirus/Anti-Malware-Tools scannen.

Wie entferne ich UnlockMePlease-Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.

für Windows 7 / Vista/ XP

• Start → Herunterfahren → Neu starten → OK.
• Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
• Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.

für Windows 8 / 10

• Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
• Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
• Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.

• Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
• Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
• Klicken Sie im nächsten Fenster auf „Weiter“.
• Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem [[email protected]].HRM in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
• Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.

Shritt 2. Schließen Sie die Entfernung von UnlockMePlease-Virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit [[email protected]].HRM in Verbindung stehen, zu entfernen.

Shritt 3. Stellen Sie die von UnlockMePlease-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht [[email protected]].HRM, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.

b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.