Alpha Ransomware

Alpha Ransomware

Unsere Forscher haben Ähnlichkeiten zwischen der Alpha Ransomware und der Cerber Ransomware gefunden, d. h. es könnte sein, dass dieselben Entwickler beide schädlichen Anwendungen geschaffen haben. Die neue Bedrohung ist ziemlich gefährlich, weil sie personenbezogene Daten verschlüsselt und die Schattenkopien davon beseitigt. Deshalb könnte es unmöglich sein, solche Daten wiederherzustellen, es sei denn, Sie haben Kopien davon auf Wechseldatenträgern oder Remote-Cloud-Speichern gemacht. Das Löschen der Malware wird Ihre Dateien auch nicht entschlüsseln, aber es ist wichtig, die Infektion loszuwerden, wenn Sie das System sauber halten wollen. Die nachstehende Entfernungsanleitung zeigt, wie man die Alpha Ransomware manuell beseitigt, obwohl dies für unerfahrene Benutzer zu kompliziert aussehen könnte. In diesem Fall empfehlen wir Ihnen, zu erlauben, dass sich ein legitimes Antimalware-Tool um die Bedrohung kümmert.

Gegenwärtig versuchen Forscher immer noch herauszufinden, wie die Alpha Ransomware verbreitet wird. In der Regel werden solche Schadprogramme mit infizierten Daten verbreitet, die einem Opfer über Spam-E-Mails gesendet werden. Solche Daten könnten in schädliche Webseiten eingebettet sein oder mit anderer Malware, wie z. B. Trojanern, verbreitet werden. Deshalb ist es wichtig, verdächtige Websites oder Dateien zu vermeiden. Wahrscheinlich ist die beste Option, ein aktualisiertes Antimalware-Tool aktiv zu haben, das darauf vorbereitet ist, die neuesten Bedrohungen zu bekämpfen.

Jedenfalls wissen wir, dass die Malware eine Ausführungsdatei namens msestl32.exe in das Verzeichnis %APPDATA%\Microsoft\Essential ablegen sollte, wenn Sie die Schaddatei starten. Wenn die Infektion in das System hineingelangt, erstellt sie auch einen Registry-Eintrag im folgenden Pfad: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Der erstellte Wertname der Malware sollte MSEstl benannt sein und auf den erwähnten Ort der Ausführungsdatei verweisen. Durch diesen Eintrag kann die Alpha Ransomware mit Windows neu starten.

Die Malware sollte sich nur auf personenbezogene Daten auswirken, wie z. B. Bilder, Fotos, Dokumente, Videodateien und andere. Sie kann zum Beispiel Daten verschlüsseln, die die folgenden Erweiterungen besitzen: dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max, .mdb, .mdf, .mef, .mov, .mp3, .mp4 und so weiter. Jede verschlüsselte Datei erhält eine weitere Erweiterung namens .bin. Ein verschlüsseltes Textdokument könnte beispielsweise wie folgt aussehen: textdocument.docx.bin

Außerdem sollte die Malware auch eine Text- und HTML-Datei im Verzeichnis %USERPROFILE%\Desktop erstellen. Das Textdokument namens README HOW TO DECRYPT YOUR FILES.TXT (LIESMICH WIE SIE IHRE DATEIEN ENTSCHLÜSSELN.TXT) sollte auf dem Bildschirm erscheinen, sobald der Verschlüsselungsprozess beendet ist. Beide Dateien enthalten dieselben Informationen, die erklären, wie man eine Website mit den Zahlungsanweisungen erreicht. Der Text warnt Benutzer auch, keine Antimalware-Tools zu verwenden, und versucht sie einzuschüchtern, damit sie das Lösegeld bezahlen.

Selbst wenn Sie das Lösegeld bezahlen, kann Ihnen leider niemand versichern, dass die Cyberkriminellen ihr Versprechen einhalten werden. Wenn Sie also an diese Option denken, raten wir Ihnen dringend, es sich noch einmal zu überlegen. Das geforderte Lösegeld könnte 1,5 Bitcoins betragen, was zurzeit ca. 810 EUR entspricht. Der Betrag ist ziemlich hoch, und es gibt keine Garantie, dass Sie den Entschlüsselungsschlüssel erhalten werden, für den Sie bezahlen. Von Zeit zu Zeit berichten Benutzer über Fälle, wenn Sie die Zahlung leisten, aber das Entschlüsselungstool nicht erhalten.

Laut der Lösegeldforderung „ist das Alpha Ransomware Projekt nicht schädlich und bezweckt nicht, einer Person und ihren Daten zu schaden“ („Alpha Ransomware Project is not malicious and is not intended to harm a person and his/her information data“). Dennoch schadet sie Ihren Daten, vor allem, wenn Sie kein Geld haben, um das Lösegeld zu bezahlen. Was die Cyberkriminellen tun, ist falsch, und lassen Sie sich von ihnen nichts anderes einreden.

Wenn Sie sich entschließen, die Alpha Ransomware loszuwerden, können Sie zwischen zwei Optionen wählen. Die erste ist, dass Benutzer die Bedrohung manuell beseitigen können, wenn sie die schädlichen Daten, die auf das System abgeladen wurden, löschen. Um es Ihnen leichter zu machen, haben wir unten eine Entfernungsanleitung hinzugefügt. Sie wird Verzeichnisse und Daten auflisten, die gelöscht werden sollten. Die zweite Option besteht darin, ein legitimes Antimalware-Tool herunterzuladen und es zu verwenden, um die Malware anzugehen. Nach der Installation können Sie das Tool starten und es das System scannen lassen. Warten Sie, bis es den Scan beendet hat, und klicken Sie auf die Entfernen-Schaltfläche.

Löschen der Alpha Ransomware

  1. Drücken Sie die Windows-Taste+E, um den Explorer zu öffnen.
  2. Geben Sie den Pfad %APPDATA%\Microsoft\Essential in den Explorer ein und klicken Sie auf die Eingabetaste.
  3. Finden Sie eine Datei namens msestl32.exe, rechtsklicken Sie darauf und wählen Sie Löschen.
  4. Navigieren Sie zu %USERPROFILE%\Desktop.
  5. Finden und entfernen Sie die aufgeführten Daten: README HOW TO DECRYPT YOUR FILES.TXT und README HOW TO DECRYPT YOUR FILES.HTML.
  6. Schließen Sie den Explorer.
  7. Drücken Sie die Windows-Taste+R, geben Sie regedit ein und klicken Sie auf OK.
  8. Gehen Sie zum folgenden Pfad:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  9. Finden Sie einen Wertnamen namens MSEstl; seine Wertdaten sollten C:\Benutzer\Benutzername\AppData\Roaming\Microsoft\Essential\msestl32.exe enthalten.
  10. Rechtsklicken Sie aufMSEstl und wählen Sie Löschen.
  11. Navigieren Sie zu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion.
  12. Finden Sie einen Schlüssel mit einem Namen aus zufallsgenerierten Buchstaben, wie z. B. Betguavns, rechtsklicken Sie auf den Schlüssel und klicken Sie auf Löschen.
  13. Schließen Sie den Registrierungs-Editor.
  14. Leeren Sie den Papierkorb.

Antwort schreiben