FacebookTwitterLinkedIn

Threat Finder Erpressersoftware

Auch bekannt als: Threat Finder virus
Typ: Ransomware
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist Threat Finder?

Threat Finder ist Erpressersoftware, die über gefälschte Downloads (gefälschte Media Player, gefälschte Flash Aktualisierungen, etc.), infizierte E-Mail Nachrichten und besonders über das Anger Exploit Kit verbreitet wird. Der Threat Finder Virus kann alle Windows Betriebssysteme, einschließlich Windows XP, Windows Vista, Windows 7 und Windows 8 befallen.

Sobald das System erfolgreich infiltriert ist, verschlüsselt Threat Finder alle gespeicherten Daten auf der Festplatte, einschließlich *.txt, *.html, *.doc, *.docx, *.jpg, *.png und viele andere. Im Gegensatz zu ähnlichen Infektionen, verändert Threat Finder nicht die Namen der verschlüsselten Dateien, weshalb das einzige Anzeichen für eine Verschlüsselung Ihrer Dateien ist, dass es Ihnen unmöglich ist, sie ordentlich zu öffnen und anzuzeigen.

Nach der Verschlüsselung der Dateien, erzeugt diese Erpressersoftware eine HELP_DECRYPT.HTML Datei auf dem Desktop des Opfers, welche dann mit dem Standardbrowser geöffnet wird. Benutzern wird befohlen, ein Lösegeld von 1,25 BTC in der Bitcoin Währung (ungefähr $300 US) zu zahlen, um die Kontrolle über ihre verschlüsselten Dateien wiederzuerlangen.

Die "help decrypt" Dateien beinhalten Schritt-für-Schritt Anleitungen, wie man das Lösegeld zahlt, wodurch Ihre Dateien verschlüsselt werden. Beachten Sie, dass diese Infektion nicht schwer zu entfernen ist. Die Entschlüsselung der Dateien (verschlüsselt mit der RSA 2048 Verschlüsselung), ist ohne die Zahlung des Lösegelds jedoch unmöglich, da dieser Prozess einen privaten Schlüssel erfordert, der auf den Kommando- und Kontrollservern von Threat Finder gespeichert ist und von Cyberkriminellen verwaltet wird.

Glücklicherweise löscht Threat Finder nicht Ihre Schatten Volumen Kopie (Shadow Volume Copy). Aus diesem Grund ist die beste Lösung, diese Erpressersoftware von Ihrem System zu entfernen und alle Daten durch einen Backup wiederherzustellen.

Threat Finder virus

Die Existenz von CryptoWall, Cryptographic Locker, TeslaCrypt und anderer Erpressersoftware, die Threat Finder ähnlich ist, unterstreicht die Durchführung regelmäßiger Backups Ihrer gespeicherten Daten. Sie sollten wissen, dass die Zahlung des verlangten Lösegelds durch diese Infektion genauso ist, als ob Sie Ihr Geld an Cyberkriminelle überweisen. Damit unterstützen Sie ihr bösartiges Geschäftsmodell, ohne Garantie, dass Ihre Daten entschlüsselt werden.

Zusammenfassung der Bedrohung:
Name Threat Finder virus
Art der Bedrohung Ransomware, Kryptovirus, Dateiensperre
Symptome Auf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden, früher funktionsfähige Dateien haben nun eine andere Erweiterung, z.B. my.docx.locked. Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (normalerweise in Bitcoins), um Ihre Dateien freizuschalten.
Verbreitungsmethoden Infizierte E-Mail-Anhänge (Makros), Torrent-Websites, bösartige Werbung.
Schaden Alle Dateien sind verschlüsselt und können nicht ohne Lösegeldzahlung geöffnet werden. Zusätzliche Passwortdiebstähle von Trojanern und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden.
Entfernung

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Windows herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Erpressersoftware Infektionen können vermieden werden, indem man beim Öffnen von E-Mail Nachrichten genau aufpasst, da Cyberkriminelle verschiedene, ansprechende Überschriften benutzen, um Benutzer dazu zu verleiten, die infizierten Dateien im Anhang der E-Mail zu öffnen. Außerdem werden Erpressersoftware Infektionen oft über persönliche Netzwerke und gefälschte Downloads verbreitet, die mit den infizierten Dateien gebündelt sind.

Um beim Surfen im Internet sicher zu sein, benutzen Sie legitime Antivirus- und Antischadensoftware Programme und wir raten dringend, regelmäßige Backups Ihrer Daten zu erstellen.


Die Threat Finder Erpressersoftware HELP_DECRYPT.HTML Datei:

Threat Finder decrypt screen

Nachricht, die bei HELP_DECRYPT.PNG, HELP_DECRYPT.HTML und HELP_DECRYPT.TXT Dateien angezeigt wird:

Was ist mit Ihren Dateien passiert?
Alle Ihre Dateien wurden durch eine starke Verschlüsselung mit RSA-2048 unter Nutzung von Threat Finder verschlüsselt. Weitere Informationen über die Verschlüsselungsschlüssel, die RSA-2048 benutzen, finden Sie hier:
Was bedeutet das?
Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiederkehrbar verändert wurden. Sie können nicht damit arbeiten, sie lesen, oder sehen. Es ist so, wie wenn sie für immer verloren sind. Mit unserer Hilfe können Sie sie jedoch wiederherstellen.
Wie ist das passiert?
Speziell für Sie wurde auf unserem Server ein geheimes Schlüsselpaar RSA-2048 - öffentlich und privat, erzeugt. Ihre gesamten Dateien wurden mit dem öffentlichen Schlüssel verschlüsselt, der von Ihrem Computer über das Internet übertragen wurde. Die Entschlüsselung Ihrer Dateien ist nur mit der Hilfe des privaten Schlüssels und dem Entschlüsselungsprogramm möglich, die sich auf unserem geheimen Server befinden.
Was soll ich tun?
Falls Sie nicht die notwendigen Maßnahmen in der angegebenen Zeit ausführen, werden die Bedingungen zur Beschaffung des privaten Schlüssels leider geändert. Falls Ihnen Ihre Daten wirklich wichtig sind, schlagen wir vor, dass sie keine wertvolle Zeit verschwenden, indem Sie nach einer Lösung suchen, die es nicht gibt.

Dateien, die durch Threat Finder Erpressersoftware verschlüsselt werden:

*.txt, *.html, *.htm, *.css, *.wmv, *.wallt, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Beachten Sie, dass es, während ich diesen Artikel schrieb, keine bekannten Hilfsprogramme gab, die von Threat Finder verschlüsselte Dateien entschlüsseln könnten, ohne das Lösegeld zu zahlen. Indem Sie diesen Entfernungsleitfaden befolgen, werden Sie diese Erpressersoftware von Ihrem Computer entfernen können, aber die betroffenen Dateien werden verschlüsselt bleiben. Wir werden diesen Artikel so bald wie möglich aktualisieren, wenn es weitere Informationen zur Entschlüsselung betroffener Dateien gibt.

Threat Finder Erpressersoftware Entfernung:

Umgehende automatische Entfernung von Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im Abgesicherten Modus. Klicken Sie auf Start, klicken Sei auf Herunterfahren, klicken Sie auf Neustart, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Starten Sie Windows 8 im Abgesicherten Modus mit Netzwerktreibern - Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem Erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie F5, um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das mit der Threat Finder Erpressersoftware befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware Programm herunter. Aktualisieren Sie die Anti-Spyware Software und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Falls Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann:

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffenten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der Threat Finder Erpressersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit der empfohlenen Schadensoftware Entfernungssoftware, damit alle Überreste der Threat Finder Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten Sie versuchen, die Fühere Windows Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Varianten von Threat Finder auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie die Frühere Versionen Registerkarte. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten von Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die von Threat Finder verschlüsselten Dateien wiederzuerlangen, können Sie auch ein Programm namens Shadow Explorer probieren. Weitere Informationen zur Benutzung dieses Programms finden Sie hier.

shadow explorer screenshot

Um Ihren Computer vor Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Antispähsoftware Programm benutzen. Als extra Schutzmethode können Computernutzer ein Programm namens CryptoPrevent benutzen. (CryptoPrevent implantiert künstliche Gruppenrichtlienienobjekte in das Register, um bösartige Programme, wie Threat Finder zu blockieren).

cryptoprevent screenshot

Andere Hilfsprogramme, die dafür bekannt sind Threat Finder Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/8884-threat-finder-ransomware

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Wie man Infektionen vermeidet
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
Threat Finder virus QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für Threat Finder virus auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Windows-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Windows herunterladen

Plattform: Windows

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.