CryptoJoker Ransomware

CryptoJoker Ransomware

Eine neue Infektion namens CryptoJoker Ransomware ist kürzlich aufgetaucht. Sie zielt auf Dateien ab, die Benutzer auf ihren Computern speichern, sodass sie sie verschlüsseln und dann ein Lösegeld verlangen kann. Forscher haben beobachtet, dass die CryptoJoker Ransomware keine besonders ungewöhnliche Bedrohung ist, auch wenn sie eine der neuesten Ransomware-Infektionen ist, die geschaffen wurde. Sie verschlüsselt Dateien, die sich in Programme, Windows, Temp, Desktop und anderen Verzeichnissen befinden, mit der AES-256-Verschlüsselung. Das bedeutet, dass das erste Symptom für das erfolgreiche Eindringen der CryptoJoker Ransomware in das System die Tatsache ist, dass man auf die Mehrzahl der Dateien nicht mehr zugreifen kann. Wenn Sie vermuten, dass Sie ein Opfer der CryptoJoker Ransomware geworden sind, dann lesen Sie diesen Artikel weiter. Wir sind sicher, dass Sie am Ende dieses Artikels in der Lage sein werden, zu sagen, ob Sie wirklich auf diese Bedrohung gestoßen sind und sie auch aus dem System entfernen können.

Da die CryptoJoker Ransomware eine Infektion ist, die versucht, Geld aus Benutzern herauszupressen, wird sie alle Dateien, die sich auf dem System befinden, sofort verschlüsseln. Sie werden auf jeden Fall all die verschlüsselten Dateien erkennen, weil ihnen die .crjoker-Dateinamenerweiterung angehängt wurde. Die Untersuchung, die von den Experten durchgeführt wurde, die bei entfernenspyware.de arbeiten, hat gezeigt, dass diese bestimmte Ransomware Dateien mit den folgenden Erweiterungen verschlüsselt: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql und .pdf. Wie man sehen kann, sind Ihre Dokumente und Bilder in Gefahr. Nachdem diese Ransomware den Verschlüsselungsprozess beendet hat, werden einige neue Dateien auf den Desktop platziert, um Benutzer zu informieren, was sie als Nächstes tun müssen: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt und РАСШИФРОВАТЬ ФАЙЛЫ.txt. Da diese Dateien auf Russisch und Englisch geschrieben sind, vermuten wir, dass die CryptoJoker Ransomware auf eine große Anzahl von Menschen abzielt. Haben Sie irgendeine dieser Dateien geöffnet? Falls ja, haben Sie vielleicht bemerkt, dass Sie 72 Stunden für die Zahlung haben, wenn Sie wieder Zugriff auf Ihre Dateien haben wollen. Sie werden einen einmaligen Schlüssel finden (z. B. Fy5KnQvkv0Xkz71Mh96Q47/JJ/PYWNyxGGriA7kC9EKmg8D8vQrHnbX0U5818YnF6CvJhUwi9Q+JyKnSbGbRYboyS2MNYuWYpXW5Qx/K02EcgP+cePCp09V9PLt3F6M+rGG0P/uSXrPkurATM29MCRcBORxoHhHNgGuWsq8IT9MjfSHzrMOWWoSC64eL/FwSuGfsiUB7L6lWVzQD2JWC9q+gjaAO0bpdy49o7CWnTqj9bdQrB3xnnnU+Gt73Zc9LT26Ji3XNgK7vNJkV+zkJnE9xDXkAGGc1DYxHYYHr2iyE4svCUkW/OnI6+lZqojn6lrBmL//IQev/mpMLevNECQ==), den Sie an file987@sigaint.org, file987@openmail.cc bzw. file987@tutanota.com senden müssen. Nachdem Sie dies getan haben, erhalten Sie einen genauen Betrag in Bitcoins, den Sie an die Cyber-Kriminellen überweisen müssen, sowie weitere Anweisungen darüber, wie Sie die Bezahlung tätigen sollen. Obwohl es die einzige vernünftige Lösung zu sein scheint, raten wir davon ab, das zu tun, weil es keine Garantie gibt, dass Sie den Schlüssel für die Freigabe der Dateien erhalten werden. Außerdem würden Sie zweifellos die Aktivitäten der Cyber-Kriminellen unterstützen, indem Sie ihnen Ihr Geld geben.

Um sicherzustellen, dass Sie wirklich verstehen, was Sie als Nächstes tun müssen, zeigt die CryptoJoker Ransomware auch eine Warnmeldung auf dem Bildschirm an (siehe Text der nachstehenden Meldung). Wenn Sie sie bereits auf dem Bildschirm sehen und sie nicht nach einem Neustart Ihres PCs verschwindet, dann haben Sie es zweifellos mit der CryptoJoker Ransomware zu tun.

Your personal files were encrypted using RSA key cryptographically!

It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.

Write to us at mail: file987@sigaint.org Spare mails: file987@openmail.cc or file987@tutanota.com.

Instructions for payment will be sent in the opposite letter.

After payment we will send your key and decoder.

Die Meldung auf dem Bildschirm, neue Dateien mit Anweisungen und verschlüsselte Dateien sind nicht die einzigen Symptome, die zeigen, dass die CryptoJoker Ransomware installiert wurde. Es wurde auch beobachtet, dass diese Bedrohung den Task-Manager und Registry-Editor blockiert, um nicht so leicht entfernt werden zu können. Außerdem führt sie während der Installation auch einige Änderungen am System durch.

Experten, die die CryptoJoker Ransomware getestet haben, haben festgestellt, dass diese Bedrohung die folgenden Dateien im %Temp%-Verzeichnis erstellt: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, new.bat und sdajfhdfkj (höchstwahrscheinlich ein zufallsgenerierter Name). Wenn Sie die new.bat-Datei öffnen, werden Sie bemerken, dass die CryptoJoker Ransomware die folgenden Anweisungen durchführt:

  • vssadmin.exe Delete Shadows /All /Quiet
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe delete shadows /all /quiet

Diese Anweisungen gewährleisten, dass Volume-Schattenkopien entfernt werden und es unmöglich wird, die verschlüsselten Dateien zu entschlüsseln. Darüber hinaus deaktivieren diese Anweisungen die automatische Start-Reparatur von Windows. Außerdem fügt die CryptoJoker Ransomware die folgenden Einträge zu KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run hinzu:

  • drvpci REG_SZ C:\Benutzer\Benutzername\AppData\Local\Temp\drvpci.exe
  • windefrag REG_SZ C:\Benutzer\Benutzername\AppData\Local\Temp\windefrag.exe
  • winpnp REG_SZ C:\Benutzer\Benutzername\AppData\Local\Temp\winpnp.exe

Dies wird gemacht, damit Dateien wie drvpci.exe, windefrag.exe und winpnp.exe starten, sobald Windwos geladen wird. Zwei Dateien (baefefbed.exe [könnte ein zufallsgenerierter Name sein] und README!!!.txt22) werden ebenfalls im %Appdata%-Verzeichnis erstellt. Der Eintrag baefefbed REG_SZ C:\Benutzer\Benutzername\AppData\Roaming\baefefbed.exe wird zu HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run aus demselben Grund hinzugefügt, d. h., damit baefefbed.exe zusammen mit Windwos startet.

Wie Sie wahrscheinlich bereits verstanden haben, ist die CryptoJoker Ransomware eine ernste Infektion, die sich ohne Erlaubnis in Computer hineinschleicht und sofort damit beginnt, schädliche Aktivitäten durchzuführen. Experten haben bemerkt, dass der Installer der CryptoJoker Ransomware als PDF-Datei verbreitet wird, sodass diese Bedrohung zweifellos vor allem durch E-Mail-Phishing-Kampagnen verbreitet wird. Es gibt eine ganze Reihe anderer Ransomware-Infektionen, stellen Sie also sicher, dass Sie ein Sicherheitstool installiert haben, wenn Sie nicht wieder auf eine Bedrohung wie die CryptoJoker Ransomware stoßen wollen.

Es ist vor allem eine leichte Aufgabe, die CryptoJoker Ransomware manuell zu löschen. Deshalb haben wir die Entfernungsanweisungen für Sie vorbereitet. Sie finden sie nach diesem Artikel. Wie Sie sehen, werden Sie Ihr Windows zuerst im Abgesicherten Modus starten und dann bestimmte Registry-Einträge und Dateien manuell entfernen müssen. Falls Sie nicht das Gefühl haben, erfahren genug zu sein, um die CryptoJoker Ransomware selbst loszuwerden, dann scannen Sie Ihr System mit einem automatischen Malware-Entferner, wie z. B. SpyHunter. Er wird Infektionen in wenigen Sekunden für Sie löschen. Leider ist es zurzeit nicht möglich, die Dateien zu entschlüsseln, sodass Sie dennoch nicht in der Lage sein werden, auf Ihre Dateien zuzugreifen, nachdem Sie die CryptoJoker Ransomware losgeworden sind. Machen Sie sich keine voreiligen Sorgen; Sie könnten sie von einer Sicherungskopie ziemlich leicht wiederherstellen, wie z. B. von einer externen Festplatte und einem USB-Stick.

Löschen der CryptoJoker Ransomware

Starten Sie Windows im Abgesicherten Modus

Windows XP

  1. Starten Sie Ihren Computer neu und beginnen Sie, wiederholt F8 zu drücken.
  2. Wählen Sie Abgesicherter Modus unter Verwendung der Pfeiltasten unddrücken Sie die Eingabetaste (Enter).
  3. Klicken Sie auf Ja.

Windows 7 und Vista

  1. Starten Sie Ihren Computer neu.
  2. Beginnen Sie, sofort nachdem der BIOS-Bildschirm erscheint, F8 zu drücken.
  3. Wählen Sie Abgesicherter Modus aus dem Menü, indem Sie die Pfeiltasten auf Ihrer Tastatur verwenden.

Windows 8/8.1

  1. Drücken Sie die Windows-Taste + R.
  2. Geben Sie msconfig ein, um die Utility der System-Konfiguration zu starten.
  3. Öffnen Sie den Start-Tab und markieren Sie unter Startoptionen das Kästchen Abgesicherter Start.
  4. Klicken Sie auf OK.
  5. Starten Sie Ihren Computer neu.

Windows 10

  1. Öffnen Sie das Startmenü und klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Halten Sie die Shift-Taste gedrückt und klicken Sie auf Neu starten.
  3. Wählen Sie Problembehandlung.
  4. Gehen Sie zu Erweiterte Optionen.
  5. Wählen Sie Starteinstellungen.
  6. Klicken Sie auf Neu starten.
  7. Drücken Sie F4, um Windows im Abgesicherten Modus zu starten.

Löschen von Registry-Einträgen und Dateien

  1. Starten Sie AUSFÜHREN (RUN) (drücken Sie die Windows-Taste + R).
  2. Geben Sie %Temp% in das Feld ein und klicken Sie auf OK.
  3. Finden Sie die folgenden Dateien: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, new.bat und sdajfhdfkj (ein zufallsgenerierter Dateiname).
  4. Löschen Sie sie alle.
  5. Wiederholen Sie den ersten Schritt und geben Sie %Appdata% in das Feld ein. Klicken Sie auf OK.
  6. Finden Sie die Dateien baefefbed.exe und README!!!.txt22.
  7. Löschen Sie sie alle.
  8. Starten Sie erneut AUSFÜHREN und geben Sie regedit ein.
  9. Gehen Sie zu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  10. Löschen Sie die folgenden Registry-Einträge: drvpci REG_SZ C:\Users\user\AppData\Local\Temp\drvpci.exe, windefrag REG_SZ C:\Users\user\AppData\Local\Temp\windefrag.exe und winpnp REG_SZ C:\Users\user\AppData\Local\Temp\winpnp.exe.
  11. Gehen Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run.
  12. Löschen Sie baefefbed REG_SZ C:\Benutzer\Benutzername\AppData\Roaming\baefefbed.exe.
  13. Entfernen Sie die infizierten Dateien vom Desktop.

Diese CryptoJoker Ransomware dateien entfernen:

README!!!.txt
READ.txt
readme.txt
РАСШИФРОВАТЬ ФАЙЛЫ.txt
GET MY FILES.txt
read this file.txt
ПРОЧТИ.txt
DECRYPT FILES.txt
READ NOW.txt

Antwort schreiben