CryptFile2 Ransomware

CryptFile2 Ransomware

CryptFile2 Ransomware ist eine Infektion, die zuerst von Malware-Analysten im März 2016 entdeckt wurde. Die 1. Version dieser Infektion wurde hauptsächlich mit den Exploit Kits Nuclear und Neutrino verbreitet, und sie ist ziemlich weit verbreitet. Unser Forschungsteam hat vor kurzem eine neue Version dieser Infektion entdeckt, und diese scheint noch aggressiver zu sein. Zur Distribution dieser Version setzt ihr Entwickler einen Massen-Spam-E-Mail-Angriff ein, und es wurde herausgefunden, dass Tausende an Spam-E-Mails, die die bösartige Bedrohung beinhalten, seit Anfang August versendet wurden. Bemerkenswert ist, dass diese Version der bösartigen Ransomware nicht auf reguläre Benutzer abzielt. Stattdessen ist ihr Ziel die nationalen und örtlichen Regierungen der USA, bildungsbezogene Organisationen sowie Versicherungs-, Gesundheits- und Telekommunikationsunternehmen. Natürlich bedeutet dies nicht, dass Sie die CryptFile2 Ransomware nicht entfernen müssen, auch wenn Sie nur ein regulärer Windows-Benutzer sind.

Die beschädigten Spam-E-Mails, die die CryptFile2 Ransomware verbreiten, beinhalten gewöhnlich gefälschte Informationen in Verbindung mit American Airlines, einer amerikanischen Fluggesellschaft. Wenn Sie eine E-Mail mit einem Betreff wie „AmericanAirlines discount“ („American Airlines Rabatt“) oder „Free fly with AmericanAirlines“ („Kostenlos fliegen mit American Airlines“) finden, öffnen Sie diese auf keinen Fall. Da die Ransomware aktualisiert werden kann und neue Versionen entwickelt werden könnten, sollten Sie keine verdächtigen Spam-E-Mails öffnen, ungeachtet ihrer Betreffzeilen oder ihrer Inhalte. Beachten Sie, dass die bösartige Datei der CryptFile2 Ransomware wahrscheinlich als harmlose .doc-Datei dargestellt wird. Wenn Sie diese Datei öffnen, wird die bösartige Bedrohung ausgeführt und die ausgeführte Datei in den Ordner %APPDATA% kopiert. In unserem Fall war die bösartige Datei „ChromeFlashPlayer_[user ID].exe“ genannt. Wenn Sie diese Datei rechtzeitig löschen, könnten Sie in der Lage sein, Ihre Dateien zu schützen. Leider ist die Ransomware heimlich und die meisten Benutzer bemerken sie nicht, bis sie sich selbst mithilfe der einschüchternden Lösegeldforderungen enthüllt.

„HELP_DECRYPT_YOUR_FILES.TXT“ ist die Datei, die die Lösegeldforderung der bösartigen CryptFile2 Ransomware darstellt. Diese TXT-Datei wird an jeder Stelle hinzugefügt, die verschlüsselte Dateien enthält, doch sie könnte auch in anderen Ordnern abgelegt werden. Diese Lösegeldforderung informiert Sie, dass Ihre persönlichen Dateien mit dem Schlüssel RSA-2048 verschlüsselt wurden (eine sehr beliebte Verschlüsselungsmethode) und die Entschlüsselung ist nur möglich, wenn Sie einen privaten Schlüssel haben. Wie erhalten Sie also diesen Schlüssel? Laut der Meldung müssen Sie Ihre ID-Nummer - die unten angegeben ist - an eine der angegebenen E-Mail-Adressen senden (enc3@usa.com, enc3@dr.com, enc3r@usa.com oder enc3r@dr.com). Wie Sie wahrscheinlich bereits bemerkt haben, sind Ihre ID und die E-Mail-Adresse auch den verschlüsselten Dateien hinzugefügt. „.id_[your ID]_email_[email address].scl“ ist eine Erweiterung, die jeder einzelnen beschädigten Datei hinzugefügt wird (zum Beispiel picture.jpg.id_a0123456abcd0a0__email_enc3@dr.com_.scl). Haben Sie versucht, die Erweiterung zu entfernen? Machen Sie sich keine Mühe, denn dies ändert trotzdem nichts.

Es ist offensichtlich, dass der Entwickler der CryptFile2 Ransomware Geld machen möchte, und leider ist es wahrscheinlich, dass er bekommt, was er will. Im Moment gibt es keinen Dritt-Decryptor für diese Ransomware, was bedeutet, dass Sie entweder den Forderungen der Cyberkriminellen folgen oder Ihre Dateien verlieren. Glücklicherweise setzen Benutzer heutzutage Dateisicherungssysteme ein, wie zum Beispiel Online-Speicher-Clouds, um ihre Dateien zu schützen. Für den Fall, dass Sie Ihre Dateien nicht gesichert haben, denken Sie möglicherweise über die Bezahlung des Lösegeldes nach. Wir empfehlen Ihnen dies nicht, da Sie möglicherweise Ihr Geld für nichts im Gegenzug ausgeben. Wenn Sie allerdings sicher sind, das Lösegeld zu bezahlen, und bereit dazu sind, das Risiko einzugehen, beachten Sie, dass die Cyberkriminellen von Ihnen erwarten, innerhalb von 72 Stunden zu handeln. Wenn Sie dies nicht tun, könnte sich die Lösegeldsumme verdoppeln.

Wie können Sie die CryptFile2 Ransomware von Ihrem Betriebssystem löschen? Dies ist nicht so schwierig, wie Sie vielleicht glauben. Nach Tests in unserem internen Labor haben wir herausgefunden, dass Sie die bösartige ausführende Datei zusammen mit den Verzeichniswerten, die damit verbunden sind, löschen müssen. Wenn Sie allerdings nicht gerne im Windows-Verzeichnis arbeiten - was eine komplizierte Aufgabe ist, da ein Fehler zu noch mehr Problemen führen kann - sollten Sie stattdessen automatisierte Malware-Erkennungs- und Entfernungssoftware herunterladen. Wenn Sie diese Software verwenden, müssen Sie sich keine Sorgen mehr um andere bestehende Infektionen oder Malware-Angriffe machen, die in Zukunft auftauchen könnten. Natürlich müssen Sie dies durchführen, wenn Sie sich für die manuelle Entfernungsoptionen scheiden.

Entfernen der CryptFile2 Ransomware

  1. Tippen Sie gleichzeitig die Tasten Win+E auf der Tastatur zur Ausführung des Explorers.
  2. Geben Sie %APPDATA% in die Adressleiste oben im Fenster ein und tippen Sie Enter.
  3. Rechts klicken und Löschen Sie die bösartige.exe-Datei (sollte Ihre ID-Nummer im Namen haben).
  4. Tippen Sie gleichzeitig die Tasten Win+R auf der Tastatur zur Ausführung von RUN.
  5. Geben Sie regedit.exe in das Dialogfeld ein, um auf den Verzeichnis-Editor zuzugreifen.
  6. Gehen Sie zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  7. Rechtsklicken und Löschen Sie den Wert namens SecurityFlashPlayersHardWare (überprüfen Sie die Wertedaten, um zu sehen, ob dieser Wert mit der bösartigen .exe-Datei verknüpft ist).
  8. Gehen Sie zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.
  9. Rechtsklicken und Löschen Sie den Wert namens SecurityFlashPlayers32 (überprüfen Sie die Wertedaten, um zu sehen, ob dieser Wert mit der bösartigen .exe-Datei verknüpft ist).
  10. Rechtsklicken und Löschen Sie zum Schluss die Datei HELP_DECRYPT_YOUR_FILES.TXT an jeder Stelle.

Vergessen Sie nicht, Ihr Betriebssystem mit einem legitimen aktuellen Malware-Scanner zu scannen.

Antwort schreiben