FOX Erpressersoftware

Auch bekannt als: FOX Virus
Verbreitung: Niedrig
Schadenshöhe: Stark

FOX Erpressersoftware Entfernungsanleitung

Was ist FOX?

Von MalwareHunterTeam entdeckt, ist FOX eine neue Variante einer hochriskanten Erpressersoftware namens Matrix . Entwickler verbreiten diese Malware mithilfe dem Remote Desktop Service - sie entführen die Computer des Opfers und installieren FOX manuell. Nach der Infiltration verschlüsselt FOX die meisten gespeicherten Daten. Es benennt außerdem Dateien mithilfe des "[developer's_email].[random_characters].FOX"-Musters um (z.B. könnte "sample.jpg" in etwas wie "[[email protected]].3qAbTbsd-RgfExin0.FOX" umbenannt werden). So werden einmal verschlüsselte Daten unbrauchbar und ununterscheidbar. Darüber hinaus führt FOX eine Reihe von anderen böswilligen Aktionen aus, einschließlich der Löschung der Schattenvolumenkopie und Entfernung von Windows Recovery Startup. Nachdem alle diese Abschnitte durchgeführt wurden, generiert FOX eine Textdatei ("#FOX_README#.rtf") und platziert in jedem vorhandenen Ordner eine Kopie.

Es ist erwähnenswert, dass FOX vor der Verschlüsselung überprüft, ob Dateien geöffnet sind. Wenn ja, schließt es sie zuerst und verschlüsselt erst dann. Zum Glück jedoch macht dies den gesamten Prozess sehr langsam. Daher können Opfer die Infektion erkennen und beenden, bevor die Verschlüsselung beendet ist. Wie üblich übermittelt die erstellte Textdatei eine Meldung, die besagt, dass die Daten mittels AES-128- und RSA-2048-Algorithmen verschlüsselt werden und somit nur mit einem einzigartigen Schlüssel wiederhergestellt werden können. Dies ist leider wahr. Jedes Opfer erhält ein Paar einzigartige Schlüssel. Sie befinden sich jedoch auf einem Fernserver, der von Cyberkriminellen betrieben wird. Daher müssen Opfer die Entwickler von FOX kontaktieren, um die Schlüssel zu erhalten und Daten zu entschlüsseln. Dies ist jedoch der heikle Teil. Nach Kontaktaufnahme mit diesen Personen werden Benutzer aufgefordert, ein Lösegeld für die Freigabe dieser Schlüssel zu zahlen. Der Preis ist derzeit unbekannt - alle Details werden per E-Mail übermittelt. Es ist jedoch erwähnenswert, dass Cyberkriminelle in der Regel 500-1500 $ in Bitcoins, Monero oder einer anderen Kryptowährung verlangen. Egal wie niedrig oder wie hoch der Preis auch ist, er sollte niemals bezahlt werden. Forschungsergebnisse zeigen, dass Betrüger Opfer häufig ignorieren, sobald Zahlungen gemacht werden. Dies bedeutet, dass eine Zahlung in der Regel kein positives Ergebnis nach sich zieht und Benutzer schlichtweg betrogen werden. Aus diesem Grund wird dringend empfohlen, alle Ermutigungen zu zahlen zu ignorieren. Leider gibt es keine Tools die in der Lage sind, die Verschlüsselung von FOX zu knacken und Dateien kostenlos wiederherzustellen. Aus diesem Grund ist die einzige mögliche Lösung, alles von einem Backup wiederherzustellen.

Bildschirmkopie einer Nachricht, in der Benutzer aufgefordert werden, ein Lösegeld zu zahlen, um ihre kompromittierten Daten zu entschlüsseln:

FOX decrypt instructions

FOX hat viele Gemeinsamkeiten mit Dutzenden anderen Erpressersoftware-artigen Viren, wie ShutUpAndDance, Embrace, LanRan und so weiter. Die meisten dieser Viren werden von verschiedenen Cyberkriminellen entwickelt. Davon abgesehen verschlüsselt jeder Einzelne Dateien und verlangt Lösegeld. In den meisten Fällen haben Erpressersoftwarer-artige Viren lediglich zwei Hauptunterschiede: 1) Höhe des Lösegelds und; 2) Art des verwendeten Verschlüsselungs-Algorithmus. Leider verwenden diese Viren häufig Algorithmen, die einzigartige Entschlüsselungsschlüssel generieren. Daher ist die manuelle Wiederherstellung (ohne dass Entwickler eingreifen, unmöglich), außer wenn Malware sich noch in seiner Entwicklung befindet und/oder bestimmte Bugs/Fehler hat, Viren wie FOX sind ein starkes Argument dafür, warum Sie regelmäßige Daten-Backups durchführen sollten. Es ist jedoch wichtig, sie auf einem Fernserver und/oder einem nicht angeschlossenen Speichergerät zu speichern, andernfalls verschlüsselt die Malware neben regulären Daten auch Backups.

Wie hat Ransomware meinen Computer infiziert?

Wie oben erwähnt, FOX wird manuell verbreitet - Entwickler entführen Computer des Opfers und infizieren von selbst das System. Dies ist sehr ungewöhnlich - in den meisten Fällen wird Erpressersoftware über Spam-E-Mails, Trojaner, falsche Software-Updater und Software-Downloadquellen Dritter verbreitet. Spam-Mails kommen zusammen mit schädlichen Anhängen (in der Regel Microsoft Office-Dokumente), die, einmal geöffnet, Malware heimlich herunterladen und installieren. Trojaner öffnen "Hintertüren", damit andere Malware in das System eindringen kann. Falsche Updater infizieren das System entweder, indem sie veraltete Software-Bugs/-Fehler ausnutzen oder einfach Malware anstelle von tatsächlichen Updates herunterladen und installieren. Inoffizielle Software-Downloadquellen (Peer-to-Peer-[P2P] Netzwerke, Freeware-Download-Webseiten, kostenlose Filehosting-Seiten usw.) präsentieren Malware als seriöse Software. So werden Benutzer dazu verleitet, Viren von selbst herunterzuladen und zu installieren.

Wie kann man sich vor Ransomware-Infektionen schützen?

Um diese Situation zu verhindern, müssen die Benutzer zunächst erkennen, dass mangelnde Kenntnisse und rücksichtsloses Verhalten die Hauptgründe für Computerinfektionen sind. Der Schlüssel zu Sicherheit ist Vorsicht, weshalb große Aufmerksamkeit beim Surfen im Internet und beim Herunterladen/Installieren/Aktualisieren von Software ein Muss ist. Stellen Sie sicher, dass Sie jeden einzelnen empfangenen E-Mail-Anhang sorgfältig analysieren. Dateien, die irrelevant erscheinen und/oder von verdächtigen/unerkennbaren E-Mail-Adressen empfangen wurden, sollten niemals geöffnet werden. Es wird außerdem empfohlen, Software nur von offiziellen Quellen und unter Benutzung direkter Download-Links herunterzuladen. Das gleiche gilt für Software-Updates. Es ist wichtig, installierte Anwendungen auf dem neuesten Stand zu halten. Software sollte jedoch nur mithilfe eingebauter Funktionen oder Tools aktualisiert werden, die vom offiziellen Entwickler bereitgestellt werden. Die Präsenz eines seriösen Antivirus-/Anti-Spyware-Programms ist eben falls von allergrößter Bedeutung. Wenn Ihr Computer bereits mit FOX infiziert wurde, empfehlen wir, einen Scan mit Spyhunter durchzuführen, um diese Erpressersoftware automatisch zu beseitigen.

Der in der FOX-Ransomware-Text-Datei ("#FOX_README # .rtf") angezeigte Text:

ANLEITUNG ZUR WIEDERHERSTELLUNG IHRER DATEIEN
ACHTUNG!!!
Es tut uns wirklich leid Ihnen mitteilen, dass ALLE IHRE DATEIEN VERSCHLÜSSELT WURDEN
von unserer automatischen Software. Dies war aufgrund schlechter Serversicherheit möglich.
ACHTUNG!!!
Bitte machen Sie sich keine Sorgen, wir können Ihnen helfen, Ihren Server in seinen ursprünglichen
Zustand ZURÜCKZUVERSETZEN und alle Ihre Dateien schnell und sicher zu entschlüsseln!
INFORMATION!!!
Dateien sind nicht defekt!!!
Dateien wurden mit AES-128 + RSA 2048-Krypto-Algorithmen verschlüsselt.
Es gibt keine Möglichkeit, Ihre Dateien ohne einzigartigen Entschlüsselungsschlüssel und einer speziellen Software zu entschlüsseln. Ihr einzigartiger Entschlüsselungsschlüssel ist sicher auf unserem Server gespeichert. Für unsere Sicherheit werden alle Informationen über Ihren Server und Ihren Entschlüsselungsschlüssel nach 7 Tagen automatisch gelöscht! Sie verlieren alle Ihre Daten unwiderruflich!
* Bitte beachten Sie, dass alle Versuche, Ihre Dateien von selbst oder mit Tools Dritter wiederherzustellen, nur zum unwiderruflichen Verlust Ihrer Daten führen wird!
* Bitte beachten Sie, dass Sie nur mit Ihrem einzigartigen Entschlüsselungsschlüssel, der auf unserer Seite gespeichert ist, Dateien wiederherstellen können. Wenn Sie die Hilfe Dritter in Anspruch nehmen, nehmen Sie lediglich einen Mittelsmann hinzu.
WIE KÖNNEN DATEIEN WIEDERHERGESTELLT WERDEN???
Schreiben Sie uns bitte auf die E-Mail (auf Englisch oder benutzen Sie professionellen Übersetzer):
[email protected]
[email protected]
[email protected]
Sie müssen Ihre Nachricht an jede unserer 3 E-Mails senden, da die Nachricht wegen verschiedener Gründe möglicherweise nicht ihren beabsichtigten Empfänger erreicht!
Schreiben Sie in die Betreffzeile Ihre persönliche ID: [email protected]
Wir empfehlen, dass Sie Ihrer Nachricht 3 verschlüsselte Dateien beifügen. Wir werden Ihnen demonstrieren, dass wir Ihre Dateien wiederherstellen können.
* Bitte beachten Sie, dass die Dateien keine wertvollen Informationen enthalten dürfen und deren Gesamtgröße kleiner als 5MB sein muss.
UNSER RATSCHLAG!!!
Bitte stellen Sie sicher, dass wir eine gemeinsame Sprache finden. Wir werden alle Daten wiederherstellen und Ihnen Empfehlungen geben, wie Sie den Schutz Ihres Servers konfigurieren können.
Wir werden uns auf jeden Fall einig ;) !!!

ALTERNATIVE KOMMUNIKATION
Wenn Sie nach mehr als 24 Stunden die Antwort nicht von den vorher genannten E-Mails erhalten haben, senden Sie uns bitte eine Bitmessage von einem Webbrowser über die Seite hxxps://bitmsg.me. Unten befindet sich ein Tutоriаl, wie Sie Bitmessage per Webbrowser versenden können:
1. Öffnen Sie in Ihrem Browser den Link hxxps://bitmsg.me/users/sign_up und registrieren Sie sich indem Sie Name E-Mail und Passwort eingeben.
2. Sie müssen die Registrierung bestätigen, zu Ihrer E-Mail zurückkehren und die Anweisungen befolgen, die Ihnen zugesendet wurden.
3. Kehren Sie auf die Seite zurück und klicken Sie "Login"-Zeichen oder verwenden Sie Link hxxps://bitmsg.me/users/sign_in, geben Sie Ihre E-Mail und Passwort ein und klicken Sie auf die Schaltfläche "Einloggen".
4. Klicken Sie auf die Schaltfläche "Zufällige Adresse erstellen".
5. Klicken Sie auf die Schaltfläche "Neue Massage"
6. Nachricht versenden:
An: Geben Sie die Adresse ein: BM-2cXRWRW5Jv5hxbhgu2HJSJrtPf92iKshhm
Betreff: Geben Sie Ihre ID ein: 2D0D30719CD9D741
Nachricht: Beschreiben Sie, was Sie denken nötig.
Klicken Sie auf die Schaltfläche "Nachricht versenden".
s0NDfj7c

 

Screenshot von Dateien, die von FOX verschlüsselt wurden ("[developer's_email].[random_characters].FOX" filename pattern):

Files encrypted by FOX

FOX Erpressersoftware Entfernung:

Sofortige automatische Entfernung von FOX Virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von FOX Virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrückt halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das vom FOX Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spyware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffneten Fenster klicken Sie auf "Weiter".

restore system files and settings5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der FOX Erpressersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entferungssoftware, damit alle Überreste der FOX  Erpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war. Beachten Sie, dass einige Variationen von FOX auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von FOX verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlinienobjekte in das Register implantieren, um bösartige Programme, wie FOX zu blockieren.

Beachten Sie, dass das Windows 10 Fall Creators Update die "Controlled Folder Access" Funktion beinhaltet, die Versuchen von Erpressersoftware blockiert, Ihre Dateien zu verschlüsseln. Dieses Merkmal schützt standardmäßig automatisch Dateien, die in den Dokumenten, Bildern, Videos, Musik, Favoriten, sowie Desktop Ordnern gespeichert sind.

Controll Folder Access

Windows 10 Benutzer sollten dieses Update installieren, um Ihre Daten vor Erpressersoftwareangriffen zu schützen. Hier sind weitere Informationen darüber, wie man dieses Update erhält und eine zusätzliche Schutzschicht vor Erpressersoftwareinfektionen hinzufügt.

HitmanPro.Alert CryptoGuard - entdeckt Verschlüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen.

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind FOX Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/13383-fox-ransomware