Restore@protonmail.ch Ransomware

Restore@protonmail.ch Ransomware

Der Entwickler von Restore@protonmail.ch Ransomware spielt keine Spiele. Diese bösartige Bedrohung ist sehr stark und sie wurde entwickelt, um Sie auf die Knie zu zwingen. Laut den neuesten Informationen ist diese heimtückische Ransomware in der Lage, beinahe 1300 verschiedene Dateiarten zu verschlüsseln. Tatsächlich sind nur die folgenden Dateiarten ausgeschlossen: .am, .bin, .com, .dll, .dlm, .exe, .frozen, .ico, .ini, .link, .locked, manifest, .ngr, .prx, .purge, .sys, .temp und .tmp. Offensichtlich vermeidet diese Bedrohung Systemdateien, da es Ihr Betriebssystem reaktionsfähig bleiben lassen möchte. Sobald sie die Verschlüsselung der persönlichen Dateien beendet hat, wie zum Beispiel Fotos, Dokumente oder Archive, präsentiert sie Ihnen Anweisungen, die Sie angeblich folgen müssen, um den Entschlüsselungscode zu erhalten. Leider ist nicht bekannt, ob dieser Code überhaupt existiert oder ob die Cyberkriminellen Ihnen diesen überhaupt bereitstellen würden, auch wenn Sie all ihre Forderungen erfüllen würden. Verständlicherweise beeilen sich die meisten Benutzer nicht, Restore@protonmail.ch Ransomware zu entfernen, bis sie ihre Dateien zurückhaben.

Laut unseren Malware-Analysten ist die Restore@protonmail.ch Ransomware eine neue Variante der berüchtigten Fantom Ransomware, die wir erst vor einigen Wochen überprüft haben. Genau wie ihr Vorgänger verwendet die bösartige Infektion Spam-E-Mails, um sich selbst zu verbreiten. Ein gefälschtes Dokument wird an eine beschädigte Spam-E-Mail angehängt, und die bösartige Datei stub.exe wird ausgeführt, indem man sie öffnet. Unsere Recherche hat gezeigt, dass diese Datei im Verzeichnis %APPDATA% abgelegt wird. Eine weitere Sache, die die Restore@protonmail.ch Ransomware mit Fantom gemeinsam hat, ist, dass sie einen gefälschten Windows Update Bildschirm verwendet, um Sie abzulenken. Wenn Ihr Bildschirm blau wird und die Meldung „Configuring critical Windows Updates“ („Kritische Windows Updates werden konfiguriert“) erscheint, sollten Sie mit dem Angriff einer Ransomware rechnen. Leider ist dieser Bildschirm ziemlich überzeugend und dies gibt der bösartigen Ransomware Zeit, Ihre Dateien zu verschlüsseln. Gleichzeitig erstellt die Infektion die Datei READ_ME!.hta in jedem Ziel Ordner oder Unterordner. Diese beinhalten APPDATA, Application Data, intel, Microsoft, nvidia, ProgramData, ProgramFiles, Program Files, RECYCLER, Recycle.Bin, RECYCLE.BIN., TEMP, Program Files x86 und Windows.

Laut unseren Forschern verwendet die Restore@protonmail.ch Ransomware wahrscheinlich den Verschlüsselungsalgorithmus RSA-2048, um Ihre persönlichen Dateien zu verschlüsseln. Die beschädigten Dateien erhalten die Erweiterung „.locked“, und sie werden mit Hilfe von base64 umbenannt (zum Beispiel picture.jpg könnte zu „UkVBRF9NRSEuaHRh.locked“ werden). Dadurch macht es die Ransomware schwierig, herauszufinden, welche Dateien verschlüsselt wurden. Sobald der Angriff abgeschlossen ist, wird der Zugriff auf den Desktop aktiviert. Es dauert nicht lange, bis man realisiert, dass etwas nicht richtig läuft, da Ihr regulärer Desktop-Hintergrund eine von den Cyberkriminellen erstellte Benachrichtigung darstellen wird. Hier ist der Auszug.

For restore your files write:
restore@protonmail.ch
if not get answer in 2 hours from: restore@protonmail.ch
use https:bitmsg.me
BM-2cUhQ3orPHtcCKvk2iwCeJnmbSeKLLHdog

Die Datei READ_ME!.hta kann Ihnen weitere Informationen über den Angriff bereitstellen. Wenn Sie diese Datei nicht mehr öffnen können, geben Sie ihr einen neuen Namen mit der Dateierweiterung „.html“. Danach werden Sie keine Probleme haben, die Nachricht über Ihren Webbrowser anzusehen. Laut dieser Nachricht sind die Entwickler von Restore@protonmail.ch Ransomware bereit, Ihnen den Entschlüsselungscode zu verkaufen. Sie werden aufgefordert, eine E-Mail an die angegebene Adresse zu senden und die angegebene ID-Nummer anzugeben. Danach sollten Sie innerhalb von 2 Stunden eine Antwort bezüglich der Bezahlung erhalten. Es ist sehr wahrscheinlich, dass Sie aufgefordert werden, das Lösegeld in Bitcoins mithilfe eines anonymen Zahlungssystems zu bezahlen. Ein Haftungsausschluss in der Nachricht warnt Sie davor, dass Sie nur eine Woche Zeit haben, um aktiv zu werden, und dass der Preis für den Entschlüsselungscode steigen wird, je länger Sie warten. Nun, wir können nicht versprechen, dass Sie den Entschlüsselungscode durch Bezahlung Lösegeld erhalten werden, weshalb wir nicht empfehlen können, den Anweisungen zu folgen. Sie müssen selbst herausfinden, ob Sie das Risiko eingehen wollen.

Es sollte offensichtlich sein, dass es wichtig ist, die Restore@protonmail.ch Ransomware zu löschen. Laut unserer Recherche ist es wahrscheinlich, dass die Infektion sich selbst entfernt, aber wir fügen Anweisungen hinzu, die zeigen, wie man die bösartige Datei .stub.exe eliminiert. Natürlich müssen Sie auch die Datei READ_ME!.hta in jedem Ordner und Unterordner löschen, indem sie sich befindet. Nachdem Sie die Ransomware bereinigt haben, ist es äußerst wichtig, dass Sie Ihren PC mit einem legitimen Malware-Scanner scannen, um sicherzustellen, dass Sie keine Reste oder sonstigen gefährlichen Bedrohungen übersehen haben. An was sie noch denken sollten, ist, wenn Sie Ihr Betriebssystem geschützt hätten, müssten Sie sich jetzt nicht mit Malware herumschlagen. Wenn Sie dies verstehen, stellen Sie sicher, dass Sie so schnell wie möglich eine zuverlässige Antimalware-Software installieren.

Entfernen der Restore@protonmail.ch Ransomware

  1. Tippen Sie die Tasten Win+E gleichzeitig, um den Explorer zu starten.
  2. Geben Sie %APPDATA% in die Adressleiste ein und tippen Sie Enter.
  3. Rechts klicken und Löschen Sie die bösartige Datei namens stub.exe (beachten Sie, dass sich der Name unterscheiden kann).
  4. Löschen Sie jetzt jede Kopie der Datei READ_ME!.hta.
  5. Installieren Sie einen vertrauenswürdigen Malware-Scanner, um nach Resten zu suchen.

Antwort schreiben