Cyber_baba2@aol.com Ransomware

Cyber_baba2@aol.com Ransomware

Die Cyber_baba2@aol.com Ransomware gehört zu den kürzlich in Umlauf gebrachten Infektionen, die auf der Crysis-Ransomware-Engine basieren. Wenn Sie die Dateien auf Ihrem Computer verschlüsselt hat, dann sollten Sie sie entfernen, weil es ohnehin zu spät ist, etwas zu unternehmen, um sie zu retten. Zu diesem Zeitpunkt ist diese Ransomware noch nicht geknackt worden und es wird wohl noch etwas Zeit verstreichen, bis Sicherheitsforscher einen Weg finden, um die Dateien zu entschlüsseln. Die Cyber_baba2@aol.com Ransomware fällt nicht umsonst in die Ransomware-Kategorie. Sie verlangt Geld im Austausch für den privaten Entschlüsselungsschlüssel, der sich im Besitz der Cyberkriminellen befindet, die sie erschaffen haben.

Die Cyber_baba2@aol.com Ransomware ist konzipiert, heimlich in Ihren Computer einzudringen, und wenn Sie dies getan hat, scannt sie ihn und beginnt mit der Verschlüsselung der Dateien. Diese bestimmte Ransomware kann fast alle Dateien auf Ihrem Computer verschlüsseln, aber sie wird bestimmte Orte auslassen, wie z. B. %Windows%, %AppData%, %System32% und %Temp%, weil diese Orte Dateien enthalten, die für die Ausführung des Betriebssystems essenziell sind. Die Cyberkriminellen stellen dadurch sicher, dass Ihr Computer funktioniert, damit Sie ihr kostenpflichtiges Entschlüsselungstool zur Entschlüsselung Ihrer Dateien installieren können, oder ist dem etwa nicht so? Wir wollen betonen, dass die Cyberkriminellen für das Entschlüsselungstool viel Geld von Ihnen verlangen können, und womöglich erhalten Sie es nicht einmal, nachdem Sie das Lösegeld bezahlt haben. Deshalb raten wir Ihnen davon ab, dieses Risiko einzugehen, indem Sie es bezahlen.

Unsere Untersuchung hat ergeben, dass diese Ransomware das RSA-Kryptosystem einsetzt, um die Zieldateien zu verschlüsseln. Sie verwendet einen 2048-Bit-Schlüssel (RSA-2048), um sie zu verschlüsseln. Deshalb ist die verwendete Verschlüsselungsmethode ziemlich stark, und es gibt keine kostenlose Entschlüsselungssoftware, die einen derart langen Schlüssel verarbeiten kann. Diese Ransomware erzeugt einen öffentlichen Verschlüsselungsschlüssel und einen privaten Entschlüsselungsschlüssel. Diese müssen zusammenpassen, damit die Entschlüsselung starten kann, aber der private Schlüssel wird an einen Remote-Server gesendet, der von den Entwicklern der Cyber_baba2@aol.com Ransomware betrieben wird. Nachdem diese Ransomware die Dateien verschlüsselt hat, legt sie eine Datei namens How to decrypt your files.txt (Wie Sie Ihre Dateien entschlüsseln.txt) ab, bei der es sich um eine Lösegeldforderung handelt. Die Mitteilung liest sich wie folgt:

HELLO MY FRIEND

ALL YOUR DATA HAS BEEN CRYPTED

YOU SERVER HAS A SECURITY PROBLEM

TO GET YOUR DATA BACK AND PROTECT

YOUR SYSTEM WRITE TO

CYBER_BABA2@AOL.COM

Die Kriminellen wollen, dass Sie sie kontaktieren, indem Sie die angegebene E-Mail-Adresse verwenden. Sie könnten Sie auffordern, zwei kleine verschlüsselte Dateien zu senden, und Sie würden Sie Ihnen als Beweis für die Funktionsfähigkeit Ihres Entschlüsselungsprogramms bereits entschlüsselt zurücksenden. Sie werden Sie auch auffordern, für das Entschlüsselungsprogramm in Form von Bitcoins zu bezahlen. Wir wissen nicht, wie viel sie verlangen werden, aber basierend auf unserer Erfahrung mit ähnlichen Ransomware-Infektionen, denken wir, dass sie zwischen 2 und 4 Bitcoins, bzw. entsprechend zwischen 1018.87 und 2037.74 EUR verlangen werden.

Die Cyber_baba2@aol.com Ransomware wird auch Ihr PC-Desktophintergrundbild zu einem Bild namens wp.jpg ändern, das in C:\Benutzer\Benutzername\Dokumente abgelegt wird. Was dieses Schadprogramm betrifft, haben Tests ergeben, dass es einen völlig beliebigen Namen haben kann, aber in einigen Fällen enthält er das Wort „payload“. Die Ausführungsdatei kann an mehreren verschiedenen Orten abgelegt werden, und Sie müssen vielleicht alle überprüfen. Trotzdem wird sie in den meisten Fällen in %WINDIR%\Syswow64 und %WINDIR%\System32 abgelegt. Außerdem ist diese Ransomware konzipiert, einen Registry-String in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit Wertdaten wie %WINDIR%\Syswow64 zu erstellen. Dieser String erhält ebenfalls einen zufallsgenerierten Namen, d. h. Sie müssen Ihn anhand seiner Wertdaten erkennen.

Wir hoffen, dass Sie diese kurze Beschreibung nützlich gefunden haben. Unser Hauptanliegen in dieser Beschreibung ist, Sie davon abzuhalten, das deftige Lösegeld zu bezahlen, weil die Kriminellen Ihnen das Entschlüsselungsprogramm möglicherweise nicht senden werden. Deshalb empfehlen wir Ihnen, diese Ransomware entweder mithilfe eines Antimalwaretools wie SpyHunter oder unserer zur Verfügung gestellten manuellen Entfernungsanleitung unten zu entfernen.

Anweisungen zur Entfernung

  1. Drücken Sie gleichzeitig die Tasten Windows+E auf Ihrer Tastatur.
  2. Geben Sie in das Feld des daraufhin angezeigten Dateiexplorers die folgenden Dateipfade ein:
    • %WINDIR%\Syswow64
    • %WINDIR%\System32
    • %ALLUSERSPROFILE%\Start Menu\Programs\Startup
    • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
    • %USERPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup
    • %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup
    • %ALLUSERSPROFILE%\Application Data\Microsoft\Windows\Start Menu\Programs\Startup
  3. Finden Sie die Ausführungsdatei und löschen Sie sie.
  4. Schließen Sie das Fenster und leeren Sie den Papierkorb.

Löschen der Registry-Schlüssel

  1. Drücken Sie gleichzeitig die Tasten Windows+E auf Ihrer Tastatur.
  2. Navigieren Sie im Registrierungs-Editor zu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  3. Finden Sie den String mit zufallsgeneriertem Namen mit Wertdaten wie %WINDIR%\Syswow64 und löschen Sie ihn.
  4. Gehen Sie zu HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Wallpapers.
  5. Finden und löschen Sie BackgroundHistoryPath0.
  6. Gehen Sie zu HKCU\Control Panel\Desktop.
  7. Finden Sie Wallpaper, rechtsklicken Sie darauf und klicken Sie auf Ändern.
  8. Löschen SieC:\Users\user\Documents\wp.jpg.
  9. Schließen Sie den Registrierungs-Editor.

Antwort schreiben