So entfernen Sie die HYFLOCK Ransomware

Ransomware

Auch bekannt als: HYFLOCK Virus

Schadenshöhe:

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.

JETZT ENTFERNEN

Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Was für eine Malware ist HYFLOCK?

HYFLOCK ist Ransomware, die wir bei der Untersuchung von Malware-Beispielen entdeckt haben, die auf der VirusTotal-Plattform eingereicht wurden. Wie andere Ransomware verschlüsselt sie Dateien auf dem Computer des Opfers, macht sie unzugänglich und fordert eine Zahlung im Austausch für die Entschlüsselung.

Auf unserem Testcomputer hängte HYFLOCK die Erweiterung „.locked" an jede verschlüsselte Datei an. Eine ursprünglich „1.jpg" benannte Datei wurde zu „1.jpg.locked", „2.png" wurde zu „2.png.locked" und so weiter. Nach Abschluss der Verschlüsselung hinterließ sie eine Lösegeldforderung in einer HTML-Datei namens „How to Restore My Files.html".

Screenshot der von der HYFLOCK-Ransomware verschlüsselten Dateien:

Von der HYFLOCK-Ransomware verschlüsselte Dateien (.locked-Erweiterung)

Überblick über die HYFLOCK-Lösegeldforderung

Die Lösegeldforderung ist eine HTML-Datei mit dem Namen „How to Restore My Files.html". Sie informiert die Opfer darüber, dass ihre Dateien mit HC-128-Verschlüsselung gesperrt wurden und dass nur die Angreifer den Entschlüsselungsschlüssel besitzen, der zum Wiederherstellen des Zugriffs erforderlich ist.

Um die Angreifer zu kontaktieren, wird den Opfern mitgeteilt, dass sie den qTox-Messaging-Client zusammen mit dem Tor Browser installieren, die Tox-Kontakt-ID der Angreifer hinzufügen und eine Nachricht mit ihrer eindeutigen Opfer-ID senden sollen. Die Notiz enthält Schritt-für-Schritt-Installationsanweisungen für Windows, Linux und macOS.

Die Notiz warnt die Opfer außerdem davor, keine Selbstentschlüsselung zu versuchen, verschlüsselte Dateien nicht zu ändern oder zu löschen, keine Wiederherstellungstools von Drittanbietern zu verwenden und ihr System nicht neu zu starten. Es wird dringend empfohlen, sich innerhalb von 48 Stunden zu melden, mit der Andeutung, dass Verzögerungen das Risiko eines dauerhaften Datenverlusts bergen.

Überblick über die HYFLOCK-Ransomware

Bei den meisten Ransomware-Angriffen ist es nicht möglich, verschlüsselte Dateien ohne die Mitwirkung der Angreifer wiederherzustellen. Ausnahmen bestehen nur in Fällen, in denen die Ransomware mit schwerwiegenden Fehlern programmiert wurde, die die Verschlüsselung angreifbar machen.

Selbst wenn die Opfer das Lösegeld zahlen, gibt es keine Garantie dafür, dass sie eine funktionierende Entschlüsselungssoftware erhalten. Cyberkriminelle kassieren routinemäßig das Geld und verschwinden, ohne etwas zu liefern. Aus diesem Grund raten wir dringend von einer Zahlung ab.

Das Entfernen von HYFLOCK von einem infizierten System ist wichtig, um weiteren Schaden zu verhindern, aber das Entfernen allein kann bereits verschlüsselte Dateien nicht wiederherstellen. Die zuverlässigste Wiederherstellungsoption ist das Wiederherstellen von Dateien aus einer Sicherung, die vor der Infektion erstellt wurde.

Sicherungen sollten an mindestens zwei verschiedenen Orten gespeichert werden - beispielsweise auf einem Offline-Speichergerät und einem entfernten Server -, damit ein einzelner Angriff nicht alle Kopien auf einmal vernichten kann.

Ransomware im Allgemeinen

Wir haben im Laufe der Jahre Tausende von Ransomware-Programmen analysiert. Das Kernziel ändert sich nie: Dateien sperren und für deren Rückgabe Geld verlangen. Die Hauptunterschiede zwischen den Varianten liegen in den symmetrischen oder asymmetrischen Verschlüsselungsalgorithmen, die sie verwenden, und in der Höhe des geforderten Lösegelds.

Weitere Beispiele für Ransomware sind SUCKS 2 SUCK, TuakTOX und BL4CK SP1D3R.

Wie hat Ransomware meinen Computer infiziert?

Ransomware gelangt am häufigsten über Phishing-E-Mails auf den Computer. Diese Nachrichten enthalten schädliche Anhänge - wie Microsoft Office-Dokumente, Archive oder ausführbare Dateien - oder Links, die zu Websites führen, welche unbemerkt Malware auf den Rechner des Besuchers herunterladen.

Trojaner sind eine weitere gängige Verbreitungsmethode. Sie können Ransomware unauffällig installieren, nachdem sie sich Zugriff auf ein System verschafft haben. Gefälschte Software-Updates, schädliche Werbung und raubkopierte Software dienen ebenfalls regelmäßig als Verbreitungskanäle.

Das Herunterladen von Software aus inoffiziellen Quellen - Peer-to-Peer-Netzwerken, kostenlosen Hosting-Plattformen oder Filesharing-Websites von Drittanbietern - erhöht das Infektionsrisiko erheblich. Nutzen Sie nur offizielle Entwickler-Websites und vertrauenswürdige App-Stores, um Software zu beziehen, und vermeiden Sie Cracks und inoffizielle Aktivierungstools grundsätzlich.

Bedrohungsübersicht:
Name HYFLOCK Virus
Bedrohungstyp Ransomware, Krypto-Virus, Dateisperre
Erweiterung Verschlüsselter Dateien .locked
Lösegeldforderung How to Restore My Files.html
Kostenloser Entschlüsseler Verfügbar? Nein
Kontakt Zu Den Cyberkriminellen qTox (Kontakt-ID in der Lösegeldforderung angegeben)
Erkennungsnamen Avast (Win64:MalwareX-gen [Ransom]), Combo Cleaner (Gen:Variant.Mikey.188834), ESET-NOD32 (Win64/TrojanDropper.Agent.XG Trojan), Kaspersky (VHO:Trojan-PSW.Win32.Greedy.gen), Microsoft (Trojan:Win32/Sonbokli.A!cl), Vollständige Liste Der Erkennungen (VirusTotal)
Symptome Auf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden, zuvor funktionsfähige Dateien haben jetzt eine andere Erweiterung (zum Beispiel my.docx.locked). Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern die Zahlung eines Lösegelds (in der Regel in Bitcoins), um Ihre Dateien zu entsperren.
Verbreitungsmethoden Infizierte E-Mail-Anhänge (Makros), Torrent-Websites, schädliche Werbung.
Schaden Alle Dateien sind verschlüsselt und können ohne Zahlung eines Lösegelds nicht geöffnet werden. Zusätzliche passwortstehlende Trojaner und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden.
Malware-Entfernung (Windows)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.

Combo Cleaner herunterladen

Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Wie können Sie sich vor Ransomware-Infektionen schützen?

Seien Sie vorsichtig beim Surfen im Internet und beim Umgang mit E-Mails. Öffnen Sie Anhänge nur oder folgen Sie Links nur, wenn Sie sicher sind, dass der Absender seriös ist. Laden Sie Software ausschließlich von offiziellen Websites oder vertrauenswürdigen App-Stores herunter, niemals von Drittanbieterquellen.

Halten Sie Software und Betriebssysteme mit den offiziellen integrierten Tools auf dem neuesten Stand und vermeiden Sie Aktivierungs-Patches oder Schlüsselgeneratoren von inoffiziellen Websites. Wenn Ihr Computer bereits mit HYFLOCK infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um diese Ransomware automatisch zu entfernen.

Erscheinungsbild der HTML-Lösegeldforderung von HYFLOCK („How to Restore My Files.html"):

HYFLOCK-Ransomware-Lösegeldforderung (How to Restore My Files.html)

Text in dieser Lösegeldforderung:

HYFLOCK
Security Division :: Enterprise Encryption System
► SYSTEM ENCRYPTION PROTOCOL :: v2.7.1
► STATUS :: ALL FILES SECURED
► NODE ::

⚠ CRITICAL SECURITY NOTICE
IMMEDIATE ACTION REQUIRED
DO NOT attempt to decrypt files yourself
DO NOT modify or delete encrypted files
DO NOT use third-party decryption tools
DO NOT reboot or shut down your system
Contact us within 48 hours to avoid data loss

Your files have been secured with military-grade HC-128 encryption. They are NOT deleted, only inaccessible without the unique decryption key.

◈ DECRYPTION CREDENTIALS
TOX CONTACT (PRIMARY)
[-]
⏱ Response time: 2-24 hours. Save your Victim ID - it is required for decryption.

Teilen:

facebook
X (Twitter)
linkedin
Link kopieren
Tomas Meskauskas

Tomas Meskauskas

Erfahrener Sicherheitsforscher, professioneller Malware-Analyst

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.

▼ Diskussion einblenden

Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.

Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Spenden