JS.Crypto Ransomware

JS.Crypto Ransomware

JS.Crypto Ransomware ist eine Anwendung, die Ihre persönlichen Dateien verschlüsseln und dann verlangen soll, dass Sie ein Lösegeld im Austausch für den Entschlüsselungsschlüssel zahlen. Es ist zwingend erforderlich, diese Infektion zu entfernen, weil sie Ihren Computer vollständig sperren oder einen Absturz erzwingen kann. Die traurige Wahrheit ist, dass es vielleicht unmöglich ist, Ihre persönlichen Dateien, sobald sie erst einmal verschlüsselt worden sind, wiederherzustellen, ohne die Cyber-Kriminellen zu bezahlen. Allerdings gibt es eigentlich keine Garantie, dass Sie den Entschlüsselungsschlüssel erhalten werden, wenn Sie das Lösegeld zahlen. Wir raten Ihnen dringend, sich nicht von diesen Kriminellen einschüchtern zu lassen, da Opfer, die dabei mitspielen, nur Ihre Gier schüren.

Software as a Service (oder SaaS) ist ein Software-Lizenzierungs- und Delivery-Modell, bei dem Software auf Abonnementbasis lizenziert wird. Meist können Benutzer auf SaaS zugreifen, indem ein Thin Client über einen Web-Browser verwendet wird. Aufgrund der Effektivität des „Software as a Service“-Modells, haben Malware-Entwickler ebenfalls begonnen, es für die Verbreitung ihrer Malware zu verwenden. Deshalb sind wir 2015 Zeuge des Auftretens neuer Malware und mehrerer „Ransomware as a Service (RaaS)“-Kampagnen geworden, wie z. B. Tox Ransomware und Radamant Ransomware. Die JS.Crypto Ransomware ist der neueste Zugang zu dieser Branche von Ransomware, und wir würden gerne etwas Licht darauf werfen.

Möchtegern-Kriminelle können Zugriff auf die JS.Crypto Ransomware erhalten, indem sie eine Bitcoin-Adresse auf einem versteckten Server im Tor-Netzwerk eingeben. Nach Eingabe der Adresse wird den zukünftigen Ganoven eine einfache Administrationsoberfläche angezeigt. Dort können sie den Ransomware-Client konfigurieren, indem sie die Anzahl von Bitcoins ändern, die er verlangen wird, sowie andere Einstellungen vornehmen, wie z. B. fingierte Mitteilungsfelder erstellen. Diese fingierten Mitteilungsfelder können als kritische Fehler, gelbes Ausrufezeichen und weiße Informationen in Erscheinung treten.

Nach dem Anpassen der Ransomware können Cyber-Kriminelle die neu erzeugte Infektion herunterladen, indem sie auf Download client.scr klicken. Die Malware-Datei ist mehr als 22 MB groß, was ziemlich seltsam ist, da die Größe der meisten Malware-Dateien gewöhnlich zehn mal kleiner ist. Wir haben festgestellt, dass der Client der JS.Crypto Ransomware in einem selbst-extrahierenden WinRar-Archiv eingepackt ist. Der Dreh dabei ist, dass diese Malware eine Script-Sprache enthält, die das Archiv automatisch extrahiert, nachdem man darauf doppelgeklickt hat. Es ist interessant, dass das Script bewirkt, dass der gesamte Inhalt des Archivs in einen temporären Ordner des Benutzers extrahiert wird und sich dann zu %AppData%\Chrome Browser kopiert.

Zum Inhalt dieses Archivs gehören chrome (enthält die GPL-Lizenzvereinbarung), chrome.exe (dies ist ein NW.js-Programmpaket, das den Hauptcode enthält), ffmpegsumo.dll, nw.pak, icudtl.dat, locales, rundll32.exe (diese Datei stellt eigentlich eine umbenannte Kopie des Tor-Clients dar), s.exe (eine umbenannte Kopie der Optimum-X-Verknüpfung), g, msgbox.vbs und u.vbs. Es ist interessant festzustellen, dass die chrome.exe-Datei eine NW.js-Anwendung ist, die Entwicklern ermöglicht, unter Verwendung von JavaScript Desktop-Programme für Windows, Linux und MacOS zu erstellen.

Sobald die JS.Crypto Ransomware ausgeführt wurde, verwendet sie die s.exe-Datei, um eine Verknüpfung namens ChromeService im Start-Ordner zu erstellen. Dieser Service wird jedes Mal ausgeführt, wenn das System gestartet wird. Sobald Ihr System gestartet ist, führt diese Malware den gebündelten Tor-Client aus und stellt eine Verbindung zu ihrem Command-and-Control-Server auf Port 85 her. Dieser Server verwaltet die Bitcoin-Adresse, an die das Lösegeld geschickt wird, und liefert im Austausch dazu den Entschlüsselungsschlüssel.

Die JS.Crypto Ransomware kann eingestellt werden, eine Lösegeldforderung anzuzeigen, die Sie informiert, dass alle Ihre persönlichen Dateien verschlüsselt worden sind. Diese Forderung zeigt auch, wie viel Zeit Sie für die Zahlung haben, bevor sich die Gebühr erhöht. Diese Ransomware hat den Zweck, Dateien zu verschlüsseln, einschließlich, jedoch nicht ausschließlich, .jpg, .docx, .mp3, .avi und .dat. Insgesamt kann diese Ransomware mehr als 120 Dateiarten verschlüsseln. Es erübrigt sich zu sagen, dass viele Ihrer Dateien für immer verloren sein werden. Wir haben festgestellt, dass die JS.Crypto Ransomware AES mit einem 128-Bit-Schlüssel verwendet. Dieser Schlüssel wird unter Verwendung des RSA-Algorithmus verschlüsselt, der gegenwärtig nicht geknackt werden kann. Wenn Ihre Dateien also von der JS.Crypto Ransomware verschlüsselt worden sind, dann haben Sie zwei Möglichkeiten. Die erste ist, die Cyber-Kriminellen zu bezahlen, damit sie Ihnen den Entschlüsselungsschlüssel geben, und die zweite ist, Ihre Dateien von einem Sicherungslaufwerk wiederherzustellen.

Natürlich raten wir davon ab, einen großen Geldbetrag für einen Entschlüsselungsschlüssel zu zahlen, den Sie vielleicht nicht einmal erhalten werden, doch es bleibt Ihnen überlassen, zu entscheiden, ob Ihre Dateien das Risiko wert sind. Wenn Sie sich dazu entschließen, das Lösegeld zu zahlen, können Sie Ihre Dateien vielleicht wiederherstellen, doch die Dateien dieser Ransomware werden nicht verschwinden. Sie müssen sie also selbst löschen. Deshalb raten wir Ihnen, unser zur Verfügung gestelltes Anti-Malware-Tool namens SpyHunter zu verwenden, das alle Spuren der JS.Crypto Ransomware entfernen und Ihr System vor zukünftigen Infektionen schützen wird.

Wie man die JS.Crypto Ransomware manuell entfernen kann

Beenden Sie den Prozess

  1. Drücken Sie gleichzeitig Strg+Shift+Esc.
  2. Wählen Sie den Prozesse-Tab und finden Sie chrome.exe.
  3. Rechtsklicken Sie darauf und klicken Sie auf Prozess beenden.

Löschen Sie die versteckten Dateien

  1. Drücken Sie gleichzeitig die Windows-Taste+E.
  2. Geben Sie %AppData% in das Adressfeld ein und klicken Sie auf OK.
  3. Finden Sie den Ordner namens Chrome Browser.
  4. Rechtsklicken Sie darauf und Löschen Sie ihn.
  5. Geben Sie dann %AppData%\Microsoft\Windows\Start Menu\Programs\Startup in das Adressfeld ein.
  6. Finden Sie die Datei namens ChromeService.Ink.
  7. Rechtsklicken Sie darauf und Löschen Sie sie.

Antwort schreiben