*.thor Erpressersoftware

Auch bekannt als: Thor virus
Verbreitung: Niedrig
Schadenshöhe: Mittel

*.thor Erpresser Software Entfernungsanleitung

Was ist *.thor?

*.thor ist eine neue Version von Locky Erpresser Software. Die Entwickler verbreiten diese Erpresser Software über Spam Emails. Nach der Infiltration verschlüsselt *.thor verschiedene Dateien mit asymmetrisher Kryptografie. Während der Verschlüsselung nennt diese Erpresser Software Dateien um, indem sie das "[8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].thor" Muster benutzt. Zum Beispiel könnte die verschlüsselte Datei in D56F3331-380D-9317-3F9C-6CE2C2BB051.thor" umbenannt werden. Sobald die Dateien verschlüsselt sind, platziert *.thor zwei Dateien (.html und .bmp, beide "_WHAT_is" genannt) auf dem Desktop und verändert den Desktop Hintergrund.

Die .html und .bmp Dateien enthalten eine identische Lösegeld-fordernde Nachricht, die besagt, dass die Dateien mit den RSA-2048 und AES-128 Verschlüsselungsalgorithmen verschlüsselt wurden. Die Nachricht besagt auch, dass die Dateien nur mit einem privaten Schlüssel mit einem Entschlüsselungstool wiederhergestellt werden können. Wie oben erwähnt, verschlüsselt *.thor Dateien mit asymmetrischer Kryptografie. Daher werden zwei Schlüssel während der Verschlüsselung erzeugt (öffentlich [Verschlüsselung] und privat [Entschlüsselung]). Der private Schlüssel wird auf externen Servern gespeichert, die Cyberkriminellen gehören. Behauptungen, dass die Entschlüsselung ohne den privaten Schlüssel unmöglich ist, stimmen leider. Um ihre Dateien wiederherzustellen, müssen Opfer angeblich ein Lösegeld von 3 Bitcoin bezahlen (momentan ungefähr $1952), aber die Zahlung ist keine Garantie dafür, dass ihre Dateien jemals wieder entschlüsselt werden. Cyberkriminelle ignorieren Opfer oft trotz der geleisteten Zahlungen. Es ist sehr wahrscheinlich, dass Sie betrogen werden, wenn Sie bezahlen. Aus diesem Grund raten wir Ihnen dringend, alle Aufforderungen zu zahlen oder diese Leute zu kontaktieren, zu ignorieren. Leider gibt es momentan keine Tools, die fähig sind, betroffene Datein kostenlos wiederherzustellen. Die einzige Lösung ist Ihr System/Ihre Dateien durch eine Systemwiederherstellung zurückzugewinnen.

Bildschirmkopie einer Nachricht (Hintergrund), die Benutzer auffordert, ein Lösegeld zu zahlen, um ihre betroffenen Daten zu entschlüsseln:

*.thor decrypt instructions

Alle Erpresser Software-artigen Viren sind praktisch identisch. Wie auch *.thor, verschlüsselt Schadsoftware, wie Cerber, CTB-Locker und Cry auch Dateien und verlangt hunderte oder sogar tausende von Dollar. Es gibt nur zwei Hauptunterschiede: Die Höhe des Lösegelds und die Art der verwendeten Kryptografie (symmetrisch/asymmetrisch). Viren, wie *.thor, werden über Spam Emails verbreitet (bösartige Anhänge), Peer-to-Peer (P2P) Netzwerke (zum Beispiel Torrent, eMule, etc.), falsche Software Update Tools und Trojaner. Daher sollten Sie sehr vorsichtig beim Öffnen von Dateien sein, die von unbekannten/verdächtigen E-Mail Adressen gesendet wurden um beim Herunterladen von Software von inoffiziellen Quellen. Außerdem sollten Sie immer sicherstellen, dass Ihre installierten Anwendungen aktuell sind, weil Cyberkriminelle Software Fehler ausnutzen können, um das System zu infiltrieren. Die Nutzung eines legitimen Antivirus/Anti-Spähsoftware Programms ist auch sehr wichtig.

Bildschirmkopie einer *.thor Erpresser Software .bmp Datei ("_WHAT_is.bmp"):

*.thor ransomware bmp file

Bildschirmkopie der *.thor Erpresser Software .html Datei ("_WHAT_is.html"):

*.thor ransomware html file

Bildschirmkopie der *.thor Erpressersoftware Tor Internetseite:

*.thor ransomware website

Bildschirmkopie der von *.thor Erpresser Software verschlüsselten Dateien ("[8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].thor" Muster):

*.thor ransomware encrypting victim's files

Dateitypen, die von *.thor Erpressersoftware anvisiert werden:

7zip; .aac; .accdb; .accde; .accdr; .accdt; .ach; .acr; .act; .adb; .adp; .ads; .aes; .agdl; .aiff; .ait; .aoi; .apj; .apk; .ARC; .arw; .asc; .asf; .asm; .asp; .aspx; .asset; .asx; .avi; .awg; .back; .backup; .backupdb; .bak; .bank; .bat; .bay; .bdb; .bgt; .bik; .bin; .bkp; .blend; .bmp; .bpw; .brd; .bsa; .cdf; .cdr; .cdr3; .cdr4; .cdr5; .cdr6; .cdrw; .cdx; .cer; .cfg; .cgm; .cib; .class; .cls; .cmd; .cmt; .config; .contact; .cpi; .cpp; .craw; .crt; .crw; .csh; .csl; .csr; .css; .csv; .CSV; .d3dbsp; .dac; .das; .dat; .db_journal; .dbf; .dbx; .dch; .dcr; .dcs; .ddd; .ddoc; .ddrw; .dds; .der; .des; .design; .dgc; .dif; .dip; .dit; .djv; .djvu; .dng; .doc; .DOC; .docb; .docm; .docx; .dot; .DOT; .dotm; .dotx; .drf; .drw; .dtd; .dwg; .dxb; .dxf; .dxg; .edb; .eml; .eps; .erbsql; .erf; .exf; .fdb; .ffd; .fff; .fhd; .fla; .flac; .flf; .flv; .flvv; .forge; .fpx; .frm; .fxg; .gif; .gpg; .gray; .grey; .groups; .gry; .hbk; .hdd; .hpp; .html; .hwp; .ibank; .ibd; .ibz; .idx; .iif; .iiq; .incpas; .indd; .iwi; .jar; .java; .jnt; .jpe; .jpeg; .jpg; .kdbx; .kdc; .key; .kpdx; .kwm; .laccdb; .lay; .lay6; .lbf; .ldf; .lit; .litemod; .litesql; .log; .ltx; .lua; .m2ts; .mapimail; .max; .mbx; .mdb; .mdc; .mdf; .mef; .mfw; .mid; .mkv; .mlb; .mml; .mmw; .mny; .moneywell; .mos; .mov; .mpeg; .mpg; .mrw; .ms11 (Security copy); .msg; .myd; .MYD; .MYI; .ndd; .ndf; .nef; .NEF; .nop; .nrw; .nsd; .nsf; .nsg; .nsh; .nvram; .nwb; .nxl; .nyf; .oab; .obj; .odb; .odc; .odf; .odg; .odm; .odp; .ods; .odt; .ogg; .oil; .onetoc2; .orf; .ost; .otg; .oth; .otp; .ots; .ott; .pab; .pages; .PAQ; .pas; .pat; .pcd; .pct; .pdb; .pdd; .pdf; .pef; .pem; .pfx; .php; .pif; .plc; .plus_muhd; .png; .pot; .potm; .potx; .ppam; .pps; .ppsm; .ppsx; .ppt; .PPT; .pptm; .pptx; .prf; .psafe3; .psd; .pspimage; .pst; .ptx; .pwm; .qba; .qbb; .qbm; .qbr; .qbw; .qbx; .qby; .qcow; .qcow2; .qed; .raf; .rar; .rat; .raw; .rdb; .rtf; .RTF; .rvt; .rwl; .rwz; .s3db; .safe; .sas7bdat; .sav; .save; .say; .sch; .sda; .sdf; .sldm; .sldx; .slk; .sql; .sqlite; .sqlite3; .SQLITE3; .sqlitedb; .SQLITEDB; .srf; .srt; .srw; .stc; .std; .sti; .stm; .stw; .stx; .svg; .swf; .sxc; .sxd; .sxg; .sxi; .sxm; .sxw; .tar; .tarbz2; .tbk; .tex; .tga; .tgz; .thm; .tif; .tiff; .tlg; .txt; .uop; .uot; .upk; .vbox; .vbs; .vdi; .vhd; .vhdx; .vmdk; .vmsd; .vmx; .vmxf; .vob; .wab; .wad; .wallet; .wav; .wks; .wma; .wmv; .wpd; .wps; .xis; .xla; .xlam; .xlc; .xlk; .xlm; .xlr; .xls; .XLS; .xlsb; .xlsm; .xlsx; .xlt; .xltm; .xltx; .xlw; .xml; .ycbcra; .yuv; .zip

*.thor Erpressersoftware Entfernung:

Sofortige automatische Entfernung von Thor virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Malwarebytes ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von Thor virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Malwarebytes herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage beschränkte kostenlose Testversion verfügbar. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das von dem *.thor Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spähsoftware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann:

1. Starten Sie Ihren Computer im Abgesicherten Modus mit Eingabeaufforderung. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffenten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der *.thor Entführersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entfernungssoftware, damit alle Überreste der *.thorErpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Variationen von *.thor auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von *.thor verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlienienobjekte in das Register implantieren, um bösartige Programme, wie *.thor zu blockieren).

HitmanPro.Alert CryptoGuard -entdeckt Verschüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen:

hitmanproalert ransomware prevention applicationMalwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind *.thor Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/10597-thor-ransomware

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Entfernungsanweisungen in anderen Sprachen
QR Code
Thor virus QR code
Ein QR Code (Quick Response Code/Code für schnelle Reaktion) ist ein maschinenlesbarer Code, der URLs und andere Informationen speichert. Dieser Code kann mit einer Kamera auf dem Smartphone, oder Tablet gelesen werden. Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für Thor virus auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Thor virus noch heute:

▼ ENTFERNEN SIE SIE JETZT MIT Malwarebytes

Plattform: Windows

Bewertung des Herausgebers für Malwarebytes:
Ausgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage beschränkte kostenlose Testversion verfügbar.