RYUK Erpressersoftware

Auch bekannt als: RYUK Virus
Verbreitung: Moderat
Schadenshöhe: Stark

RYUK Erpressersoftware Entfernungsanleitung

Was ist RYUK?

RYUK ist ein hochriskanter Erpressersoftware-artiger Virus, der das System infiltriert und die meisten gespeicherten Daten verschlüsselt, wodurch sie unbrauchbar werden. Wegen seiner Ähnlichkeiten mit Hermes Erpressersoftware, ist es sehr wahrscheinlich, dass die Entwickler der beiden Viren die gleichen sind. Im Gegensatz zu den meisten anderen Viren, nennt diese Malware nicht um und fügt verschlüsselten Dateien keine Erweiterungen hinzu. Sie erzeugt jedoch eine Textdatei ("RyukReadMe.txt") und fügt eine Kopie jedem vorhandenen Ordner bei.

Wie gewöhnlich zeigt die erzeugte Textdatei eine Nachricht an, die Opfer über die Verschlüsselung informiert und sie auffordert, ein Lösegeld zu zahlen, wenn sie diese wiederherstellen wollen. Beachten Sie, dass RYUK RSA-4096 und AES-256 Verschlüsselungsalgorithmen benutzt. Deshalb erhält jedes Opfer mehrere einzigartige Schlüssel, die notwendig sind, um die Daten wiederherzustellen. Das Problem ist, dass Cyberkriminelle alle Schlüssel in einem entfernten Server verbergen. Da die Wiederherstellung von Daten ohne sie unmöglich ist, wird jedes Opfer gezwungen ein Lösegeld im Austausch gegen einen der Schlüssel zu bezahlen. Der Preis ist nicht bestätigt - alle Informationen werden per E-Mail bereitgestellt. Es ist jedoch sicher, dass die Höhe des Lösegelds von jedem Opfer abhängt. Es ist allerdings anzumerken, dass für jeden Tag der Verzögerung das Opfer zusätzlich 0,5 Bitcoin zahlen muss (aktuell ~3.200 $). Im Vergleich zu anderen Erpressersoftware-artigen Viren, ist der Preis ziemlich hoch. Er schwankt meistens zwischen 500 $ und 1.500 $ und erhöht sich normalerweise nicht. Es ist jedoch erwähnenswert, dass RYUK auch auf große Unternehmen abzielen und viele Computer gleichzeitig infizieren soll. Deshalb werden, obwohl Tausende von Dollar für alltägliche Benutzer zu viel erscheinen mögen, große Unternehmen häufig zustimmen, da die verschlüsselte Daten sehr wahrscheinlich viel wertvoller sind. Noch wichtiger ist, dass es nicht ratsam ist zu zahlen, egal wie hoch oder niedrig der Preis ist. Das Problem ist, dass Entwickler von Erpressersoftware sehr wahrscheinlich Opfer ignorieren, sobald Zahlungen geleistet wurden. Aus diesem Grund bringt die Zahlung oft nichts und Benutzer werden einfach betrogen. Es wird daher empfohlen, alle Aufforderungen diese Personen zu kontaktieren und Lösegeld zu zahlen, zu ignorieren. Leider gibt es keine Tools, die in der Lage sind RSA/AES Verschlüsselungen zu knacken und Daten kostenlos wiederherzustellen. Die einzige mögliche Lösung ist, alles aus einer Datensicherung wiederherstellen.

Screenshot einer Nachricht, die Benutzer auffordert ein Lösegeld zu zahlen, um Ihre gefährdeten Daten zu entschlüsseln.

RYUK decrypt instructions

Es gibt Dutzende von Viren, die Ähnlichkeiten mit RYUK haben. Die Liste der Beispiele beinhaltet (ist aber nicht beschränkt auf) FOX, ShutUpAndDance, PGPSnippet und Princess. Obwohl diese Viren von verschiedenen Cyberkriminellen entwickelt werden, verhalten sie sich völlig identisch. Jede einzelne verschlüsselte Datei und stellt Lösegeldforderungen. In den meisten Fällen haben Erpressersoftware-artige Viren nur zwei wesentliche Unterschiede, nämlich die Höhe des Lösegelds und die Art des verwendeten Verschlüsselungsalgorithmus. Leider benutzen die meisten dieser Viren Algorithmen, die einzigartige Schlüssel generieren. Außer dass ein Virus nicht voll entwickelt ist und/oder bestimmte Bugs/Fehler aufweist, ist die Wiederherstellung von Daten manuell (ohne Einwirken der Entwickler) unmöglich. RYUK und ähnliche Viren bieten ein starkes Argument für die Aufrechterhaltung regelmäßiger Datensicherungen. Denken Sie immer daran, sie in einen entfernten Server oder einem ausgesteckten Speichergerät zu speichern. Wenn nicht, wird Malware sie vermutlich zusammen mit regulären Dateien verschlüsseln.

Wie hat Erpressersoftware meinen Computer infiziert?

Um Erpressersoftware zu vermehren, benutzen Entwickler oft Trojaner, Spam-E-Mails, Peer-to-Peer (P2P) Netzwerke, inoffizielle Software Downloadquellen, und gefälschte Software Updater. Trojaner öffnen "Hintertüren" oder andere Viren, um das System zu infiltrieren. Spam-E-Mails kommen mit bösartigen Anhängen, die, einmal geöffnet, Viren herunterladen und installieren. P2P-Netzwerke und andere Download-/Installationsquellen von Drittanbietern (Freeware Download- Websites, kostenlose File Hosting Websites, etc.) präsentieren Malware als legitime Software, wodurch Benutzer zum selbstständigen Download und der Installation von Viren verleitet werden. Falsche Updater infizieren das System entweder durch die Nutzung veralteter Software Bugs/Fehler oder laden einfach nur Malware herunter und installieren sie, anstatt eigentlicher Updates.

Zusammenfassung der Bedrohung:
NameRYUK Virus
Art der BedrohungRansomware, Kryptovirus, Dateiensperre
SymptomeAuf Ihrem Computer gespeicherte Dateien können nicht geöffnet werden, früher funktionsfähige Dateien haben nun eine andere Erweiterung, z.B. my.docx.locked. Eine Lösegeldforderung wird auf Ihrem Desktop angezeigt. Cyberkriminelle fordern ein Lösegeld (normalerweise in Bitcoins), um Ihre Dateien freizuschalten.
VerbreitungsmethodenInfizierte E-Mail-Anhänge (Makros), Torrent-Websites, bösartige Werbung.
SchadenAlle Dateien sind verschlüsselt und können nicht ohne Lösegeldzahlung geöffnet werden. Zusätzliche Passwortdiebstähle von Trojanern und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden.
Entfernung

Um RYUK Virus zu entfernen, empfehlen unsere Malware-Forscher, Ihren Computer mit Spyhunter zu scannen.
▼ Laden Spyhunter
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um Malware zu entfernen, müssen Sie die Vollversion von Spyhunter erwerben.

Wie schützt man sich vor Erpressersoftware Infektionen?

Jeder sollte wissen, dass die wesentlichen Gründe für Computer Infektionen mangelndes Wissen und fahrlässiges Verhalten sind. Daher ist gute Aufmerksamkeit ein Muss, wenn man im Internet surft und Software herunterlädt/installiert/aktualisiert. Denken Sie immer nach, bevor Sie E-Mail Anhänge öffnen. Irrelevante Dateien, und jene, die von verdächtigen/nicht erkennbaren E-Mail-Adressen empfangen wurden, sollten auf keinen Fall geöffnet werden. Darüber hinaus ist es ratsam, Software nur von offiziellen Quellen, unter Verwendung eines direkten Download-Links, herunterzuladen. Downloader/Installationsprogramme von Drittanbietern beinhalten oft betrügerische Apps, weshalb sie nie verwendet werden sollten. Dieselbe Regel gilt für Software Updates. Es ist wichtig, die installierten Anwendungen auf dem neuesten Stand zu halten. Dies sollte jedoch nur durch die vorhandenen Funktionen oder Tools, die von den offiziellen Entwicklern angeboten werden, erreicht werden. Die Installation und Ausführung eines bekannten Antivirus-/Anti-Spyware Programms ist ebenfalls von wesentlicher Bedeutung. Der Schlüssel zum Computersicherheit ist Vorsicht. Wenn Ihr Computer bereits mit RYUK infiziert ist, empfiehlt es sich, einen Scan mit {beladensein Remover_link} auszuführen, um diese Erpressersoftware automatisch zu beseitigen.

Text, der in Textdatei der RYUK Epressersoftware präsentiert wird ("RyukReadMe.txt"):

Meine Herren!

Ihr Geschäft ist ernsthaft in Gefahr.
Es gibt ein signifikantes Loch im Sicherheitssystem Ihres Unternehmens.
Wir sind einfach Ihr Netzwerk eingedrungen.
Sie sollen dem Herrn danken, dass Sie von ernsthaften Personen gehackt wurden und nicht von dummen Schuljungen oder gefährliche Punks.
Sie können alle Ihre wichtigen Daten nur zum Spaß beschädigen.

Jetzt sind Ihre Dateien mit den stärksten militärischen Algorithmen RSA 4096 und AES-256 verschlüsselt.
Niemand kann Ihnen dabei helfen, Dateien ohne unsere speziellen Decoder wiederherzustellen.

Photorec, RannohDecryptor etc. Reparaturwerkzeuge
sind nutzlos und können Ihre Dateien unwiderruflich zerstören.

Wenn Sie Ihre Dateien wiederherstellen möchten, schreiben Sie E-Mails an (Kontakte sind an der Unterseite des Blattes)
und hängen Sie 2-3 verschlüsselte Dateien an
(Jede weniger als 5 Mb, nicht archiviert und Ihre Dateien sollten keine wertvollen Informationen enthalten
(Datenbanken, Backups, große Excel Datenblätter, etc.)).
Sie erhalten entschlüsselte Proben und unsere Bedingungen, wie Sie den Decoder erhalten.
Vergessen Sie nicht, den Nahmen Ihres Unternehmens in den Betreff Ihrer E-Mail zu schreiben.

Sie haben für die Entschlüsselung in Bitcoins zu bezahlen.
Der endgültige Preis hängt davon ab, wie schnell Sie uns schreiben.
Jeder Tag Verzögerung kostet Sie zusätzliche +0,5 BTC
Nichts persönlich, nur Geschäft

Sobald wir Bitcoins bekommen, erhalten Sie alle Ihre entschlüsselten Daten zurück.
Außerdem werden Sie Anweisungen erhalten, wie Sie die Sicherheitslücke schließen
und so vermeiden Sie in Zukunft solche Probleme
+ Wir empfehlen Ihnen spezielle Software, die Hackern die meisten Probleme macht.

Achtung! Noch einmal!

Nennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln.

P.S. Erinnern Sie sich, wir sind keine Betrüger.
Wir brauchen nicht Ihre Dateien und Ihre Informationen.
Aber nach 2 Wochen werden alle Ihre Dateien und Schlüssel automatisch gelöscht.
Senden Sie nur eine Anfrage unmittelbar nach der Infektion.
Alle Daten werden absolut wiederhergestellt werden.
Ihre Garantie - Entschlüsselt Proben.

Kontakt E-mails
[email protected]
oder
[email protected]

BTC Geldbeutel:
15 RLWdVnY 5 n1 n7 mTvU 1 zjg 67 wt 86 dhYqNj

Ryuk

Kein System ist sicher

Screenshot von Dateien, die von RYUK (ohne Erweiterung) verschlüsselt wurden:

Files encrypted by RYUK

RYUK Erpressersoftware Entfernung:

Sofortige automatische Entfernung von RYUK Virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von RYUK Virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das vom RYUK Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spyware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffenten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der RYUK Erpressersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entferungssoftware, damit alle Überreste der RYUK Erpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Variationen von RYUK auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von RYUK verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlienienobjekte in das Register implantieren, um bösartige Programme, wie RYUK zu blockieren.

Beachten Sie, dass das Windows 10 Fall Creators Update die "Controlled Folder Access" Funktion beinhaltet, die Versuchen von Erpressersoftware blockiert, Ihre Dateien zu verschlüsseln. Dieses Merkmal schützt standardmäßig automatisch Dateien, die in den Dokumente, Bilder, Videos, Musik, Favoriten, sowie Desktop Ordnern gespeichert sind.

Controll Folder Access

Windows 10 Benutzer sollten dieses Update installieren, um Ihre Daten vor Erpressersoftwareangriffen zu schützen. Hier sind weitere Informationen darüber, wie man dieses Update erhält und eine zusätzliche Schutzschicht vor Erpressersoftwareinfektionen hinzufügt.

HitmanPro.Alert CryptoGuard - entdeckt Verschüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen.

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind RYUK Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware