Threat Finder Erpressersoftware
Verfasst von Tomas Meskauskas am (aktualisiert)
Was ist Threat Finder?
Threat Finder ist Erpressersoftware, die über gefälschte Downloads (gefälschte Media Player, gefälschte Flash Aktualisierungen, etc.), infizierte E-Mail Nachrichten und besonders über das Anger Exploit Kit verbreitet wird. Der Threat Finder Virus kann alle Windows Betriebssysteme, einschließlich Windows XP, Windows Vista, Windows 7 und Windows 8 befallen.
Sobald das System erfolgreich infiltriert ist, verschlüsselt Threat Finder alle gespeicherten Daten auf der Festplatte, einschließlich *.txt, *.html, *.doc, *.docx, *.jpg, *.png und viele andere. Im Gegensatz zu ähnlichen Infektionen, verändert Threat Finder nicht die Namen der verschlüsselten Dateien, weshalb das einzige Anzeichen für eine Verschlüsselung Ihrer Dateien ist, dass es Ihnen unmöglich ist, sie ordentlich zu öffnen und anzuzeigen.
Nach der Verschlüsselung der Dateien, erzeugt diese Erpressersoftware eine HELP_DECRYPT.HTML Datei auf dem Desktop des Opfers, welche dann mit dem Standardbrowser geöffnet wird. Benutzern wird befohlen, ein Lösegeld von 1,25 BTC in der Bitcoin Währung (ungefähr $300 US) zu zahlen, um die Kontrolle über ihre verschlüsselten Dateien wiederzuerlangen.
Die "help decrypt" Dateien beinhalten Schritt-für-Schritt Anleitungen, wie man das Lösegeld zahlt, wodurch Ihre Dateien verschlüsselt werden. Beachten Sie, dass diese Infektion nicht schwer zu entfernen ist. Die Entschlüsselung der Dateien (verschlüsselt mit der RSA 2048 Verschlüsselung), ist ohne die Zahlung des Lösegelds jedoch unmöglich, da dieser Prozess einen privaten Schlüssel erfordert, der auf den Kommando- und Kontrollservern von Threat Finder gespeichert ist und von Cyberkriminellen verwaltet wird.
Glücklicherweise löscht Threat Finder nicht Ihre Schatten Volumen Kopie (Shadow Volume Copy). Aus diesem Grund ist die beste Lösung, diese Erpressersoftware von Ihrem System zu entfernen und alle Daten durch einen Backup wiederherzustellen.
Die Existenz von CryptoWall, Cryptographic Locker, TeslaCrypt und anderer Erpressersoftware, die Threat Finder ähnlich ist, unterstreicht die Durchführung regelmäßiger Backups Ihrer gespeicherten Daten. Sie sollten wissen, dass die Zahlung des verlangten Lösegelds durch diese Infektion genauso ist, als ob Sie Ihr Geld an Cyberkriminelle überweisen. Damit unterstützen Sie ihr bösartiges Geschäftsmodell, ohne Garantie, dass Ihre Daten entschlüsselt werden.
Name | Threat Finder virus |
Art der Bedrohung | Ransomware, Kryptovirus, Dateiensperre |
Symptome | Auf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden, früher funktionsfähige Dateien haben nun eine andere Erweiterung, z.B. my.docx.locked. Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (normalerweise in Bitcoins), um Ihre Dateien freizuschalten. |
Verbreitungsmethoden | Infizierte E-Mail-Anhänge (Makros), Torrent-Websites, bösartige Werbung. |
Schaden | Alle Dateien sind verschlüsselt und können nicht ohne Lösegeldzahlung geöffnet werden. Zusätzliche Passwortdiebstähle von Trojanern und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden. |
Entfernung | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Erpressersoftware Infektionen können vermieden werden, indem man beim Öffnen von E-Mail Nachrichten genau aufpasst, da Cyberkriminelle verschiedene, ansprechende Überschriften benutzen, um Benutzer dazu zu verleiten, die infizierten Dateien im Anhang der E-Mail zu öffnen. Außerdem werden Erpressersoftware Infektionen oft über persönliche Netzwerke und gefälschte Downloads verbreitet, die mit den infizierten Dateien gebündelt sind.
Um beim Surfen im Internet sicher zu sein, benutzen Sie legitime Antivirus- und Antischadensoftware Programme und wir raten dringend, regelmäßige Backups Ihrer Daten zu erstellen.
Die Threat Finder Erpressersoftware HELP_DECRYPT.HTML Datei:
Nachricht, die bei HELP_DECRYPT.PNG, HELP_DECRYPT.HTML und HELP_DECRYPT.TXT Dateien angezeigt wird:
Was ist mit Ihren Dateien passiert?
Alle Ihre Dateien wurden durch eine starke Verschlüsselung mit RSA-2048 unter Nutzung von Threat Finder verschlüsselt. Weitere Informationen über die Verschlüsselungsschlüssel, die RSA-2048 benutzen, finden Sie hier:
Was bedeutet das?
Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiederkehrbar verändert wurden. Sie können nicht damit arbeiten, sie lesen, oder sehen. Es ist so, wie wenn sie für immer verloren sind. Mit unserer Hilfe können Sie sie jedoch wiederherstellen.
Wie ist das passiert?
Speziell für Sie wurde auf unserem Server ein geheimes Schlüsselpaar RSA-2048 - öffentlich und privat, erzeugt. Ihre gesamten Dateien wurden mit dem öffentlichen Schlüssel verschlüsselt, der von Ihrem Computer über das Internet übertragen wurde. Die Entschlüsselung Ihrer Dateien ist nur mit der Hilfe des privaten Schlüssels und dem Entschlüsselungsprogramm möglich, die sich auf unserem geheimen Server befinden.
Was soll ich tun?
Falls Sie nicht die notwendigen Maßnahmen in der angegebenen Zeit ausführen, werden die Bedingungen zur Beschaffung des privaten Schlüssels leider geändert. Falls Ihnen Ihre Daten wirklich wichtig sind, schlagen wir vor, dass sie keine wertvolle Zeit verschwenden, indem Sie nach einer Lösung suchen, die es nicht gibt.
Dateien, die durch Threat Finder Erpressersoftware verschlüsselt werden:
*.txt, *.html, *.htm, *.css, *.wmv, *.wallt, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Beachten Sie, dass es, während ich diesen Artikel schrieb, keine bekannten Hilfsprogramme gab, die von Threat Finder verschlüsselte Dateien entschlüsseln könnten, ohne das Lösegeld zu zahlen. Indem Sie diesen Entfernungsleitfaden befolgen, werden Sie diese Erpressersoftware von Ihrem Computer entfernen können, aber die betroffenen Dateien werden verschlüsselt bleiben. Wir werden diesen Artikel so bald wie möglich aktualisieren, wenn es weitere Informationen zur Entschlüsselung betroffener Dateien gibt.
Threat Finder Erpressersoftware Entfernung:
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Threat Finder?
- SCHRITT 1. Den Threat Finder Virus im Abgesicherten Modus mit Netzwerktreibern entfernen:.
- SCHRITT 2. Die Threat Finder Erpressersoftware mit Systemwiederherstellung entfernen.
Schritt 1
Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im Abgesicherten Modus. Klicken Sie auf Start, klicken Sei auf Herunterfahren, klicken Sie auf Neustart, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.
Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Windows 8 Nutzer: Starten Sie Windows 8 im Abgesicherten Modus mit Netzwerktreibern - Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem Erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie F5, um im Abgesicherten Modus mit Netzwerktreibern zu starten.
Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Schritt 2
Melden Sie sich mit dem Konto an, das mit der Threat Finder Erpressersoftware befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware Programm herunter. Aktualisieren Sie die Anti-Spyware Software und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.
Falls Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.
Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann:
1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.
2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.
3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.
4. Im geöffenten Fenster klicken Sie auf "Weiter".
5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der Threat Finder Erpressersoftware Virus Ihren PC infiltriert hat).
6. Im geöffneten Fenster klicken Sie auf "Ja".
7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit der empfohlenen Schadensoftware Entfernungssoftware, damit alle Überreste der Threat Finder Dateien eliminiert werden.
Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten Sie versuchen, die Fühere Windows Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Varianten von Threat Finder auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.
Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie die Frühere Versionen Registerkarte. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.
Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten von Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.
Um die Kontrolle über die von Threat Finder verschlüsselten Dateien wiederzuerlangen, können Sie auch ein Programm namens Shadow Explorer probieren. Weitere Informationen zur Benutzung dieses Programms finden Sie hier.
Um Ihren Computer vor Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Antispähsoftware Programm benutzen. Als extra Schutzmethode können Computernutzer ein Programm namens CryptoPrevent benutzen. (CryptoPrevent implantiert künstliche Gruppenrichtlienienobjekte in das Register, um bösartige Programme, wie Threat Finder zu blockieren).
Andere Hilfsprogramme, die dafür bekannt sind Threat Finder Erpressersoftware zu entfernen:
Quelle: https://www.pcrisk.com/removal-guides/8884-threat-finder-ransomware
▼ Diskussion einblenden