ODIN Ransomware

ODIN Ransomware

Die ODIN Ransomware ist eine veröffentlichte Variante der berüchtigten Locky Ransomware, die Dateien unter Verwendung des AES- und RSA-Verschlüsselungsalgorithmus verschlüsselt. Es ist äußerst wichtig, diese Infektion zu entfernen, denn sobald sie Ihre Dateien verschlüsselt hat, werden Sie nicht in der Lage sein, auf sie zuzugreifen, und sie sind möglicherweise unwiederbringlich ruiniert, weil nur eine geringe Wahrscheinlichkeit besteht, dass Sie in der Lage sein werden, sie zu entschlüsseln. Die Entwickler dieser Ransomware bieten Ihnen jedoch an, einen Entschlüsselungsschlüssel zu kaufen, der Ihre Dateien entschlüsseln soll, wobei es jedoch keine Garantie gibt, dass er funktionieren wird.

Bevor wir weiter auf die Funktionsweise dieser Ransomware eingehen, ist es wichtig zu wissen, wie sie verbreitet wird, um zu verhindern, dass sie Ihren PC oder den Computer von jemandem, den Sie kennen, infiziert. Die Verbreitungskampagne ist ziemlich direkt, und zwar haben wir herausgefunden, dass die ODIN Ransomware zurzeit über schädliche E-Mails verbreitet wird. Ihr Entwickler hat einen Server eingerichtet, der E-Mail-Spam an zufällig ausgewählte E-Mail-Adressen sendet. Zuvor wurde die Locky Ransomware in E-Mails verbreitet, die ein angehängtes Microsoft-Word-Dokument mit schädlichen Makros enthielten. Wenn Sie Makros nicht aktiviert hatten, dann wies sie das Dokument darauf hin, dass Sie sie aktivieren müssen, um den Text zu sehen. Wenn Sie dies taten, luden die Makros die Ausführungsdatei dieser Ransomware herunter und führten sie aus.

Die ODIN Ransomware wird jedoch auf eine völlig andere Weise verbreitet. Obwohl der Entwickler immer noch schädliche E-Mails verschickt, enthalten diese nicht mehr ein schädliches Word-Dokument. Stattdessen hat der Entwickler sich entschieden, eine schädliche JavaScript-Datei in die E-Mails einzuschließen. Wenn Sie das Archiv öffnen und die angehängte JavaScript-Datei ausführen, lädt sie einen verschlüsselten DLL-Installer herunter und entschlüsselt diesen. Danach führt sie ihn mithilfe der Rundll32.exe (eine legitime Datei) automatisch aus. Wir haben festgestellt, dass der Befehl, der verwendet wird, um die DLL zu starten, „rundll32.exe %Temp%\{Name der DLL},qwerty“ lautet.

Sobald sie ausgeführt ist, scannt diese Datei Ihren Computer nach belangvollen Dateien, wie z. B. xml, .txt, .csv, .uot, .rtf, .pdf, .mkv, .mov, .avi und .asf. Unsere Untersuchung hat ergeben, dass diese Ransomware das AES-128- und RSA-248-Verschlüsselungssystem verwendet, um die Dateien zu verschlüsseln, d. h. ihre Entschlüsselung ist schwierig oder sogar unmöglich. Das bedeutet jedoch nicht, dass sie alle Dateien in jedem einzelnen Verzeichnis auf Ihrem Computer verschlüsseln wird. Tests haben gezeigt, dass sie konzipiert ist, die Ordner tmp, winnt, Application Data, AppData, Programme (x86), Programme, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot und Windows auszulassen. Sie ist programmiert, bei der Verschlüsselung die Erweiterung .ODIN an die Dateien anzuhängen. Wir haben auch festgestellt, dass sie auch programmiert ist, die Schattenkopien der Dateien mithilfe des Befehls „vssadmin.exe Delete Shadows /All /Quiet“ zu löschen. Sobald die Verschlüsselung abgeschlossen ist, lädt die ODIN Ransomware eine Textdatei namens {zufallsgenerierte Zahl}_HOWDO_text.html auf den Desktop ab, die Informationen darüber enthält, wie man das Lösegeld bezahlt, sowie Ihre persönliche ID. Sie lädt auch eine Bilddatei namens _HOWDO_text.bmp ab, die genau dieselben Informationen zur Verfügung stellt. Außerdem ist diese Ransomware so eingerichtet, dass sie mehrere Registry-Strings erstellt, die in der nachstehenden Entfernungsanleitung aufgeführt sind.

Die Entwickler dieser Ransomware wollen, dass Sie ein deftiges Lösegeld bezahlen, um Ihre Dateien zurückzuerhalten. Die Lösegeldforderung verlangt von Ihnen, den Tor-Browser herunterzuladen und dann unter Verwendung dieses Browsers zur angegebenen Web-Adresse zu gehen. Diese Website enthält Anweisungen darüber, wie Sie das Lösegeld mithilfe der Kryptowährung Bitcoin bezahlen. Zum Zeitpunkt unserer Untersuchung verlangte die ODIN Ransomware, dass Sie 268,62 EUR bezahlen, was ein beträchtlicher, wenn auch nicht ungeheuerlicher, Geldbetrag ist. Dennoch sollten Sie darauf verzichten, ihn zu bezahlen, weil Sie den versprochenen Schlüssel sehr wahrscheinlich nicht erhalten werden.

Zum Schluss ist noch erwähnenswert, dass die ODIN Ransomware eine sehr schädliche Infektion ist, die Ihre wichtigsten Dateien verschlüsselt und verlangt, dass Sie einen Schlüssel kaufen, um sie zu entschlüsseln. Leider gibt es zurzeit keinen Entschlüsselungsschlüssel, aber Sie können warten, bis vielleicht eines Tages einer erstellt wird. Sie müssen jedoch trotzdem diese Ransomware aus Ihrem PC entfernen, um ihn weiterhin verwenden zu können. Sie können sie manuell löschen oder dies SpyHunter für Sie erledigen lassen. Sie können dieses Programm auch verwenden, um die Dateien zu entdecken, und dies kann nützlich sein, da die Ausführungsdatei dieser Ransomware einen zufallsgenerierten Namen haben kann. Beachten Sie, dass Sie zuerst die Ausführungsdatei löschen müssen, und dann erst mit der Entfernung des Registry-Schlüssels weitermachen können, denn, wenn Sie dies in umgekehrter Reihenfolge tun, wird diese Ransomware die Dateien ein zweites Mal verschlüsseln.

Anweisungen zur Entfernung

  1. Halten Sie gleichzeitig die Tasten Windows+E gedrückt.
  2. Geben Sie in der Adresszeile des Datei-Explorers %Temp% ein.
  3. Finden Sie die Ausführungsdatei namens svchost.exe (könnte auch anders benannt sein).
  4. Rechtsklicken Sie darauf und klicken Sie auf Löschen.
  5. Geben Sie dann %Temp%\MicroImageDir ein.
  6. Finden Sie _HOWDO_text.bmp und löschen Sie es.
  7. Gehen Sie dann zum Desktop und löschen Sie {zufallsgenerierte Zahl}_HOWDO_text.html.
  8. Leeren Sie den Papierkorb.

Löschen Sie die Registry-Schlüssel

  1. Halten Sie gleichzeitig die Tasten Windows+R gedrückt.
  2. Gehen Sie im Registrierungs-Editor zu HKCU\Software.
  3. Finden und löschen Sie den Locky-Registry-Schlüssel:
  4. Gehen Sie dann zu HKCU\Control Panel\Desktop.
  5. Finden Sie Wallpaper, rechtsklicken Sie darauf und klicken Sie auf Ändern.
  6. Löschen Sie C:\Benutzer\{Benutzername}\Desktop und klicken Sie auf OK.

Antwort schreiben