CTB-Faker Ransomware

CTB-Faker Ransomware

Die CTB-Faker Ransomware ist eine neue Ransomware-Infektion, die als Nachahmerversion der CTB-Locker Ransomware bekannt ist, die eine weitere beliebte Bedrohung ist und sich in Ihren Computer hineinschleichen könnte, wenn Sie nicht vorsichtig sind. Sie werden schnell verstehen, dass sich die CTB-Faker Ransomware in Ihrem System befindet, weil sie, nicht wie einige anderen bekannten Ransomware-Infektionen, den Ordner C:\Benutzer überprüft und dann die Dateien mit den folgenden Erweiterungen in ein passwortgeschütztes ZIP-Archiv verschiebt: .exe, .msi, .dll, .jpg, .jpeg, .bmp, .gif, .png, .psd, .mp3, .wav, .mp4, .avi, .zip, .rar, .iso, .7z, .cab, .dat und .data. Da es sich bei der CTB-Faker Ransomware um eine Bedrohung handelt, deren Hauptziel darin besteht, Benutzern Geld aus der Tasche zu ziehen, wird sie Ihnen das Passwort für die Freigabe Ihrer Dateien nicht umsonst geben. Obwohl der zu überweisende Geldbetrag, den diese Ransomware-Infektion von Benutzern verlangt, nach Meinung der Forscher, die bei entfernenspyware.de arbeiten, nicht hoch ist, wäre es besser, die CTB-Faker Ransomware aus dem Computer zu entfernen und dann zu versuchen, die kostenlose Software für das Knacken von ZIP-Passwörtern zu verwenden. Wenn Sie diesen Artikel lesen, wissen Sie wahrscheinlich nicht viel über diese Ransomware und ihre Entfernung. Keine Sorge; Experten werden Ihnen sagen, was Sie tun müssen, und wir hoffen, dass alle Ihre Fragen hier beantwortet werden.

Nachdem die CTB-Faker Ransomware das Scannen von C:Benutzer und das Verschieben der Dateien in das ZIP-Archiv beendet hat, erstellt sie die Datei Your personal files are encrypted.txt (Ihre personenbezogenen Dateien sind verschlüsselt.txt) mit der Lösegeldforderung. Außerdem wird help.exe gestartet und das Bild untitled.png hochgeladen, um dem Benutzer angezeigt zu werden. Es enthält ebenfalls die Lösegeldforderung. Einen Ausschnitt dieser Forderung finden Sie nachstehend:

Your personal files are encrypted by CTB-Locker

Your documents, photos, softwares and all other important files have been encrypted with a strong encryption (SHA-512) and unique key (RSA-4096), generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay US$50 and get the private key.

You only have 7 days to submit the US$50 of payment. If you do not send the money within the provided time the price will raise to US$100.

Wir können Ihnen versichern, dass Ihre Dateien nicht verschlüsselt werden, auch wenn dies in der Lösegeldforderung behauptet wird. Wie wir Ihnen bereits gesagt haben, werden sie einfach in ein passwortgeschütztes Archiv verschoben. Ihnen wird erlaubt, das ZIP-Archiv zu öffnen, aber Sie werden sofort ein Pop-up-Fenster bemerken, in dem steht, dass Sie „das Passwort für die verschlüsselte Datei eingeben müssen“, wenn Sie versuchen, diese Dateien zu extrahieren. Es ist nicht so einfach, das Passwort zu knacken, aber wir glauben, dass es möglich sein sollte, ein effektives Tool im Web zu finden, also raten wir davon ab, das Lösegeld zu bezahlen, das diese Infektion verlangt.

Forschern ist es gelungen, herauszufinden, dass die CTB-Faker Ransomware eine Reihe von Bildern hat, die als Hintergrund für Lösegeldforderungen verwendet werden. Außerdem vermuten Experten, dass diese Bedrohung auch zwei verschiedene E-Mail-Adressen (miley@openmailbox.org und help@openmailbox.org) verwendet. Deshalb besteht die Möglichkeit, dass es mehrere unterschiedliche Versionen der CTB-Faker Ransomware gibt und Sie auf irgendeine davon stoßen könnten. Wir können Ihnen versichern, dass alle Versionen dieser Bedrohung Benutzern Geld aus der Tasche ziehen wollen. Alle von ihnen sollten auch .exe-Dateien in %allusersprofile% erstellen und mehrere legitime 7-zip- und WinRar-Dateien im Computer ablegen, um Dateien in das Archiv verlegen zu können. Und zu guter Letzt werden Sie die Datei in %SystemDrive% und untitled.png in %ALLUSERSPROFILE%\untitled.png (oder %ALLUSERSPROFILE%\Application Data\untitled.png) finden. Wie bereits in vorhergehenden Abschnitten gesagt wurde, fungieren diese beiden Dateien als Lösegeldforderungen.

Die CTB-Faker Ransomware gelangt stets heimlich in Computer hinein. Man hat festgestellt, dass sie in erster Linie durch falsche Profilseiten auf Porno-Websites verbreitet wird. Benutzer, die Malware ermöglichen, in Ihren Computer einzudringen, klicken in der Regel auf Links, die „private Striptease-Videos“ öffnen sollen. Leider ist alles, was Sie erhalten, die ZIP-Datei, die die Ausführungsdatei der Ransomware-Infektion enthält. Tatsächlich ist es bekannt, dass Ransomware-Infektionen auch andere Wege finden können, um in Computer einzudringen; z. B. könnten sie in Spam-E-Mails als legitim aussehende Anhänge verbreitet werden. Deshalb müssen Sie stets vorsichtig sein, wenn Sie nicht auf eine andere Infektion stoßen wollen, die in der Lage ist, Ihre personenbezogenen Dateien zu ruinieren.

Ransomware-Infektionen sind lästige und schädliche Bedrohungen, die so schnell wie möglich beseitigt werden müssen. Sie sollten auch der CTB-Faker Ransomware nicht erlauben, in Ihrem Computer zu bleiben, weil sie auch neue Dateien, die Sie erstellen, in das Archiv verschieben könnte. Außerdem werden Sie die lästige Lösegeldforderung jedes Mal, wenn Sie Ihren PC neu starten und diese Bedrohung wieder gestartet wird, auf Ihrem Bildschirm zu sehen bekommen. Da es wirklich schwer ist, Ransomware-Infektionen zu entfernen, empfehlen wir Ihnen, unsere Anleitung zur manuellen Entfernung zu verwenden. Alternativ können Sie einen automatischen Malware-Entferner wie SpyHunter verwenden, um diese Computer-Infektion zu beseitigen. Wenn Sie sich entschließen, das passwortgeschützte Archiv mit kostenloser Software zu knacken, um wieder Zugriff auf Ihre Dateien zu erhalten, sollten Sie das Verzeichnis Users.zip in %SystemDrive% stehen lassen. Mit anderen Worten, es muss nicht gelöscht werden, weil es Ihre Dateien enthält.

Manuelles Entfernen der CTB-Faker Ransomware

  1. Schließen Sie das Fenster, das die Ransomware öffnet, indem Sie auf X klicken.
  2. Drücken Sie Win+E und geben Sie %ALLUSERSPROFILE% in das Adressfeld ein. Drücken Sie die Eingabetaste (Enter).
  3. Löschen Sie die Dateien help.exe, startup.exe und restore.exe.
  4. Gehen Sie zu %ALLUSERSPROFILE%\Application Data.
  5. Wiederholen Sie Schritt 3.
  6. Öffnen Sie %SystemDrive% und löschen Sie die Datei Your personal files are encrypted.txt.
  7. Entfernen Sie untitled.png aus %ALLUSERSPROFILE% oder %ALLUSERSPROFILE%\Application Data.
  8. Starten Sie Ausführen (Win+R).
  9. Geben Sie regedit.exe in das Feld ein und klicken Sie auf OK.
  10. Gehen Sie zuHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  11. Finden und entfernen Sie den Wert help.exe mit den Wertdaten C:\ProgramData\help.exe.
  12. Leeren Sie den Papierkorb und starten Sie Ihren Computer neu.

Antwort schreiben