Alma Locker Ransomware

Alma Locker Ransomware

Wir haben kürzlich eine neu entdeckte Schadanwendung, die als Alma Locker Ransomware bekannt ist, analysiert. Unsere Analyse hat gezeigt, dass es sich dabei um eine halb funktionsfähige Infektion handelt, die Sie aber dennoch entfernen müssen. Sie kann Ihre Dateien verschlüsseln, indem Sie einen asymmetrischen Verschlüsselungsalgorithmus verwendet, der Ihre Dateien unzugänglich macht. Ihre Entwickler wollen, dass Sie den Entschlüsselungsschlüssel kaufen, der für die Entschlüsselung der Dateien nötig ist, aber die Website, die dafür benötigt wird, ist derzeit offline, was bedeutet, dass Sie das Lösegeld nicht bezahlen können, selbst wenn Sie es wollten. Wir raten Ihnen jedoch, davon abzusehen, es zu bezahlen, weil Sie den Schlüssel möglicherweise ohnehin nicht erhalten würden.

Der Zweck der Ransomware besteht darin, so viele personenbezogene und andere wertvolle Dateien wie möglich zu verschlüsseln, um das Opfer zu zwingen, den in der Regel unverschämt hohen Geldbetrag für den Entschlüsselungsschlüssel zu bezahlen. Die Alma Locker Ransomware folgt dieser Philosophie, aber wir wissen nicht, wie viel Geld ihre Entwickler verlangen, weil, wie gesagt, ihre Website offline ist. Unsere Untersuchung hat gezeigt, dass diese Ransomware konfiguriert ist, um Dateiformate wie .dxf, .dxg, .eps, .htm, .html, .ibank, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .max, .mdb, .mdf, .odb, .odc, .odm, .odp und viele andere zu verschlüsseln. Kurz gesagt, diese Malware kann Dutzende von Dateien verschlüsseln, die sehr wichtige Informationen enthalten, für die Sie gewillt wären, das Lösegeld zu bezahlen.

Gemäß unserer Untersuchung ist die Alma Locker Ransomware so konzipiert, dass sie Dateien in allen Ordnern auf Ihrem Computer verschlüsselt, außer in %PROGRAMFILES%, %PROGRAMFILES(x86)%, %ALLUSERSPROFILE%, und %APPDATA%, weil diese Ordner Dateien enthalten, die für die Funktionsweise von Windows unentbehrlich sind, und die Kriminellen nichts gewinnen, wenn sie das Betriebssystem Ihres Computers derart beschädigen, dass es neu installiert werden muss. Abgesehen von diesen Ordnern verschlüsselt diese Ransomware also die Dateien in den meisten anderen Ordnern. Nachdem die Verschlüsselung beendet ist, erstellt sie eine Datei namens Unlock_files_[zufallsgenerierte ID].html.

Unlock_files_[ID-Nummer].html ist eine HTML-Datei, die mit einer Browsererweiterung geöffnet wird. Wenn sie offen ist, zeigt Sie Ihnen Informationen in Bezug auf das Entschlüsselungsverfahren an. Sie enthält eine einmalige ID-Nummer, die Sie als Login auf einer Website eingeben müssen, um decrypter.exe – die Anwendung, die Sie in die Lage versetzen soll, Ihre Dateien zu entschlüsseln – herunterzuladen. Die HTML-Datei enthält auch die Entschlüsselungsanweisungen. Beachten Sie, dass sie fünf Links zu den Anweisungen sowie zum Download-Mirror bzw. Entschlüsselungsprogramm anzeigt. Die Lösegeldforderung besagt, dass Sie den TOR-Browser herunterladen und einem anderen zur Verfügung gestellten Link folgen müssen, falls Sie auf keinen der bereitgestellten Links zugreifen können. Sie können jedoch die Dateien nicht entschlüsseln, nachdem Sie das Lösegeld bezahlt haben, weil die Website, die Ihnen den Entschlüsselungsschlüssel zur Verfügung stellt, offline ist. D. h. das ganze Geld, das Sie für diesen Schlüssel bezahlen, ist verschwendetes Geld. Deshalb ist die einzige Lösung zu diesem Problem, diese Ransomware vollständig zu löschen.

Leider wissen wir nicht, wie diese Ransomware verbreitet wird. Auch scheint es nicht, dass sie Klone besitzt, die Hinweise über ihre Verbreitung geben könnten. Deshalb nehmen wir an, dass sie über E-Mail-Spam gesendet wird, die ein Dateiarchiv enthält, welches wiederum die Ausführungsdatei dieser Ransomware enthält. Das Exemplar, das wir analysiert haben, hatte einen zufallsgenerierten Namen, der aus Groß- und Kleinbuchstaben bestand, sodass dieser Name bei jedem Fall variieren wird. Tatsache ist jedoch, dass Sie diese Datei manuell ausführen müssen; wenn Sie sie also nicht extrahieren und ausführen, wird Ihr Computer auch nicht infiziert und Ihre Dateien bleiben unversehrt. Wenn Sie jedoch aus Versehen die Datei dieser Ransomware ausführen, dann werden Sie sie loswerden müssen.

Wie Sie sehen können, ist die Alma Locker Ransomware ein Schadprogramm, und es gibt keine Möglichkeit, das Lösegeld zu bezahlen, wenn Ihr Computer damit infiziert wird, sodass Sie sie zumindest entfernen müssen, damit sie keine neu hinzugefügten Dateien verschlüsselt. Sie können sie manuell entfernen, wir raten Ihnen jedoch, ein Anti-Malware-Tool wie SpyHunter zu verwenden, das alle Spuren dieser Infektion beseitigen wird.

Wie man die Alma Locker Ransomware entfernt

  1. Finden sie die Ausführungsdatei (sehen Sie in Downloads, in Dokumente-Ordnern und auf dem Desktop nach).
  2. Rechtsklicken Sie darauf und klicken Sie auf die Schaltfläche Löschen.
  3. Leeren Sie dann den Papierkorb.
  4. Fertig.

Antwort schreiben