BlackShades Crypter Ransomware

BlackShades Crypter Ransomware

BlackShades Crypter Ransomware ist eine bösartige Anwendung, die Sie entfernen müssen, sobald Sie ihre Präsenz bemerken. Sie wurde entwickelt, um Ihre persönlichen Dateien zu verschlüsseln und Sie aufzufordern, eine Gebühr für einen Code zu bezahlen, um diese zu entschlüsseln. Sie sollten den Cyberkriminellen trotzdem nicht vertrauen, denn es ist höchst wahrscheinlich, dass diese ihr Versprechen nicht halten werden. Sie erhalten also möglicherweise den Verschlüsselungscode gar nicht. Sollten Sie sich allerdings entscheiden, zu bezahlen, dann denken Sie daran, dass Sie damit nur deren zweites Projekt finanzieren werden. Wir werden Ihnen einen Überblick über die Ursprünge dieser Infektion, die Verbreitungsmethoden, Funktionalität und Entfernungsmethoden in diesem Artikel bieten. Lesen Sie also bitte weiter, wenn es Sie interessiert.

Während wir Informationen über diese Ransomware gesammelt haben, fanden wir heraus, dass sie derzeit mithilfe von E-Mail-Spam verbreitet wird. Deshalb nehmen wir an, dass ihre Entwickler einen Server eingerichtet haben, um Spam an willkürliche E-Mail-Adressen zusenden und zu hoffen, dass jemand darauf hereinfällt. Wir kennen die Inhalte dieser E-Mails nicht, doch auf Basis von bisheriger Erfahrung mit ähnlicher Ransomware glauben wir, dass sie geschäftsbezogenen Text beinhalten könnten. Es ist allerdings nicht der Text, der Ihren PC infiziert— es ist der Anhang. Beachten Sie, dass Spam-E-Mails Anhänge beinhalten, die die Dateien einer Ransomware im Computer ablegen. Im Falle der BlackShades Crypter Ransomware glauben wir, dass ihre Dateien zu einem selbst extrahierenden Archiv oder einer ausführbaren Datei hinzugefügt werden, die als PDF-Datei getarnt ist. Was auch der Fall sein mag, Sie werden über die Infektion nicht informiert, bis sie alle ihre bösartigen Aktivitäten abgeschlossen hat.

Das erste, das Sie bemerken können, wenn diese Ransomware Ihren Computer infiziert, ist, dass sie verschiedene Dateien auf dem Desktop ablegt. Diese Dateien beinhalten Hacked_Read_me_to_decrypt_files.Html, YourID.txt und Ваш идентификатор. Daher ist der Dateiname in kyrillischer Schrift geschrieben. Dies kann als Hinweis betrachtet werden, dass diese Infektion aus Russland stammt oder zumindest von einem russisch sprechenden Cyberkriminellen oder einer gesamten Gruppe an Cyberkriminellen entwickelt wurde. Gemäß unserem Wissen wird diese Infektion allerdings auf der ganzen Welt verbreitet. Der größte Teil des Textes, den Sie lesen können, ist außerdem sowohl in Englisch als auch Russisch verfasst, mit Ausnahme der Datei Hacked_Read_me_to_decrypt_files.Html, die ausschließlich in Russisch ist, doch dazu später mehr.

Wie bereits erwähnt wurde die BlackShades Crypter Ransomware entwickelt, um Ihre Dateien zu verschlüsseln und die Erweiterung .silent hinzuzufügen. Sie gibt vor, dass sie den Verschlüsselungscode RSA-4096 dafür verwendet. Diese Ransomware fordert Sie auf, 0,07 BTC oder 30 USD zu bezahlen, was nicht zu viel ist. Wir möchten allerdings betonen, dass es keine Möglichkeit gibt, zu erfahren, ob die Cybergauner Ihnen den Entschlüsselungscode geben werden. Wenn Sie die Dateien YourID.txt und Ваш идентификатор löschen, werden Sie nicht mehr in der Lage sein, Ihre Dateien zu bekommen, da sie verwendet werden, um Sie zu identifizieren und Ihnen den entsprechenden Verschlüsselungscode zu geben. Außerdem enthalten die Dateien YourID.txt und Ваш идентификатор die gleichen Informationen. Diese Ransomware wird Ihren Browser starten und verwenden, um Ihnen die Datei Hacked_Read_me_to_decrypt_files.Html bei jedem Systemstart zu zeigen. Sie beinhaltet Anweisungen, wie man die Gebühren in Bitcoins bezahlt. Cybergauner verwenden Bitcoins, um nicht gefunden zu werden, da niemand die Bitcoin-Geldbörse mit einer bestimmten Person in Verbindung bringen kann.

Sehen wir uns jetzt an, wie diese Ransomware funktioniert. Als erstes und wichtigstes legt der E-Mail-Anhang zwei Kopien der BlackShades Crypter Ransomware auf%APPDATA%\Windows und%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup ab. Ihre ausführbare Datei lautet win.exe. Diese Infektion wird außerdem zwei Verzeichnisschlüssel erstellen, die verantwortlich für den Start dieser Ransomware beim Systemstart sind. HKCU\Software\Microsoft\Windows\CurrentVersion\Run sollte einen String namens Driver its Values data ist: C:\Users\{user name}\AppData\Roaming\Windows\win.exe" /autostart. Wenn Sie diese Ransomware entfernen möchten, dann müssen Sie die oben genannten Dateien und Verzeichnisschlüssel löschen. Dann werden Sie allerdings keine Möglichkeit mehr haben, Ihre Dateien zu entschlüsseln.

Wir empfehlen Ihnen nicht, die Gebühr zu bezahlen, auch wenn die Cybergauner nicht viel verlangen. Durch die Bezahlung werden Sie nur die Entwicklung künftiger Infektionen finanzieren, die Hunderte und sogar Tausende Dollar verlangen könnten. Folgen Sie also bitte den Anleitungen am Ende dieses Artikels. Wenn Sie Probleme mit der Entfernung dieser Infektion haben, empfehlen wir, SpyHunter zu verwenden, da Tests gezeigt haben, dass das Programm mehr als in der Lage ist, die Dateien der BlackShades Crypter Ransomware zu löschen.

Entfernung der BlackShades Crypter Ransomware

  1. Drücken Sie auf Ihrer Tastatur die Tasten Windows+E.
  2. Geben Sie im Adressfeld des Explorerfensters die folgenden Lokalisierungspfade ein.
    • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\
    • %APPDATA%\Windows\
  3. Finden Sie win.exe und löschen Sie es.
  4. Gehen Sie dann zum Desktop und löschen Sie Hacked_Read_me_to_decrypt_files.Html, YourID.txt und Ваш идентификатор (löschen Sie diese Dateien auch in anderen Ordnern.)

Löschen des Verzeichnisschlüssels

  1. Drücken Sie die Tasten Windows+R auf Ihrer Tastatur.
  2. Geben Sie im Feld regedit ein und klicken Sie auf OK.
  3. Gehen Sie zu HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  4. Finden Sie den String namens Driver with the Value data of "C:\Users\user\AppData\Roaming\Windows\win.exe" /autostart
  5. Rechts klicken Sie darauf und klicken Sie auf Löschen.

Antwort schreiben