GoldenEye Epressersoftware

Auch bekannt als: GoldenEye-Virus
Verbreitung: Niedrig
Schadenshöhe: Stark

GoldenEye Erpresser Software Entfernungsanleitung

Was ist GoldenEye?

GoldenEye ist eine Kombination aus den Petya und MISCHA Erpressersoftware-artigen Viren. Wei bei Petya und MISCHA, wird GoldenEye auch durch Spam Email Nachrichten verbreitet. Diese Email liefert falsche Jobangebote mit Text auf Deutsch und zwei angehängte Dateien. Eine ist ein falscher Lebenslauf, die andere eine bösartige MX Excel Datei. Falls die Excel Datei geöffnet wird, erscheint ein Po-up „Makros aktivieren". Falls der Benutzer diese Makro Befehle aktiviert, wird die Excel Datei eine ausführbare Datei erzeugen und Erpressersoftware starten.

MISCHA und Petya unterschieden sich, indem MISCHA nur bestimmte Dateien verschlüsselt, wohingegen Petya die Festplatte selbst verschlüsselt (was die ordentliche Nutzung des Computers unmöglich macht). GoldenEye jedoch, führt beide Aufgaben aus. Petya Erpresser Software wurde entwickelt, um das System zu infiltrieren und versucht den MBR (Master Boot Record) des Systems zu überschreiben. Um das zu erreichen, muss Petya administrative Erlaubnis erhalten. Falls der Benutzer diese Erlaubnis ablehnt, wird der Verschlüsselungsprozess einfach gestoppt. Falls die Erlaubnis jedoch erteilt wird, modifiziert Petya den MBR mit einem benutzerdefinierten Bootlader. Petya startet den Computer automatisch neu, zeigt einen falschen Check Disk (CHKDSK) Bildschirm und verschlüsselt die Festplatte im Hintergrund. Dann zeigt sie eine Lösegeld fordernde Nachricht mithilfe von ASCII Text Art. Die Nachricht wird vorübergehend angezeigt, wenn der Computer startet. MISCHA versucht andererseits nicht die MBR zu modifizieren. Sie verschlüsselt einfach Dateien. Dieses Verhalten kommt bei regulären Erpressersoftware-artigen Viren oft vor. GoldenEye führt diese Aktionen rückwärts durch: Sie verschlüsselt Daten und versucht nur den MBR zu modifizieren, wodurch Opfer den Verschlüsselungsprozess nicht stoppen können (indem sie die Erlaubnis nicht geben). Nach erfolgreicher Verschlüsselung, zeigt GoldenEye auch eine ähnliche Lösegeld fordernde Nachricht. Außerdem erzeugt GoldenEye eine Textdatei ("YOUR_FILES_ARE_ENCRYPTED.txt“, die eine identische Nachricht enthält) und platziert sie in bestimmte Ordner (z.B. Desktop, Eigene Dokumente, etc.). Des Weiteren hängt GoldenEye dem Namen jeder verschlüsselten Datei acht zufällige Zeichen an (z.B. wird "sample.jpg" vielleicht in "sample.jpg.g8k3jmol“ umbenannt). Die Lösegeld fordernde Nachricht informiert Opfer über die Verschlüsselung und verlangt eine Lösegeldzahlung von 1,31034193 Bitcoins (ungefähr $1000) für die Entschlüsselung. Um die Zahlung einzureichen, müssen Opfer den Anweisungen folgen, die von der Tor Internetseite von GoldenEye gegeben werden (der Link befindet sich innerhalb der Lösegeld fordernden Nachricht.) Achtung: Die Zahlung garantiert nicht, dass Ihre Dateien jemals entschlüsselt werden. Die Forschung zeigt, dass Cyberkriminelle oft Opfer, trotz der Zahlung, ignorieren. Versuchen Sie deshalb niemals diese Leute zu kontaktieren, oder das Lösegeld zu zahlen. Es gibt keine Tools zur Wiederherstellung von Dateien, die von GoldenEye verschlüsselt wurden, aber Sicherheitsforscher haben ein Tool entwickelt, das Dateien, die von Petya verschlüsselt wurden, entschlüsselt. Diese Situation könnte sich ändern, aber momentan können Benutzer dieses Problem nur lösen, indem Sie Ihre Dateien/Ihr System durch eine Datensicherung wiederherstellen. Falls GoldenEye den MBR des Systems modifiziert hat, wird die Wiederherstellung durch eine Datensicherung nicht effektiv sein.

Bildschirmkopie eines Totenkopfs (der mit ASCII Text Art gezeichnet wurde), der nach der Verschlüsselung angezeigt wird:

GoldenEye decrypt instructions

Es gibt hunderte Erpressersoftware-artiger Viren. Beispiele sind Dharma, CTB-Locker, *.osiris, ASN1, Cerber und viele andere. Alle verschlüsseln Dateien und verlangen Lösegeld. Es gibt nur zwei Hauptunterschiede: 1) die Höhe des Lösegelds und 2) den Verschlüsselungsalgorithmus (symmetrisch/asymmetrisch) , der benutzt wird. Die Forschung zeigt auch, dass diese Viren oft durch Spam Emails verbreitet werden (bösartige Anhänge), Peer-to-Peer Netzwerke und andere Drittparteien Downloadquellen (Freeware Downloadseiten, kostenlose File Hosting Internetseiten, etc.), inoffizielle Software Downloadquellen und Trojaner. Daher sollten Sie beim Öffnen von Dateien vorsichtig sein, die Sie von verdächtigen Emails erhalten haben und beim Download von Software aus inoffiziellen Quellen. Cyberkriminelle können auch Software Fehler ausnutzen, um das System zu infizieren. Daher sollen Sie Ihre installierten Anwendungen auf dem neusten Stand halten und niemals Drittparteien Update Tools benutzen. Die Nutzung eines legitimen Antivirus/Anti-Spähsoftware Programms ist auch sehr wichtig.

GoldenEye Erpresser Software verlangt administrative Erlaubnis:

GoldenEye asking for admin permissions (sample 1) GoldenEye asking for admin permissions (sample 2)

Bildschirmkopie der GoldenEye Textdatei (YOUR_FILES_ARE_ENCRYPTED.txt):

GoldenEye text file

Der Text, der innerhalb der GoldenEye Textdatei angezeigt wird:

Sie sind GOLDENEYE ERPRESSERSOFTWARE zum Opfer gefallen!
Die Dateien auf Ihrem Computer wurden mit einem Verschlüsselungsalgorithmus auf militärischem Niveau verschlüsselt. Es ist unmöglich, Ihre Daten ohne einen speziellen Schlüssel wiederherzustellen. Sie können diesen Schlüssel auf der Darknet Seite, die auf Seite 2 angezeigt wird, kaufen.
Um Ihren Schlüssel zu kaufen und Ihre Daten wiederherzustellen, befolgen Sie bitte diese drei einfachen Schritte:
1. Laden Sie den Tor Browser unter "hxxps://www.torproject.org/“ herunter. Falls Sie Hilfe brauchen, googlen Sie bitte „Zugriff Onion Seite“.
2. Besuchen Sie eine der folgenden Seiten mit dem Tor Browser: hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Geben Sie dort Ihren persönlichen Entschlüsselungscode ein: oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Bildschirmkopie einer Fehlermeldung, die vor dem Computer Neustart angezeigt wird:

GoldenEye fake error

Falsches CHKDSK wird während der Verschlüsselung angezeigt:

GoldenEye faking check disk task

Der Text, der auf diesem Bildschirm angezeigt wird:

Dateisystem auf C: wird repariert
Die Art des Dateisystems in NTFS
Eine Ihrer Disks enthalt Fehler und muss repariert werden. Dieser Prozess könnte mehrere Stunden dauern. Es wird dringend empfohlen, ihn abschließen zu lassen.
WARNUNG: SCHALTEN SIE IHREN COMPUTER NICHT AUS! FALLS SIE DIESEN PROZESS ABBRECHEN, KÖNNTEN SIE ALLE IHRE DATEN ZERSTÖREN! STELLEN SIE BITTE SICHER, DASS IHR STROMKABEL EINGSTECKT IST!
CHKDSK repariert den Abschnitt - von -

Bildschirmkopie eines Bildschirms, der nach der Entschlüsselung angezeigt wird:

GoldenEye screen after encryption

Bildschirmkopie der Lösegeld fordernden Nachricht von GoldenEye:

GoldenEye ransom-demanding message

Der Text, der auf diesem Bildschirm angezeigt wird:

Sie sind GOLDENEYE ERPRESSERSOFTWARE zum Opfer gefallen!
Die Festplatten Ihres Computers wurden mit einem Verschlüsselungsalgorithmus auf militärischem Niveau verschlüsselt. Es ist unmöglich, Ihre Daten ohne einen speziellen Schlüssel wiederherzustellen. Sie können diesen Schlüssel auf der Darknet Seite, die auf Seite 2 angezeigt wird, kaufen.
Um Ihren Schlüssel zu kaufen und Ihre Daten wiederherzustellen, befolgen Sie bitte diese drei einfachen Schritte:
1. Laden Sie den Tor Browser unter "hxxps://www.torproject.org/“ herunter. Falls Sie Hilfe brauchen, googlen Sie bitte „Zugriff Onion Seite“.
2. Besuchen Sie eine der folgenden Seiten mit dem Tor Browser:
hxxp://goldenhjnqvc2lld.onion/
hxxp://golden2uqpiqcs6j.onion/
3. Geben Sie dort Ihren persönlichen Entschlüsselungscode ein: -
Falls Sie Ihren Schlüssel bereits gekauft haben, geben Sie ihn bitte unten ein.

Bildschirmkopie der GoldenEye Internetseite (Zahlung - Schritt 1):

GoldenEye website (Payment step 1)

Der Text, der auf dieser Seite angezeigt wird:

Schritt 1: Geben Sie Ihren persönlichen Identifizierer ein
Zuerst müssen Sie Ihren persönlichen Identifizierer eingeben. Dieser Code enthält wichtige Informationen über den Entschlüsselungsprozess. Es ist wichtig, dass Sie ihn genau wie auf dem verschlüsselten Computer gezeigt, eingeben. Der Code beinhaltet eine Prüfsumme, die Tippfehler verhindert und eine erfolgreiche Entschlüsselung sicherstellt.
Ihr persönlicher Identifizierer ist 96 Zeichen lang und kann in den "YOUR_FILES_ARE_ENCRYPTED.TXT“ Dateien gefunden werden, die von der Erpresser Software an mehreren Stellen Ihres Computers (z.B. Desktop, Dokumente) erzeugt wurden.

Bildschirmkopie der GoldenEye Internetseite (Zahlung - Schritt 2):

GoldenEye website (Payment step 2)

Der Text, der auf dieser Seite angezeigt wird:

Schritt 2: Bitcoins kaufen
Ihr Entschlüsselungsschlüssel kann nur mit Bitcoin gekauft werden. Bitcoin ist eine digitale Währung, die aus fast jeder normalen Währung getauscht werden kann. Es gibt viele Tauschplattformen im Internet, von denen die meisten auf eine bestimmt Währung spezialisiert sind. Heutzutage ist der Kauf von Bitcoins online sehr einfach und wird jeden Tag einfacher!
Sie müssen mindestens den unten gezeigten Betrag kaufen. Es wird empfohlen, dass Sie ein wenig mehr kaufen, um eine erfolgreiche Zahlung zu garantieren. 2% extra sollten genug sein. Falls Sie bereits genug Bitcoins haben, können Sie diesen Schritt überspringen.
Forderung: 1.31034193 Bitcoins
Die folgenden Tauschbörsen und Marktplätze werden empfohlen:
http://www.bitcoin.de - Bankanweisung SCHNELL!
http://www.btcdirect.eu - Sofort Banking, Giropay, Bank Wire, Mastercard und Visa
http://www.localbitcoins.com - Bankanweisung und Bargeld
http://www.coincafe.com - Sofort in NYC, Bankanweisung und Mail Bargeld, Bankanweisung und Kreditkarte
Ein Bitcoin Wallet ist nicht erforderlich. Sie können die gekauften Bitcoins direkt an die Zahlungsadresse überweisen. Falls Sie trotzdem einen Wallet erzeugen möchten, wird http://www.blockchain.com empfohlen.
Falls Sie die richtige Menge Bitcoins erfolgreich gekauft haben, klicken Sie auf „Weiter“ für den nächsten Schritt.

Bildschirmkopie der GoldenEye Internetseite (Zahlung - Schritt 3):

GoldenEye website (Payment step 3)

Der Text, der auf dieser Seite angezeigt wird:

Schritt 3: Führen Sie eine Bitcoin Überweisung aus
Jetzt müssen Sie Ihre gekauften Bitcoins und die Zahlungsadresse senden. Falls Sie gerade Bitcoins auf einer Tauschbörse, oder einer Marktplatzstelle gekauft haben, suchen Sie nach dem Abschnitt „Abheben“ und geben Sie die unten gezeigten Details ein. Falls Sie bereits Bitcoins besitzen, senden Sie den richtigen Betrag an die unten gezeigte Zahlungsadresse, direkt von dem Wallet, den Sie benutzen.
Falls Sie mit der Überweisung Probleme haben, kontaktieren Sie bitte Ihren Support.
Adresse: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ
Forderung: 1.31034193 Bitcoins
Nachdem Sie die Zahlungsanweisung ausgeführt haben, müssen Sie warten, bis wir sie manuell bestätigen. Dieser Vorgang dauert gewöhnlich mehrere Stunden. In einigen seltenen Fällen, dauert die Bestätigung der Zahlung etwas länger. Rufen Sie diese Seite erneut auf, um zu sehen, ob Ihre Zahlung bestätigt wurde.

Bildschirmkopie der GoldenEye Internetseite (FAQ):

GoldenEye website (FAQ)

Bildschirmkopie der GoldenEye Internetseite (Support):

GoldenEye website (Support)

Bildschirmkopie der von GoldenEye verschlüsselten Dateien (".[8_random_characters]" Erweiterung):

GoldenEye decrypt instructions

GoldenEye Erpressersoftware Entfernung:

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das von dem GoldenEye Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spähsoftware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.


Download entferner für GoldenEye-Virus
1) Herunterladen und installieren   2) Systemscan durchführen   3) Viel Spaß mit Ihrem reinen Computer!

Falls Sie Unterstützung mit der Entfernung von goldeneye-virus benötigen, rufen Sie uns an jedem Tag der Woche, rund um die Uhr an:
0800 72 43 885
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Reimage kaufen.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Starten Sie Ihren Computer im Abgesicherten Modus mit Eingabeaufforderung. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffenten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der GoldenEye Entführersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entfernungssoftware, damit alle Überreste der GoldenEye Erpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Variationen von GoldenEye auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von GoldenEye verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlienienobjekte in das Register implantieren, um bösartige Programme, wie GoldenEye zu blockieren).

HitmanPro.Alert CryptoGuard -entdeckt Verschüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind GoldenEye Erpressersoftware zu entfernen: