Locky Imposter Erpressersoftware

Auch bekannt als: Locky Imposter Virus
Verbreitung: Niedrig
Schadenshöhe: Stark

Locky Imposter Erpressersoftware Entfernung

Was ist Locky Imposter?

Zuerst entdeckt vom Malware Sicherheitsforscher, dao ming si, ist Locky Imposter (auch bekannt als "PyLocky") ein Erpressersoftware-artiger Virus, der eine andere hochriskant Erpressersoftware Infektion, namens Locky imitiert. Nachdem heimlich das System infiltriert wurde, verschlüsselt Locky Imposter Daten mit den RSA und AES Verschlüsselung Algorithmen, erstellt eine Kopie jeder Datei und hängt dann Dateinamen mit der Erweiterung ".locky" (z.B., "sample.jpg" auf "sample.jpg. locky") an. Aktualisierte Varianten dieser Erpresser Software benutzen die „.lockedfile“ Erweiterung für verschlüsselte Dateien. Letztlich gibt es zwei Kopien jeder vorhandenen Datei (einer mit dem ursprünglichen Namen und der Erweiterung, und einen anderen mit der ".locky" Erweiterung), die beide verschlüsselt und unbrauchbar sind. Sobald die Daten verschlüsselt wurden, erzeugt Locky Imposter eine Textdatei (namens LOCKY-README.TXT“) und platziert eine Kopie in jeden bestehenden Ordner.

Wie gewöhnlich, enthält die neue Textdatei eine Nachricht, die Benutzer über die Verschlüsselung informiert und sie auffordert, die Locky Imposter Webseite zu besuchen und das Entschlüsselungs-Tool zu kaufen. Beachten Sie jedoch, dass die Nachricht in Englisch, Französisch, Italienisch und Koreanisch ist. Es ist daher anzunehmen, dass Entwickler es hauptsächlich auf Benutzer aus den assoziierten Ländern abgesehen haben. Wie oben erwähnt, verwendet Locky Imposter RSA und AES Kryptografien. Daher erhält jedes Opfer zwei einzigartige Schlüssel, die notwendig sind, um die Daten wiederherzustellen. Alle Schlüssel werden auf einem externen Computer gespeichert, der von Cyberkriminellen kontrolliert wird und die Benutzer werden aufgefordert, ein Entschlüsselungs-Tool zu kaufen, das den eingebetteten Schlüssel enthält. Es heißt auch, dass die Zahlung innerhalb von 96 Stunden übermittelt werden muss, anderenfalls könnte der Entschlüsselungsschlüssel gelöscht werden. Die Kosten sind nicht angegeben, doch in der Regel schwanken sie zwischen $ 500 und $ 1500. Sie sollten unabhängig von den Kosten nie bezahlen. Cyberkriminelle ignorieren die Opfer wahrscheinlich, sobald Zahlungen geleistet wurden. Daher bringt die Zahlung eines Lösegelds typischerweise keinen Vorteil und die Opfer werden betrogen. Aus diesem Grund raten wir Ihnen dringend, alle Aufforderungen zu zahlen, zu ignorieren. Leider gibt es aktuell keine Hilfsmittel, die AES/RSA Algorithmen knacken und Dateien kostenlos wiederherstellen können. Daher ist die einzige Lösung alles durch eine Datensicherung zurückzugewinnen.

Bildschirmkopie einer Nachricht, die Benutzer auffordert, ein Lösegeld zu zahlen, um ihre betroffenen Daten zu entschlüsseln:

Locky Imposter decrypt instructions

Es gibt dutzende Erpressersoftware-artige Viren, wie Locky Imposter. Die Liste von Beispielen beinhaltet (aber nicht ausschließlich) CryptoConsole, TQV, Cryptes, Jigsaw, und Deep. Obwohl diese Viren von verschiedenen Cyberkriminellen entwickelt werden, verhalten sie sich identisch. Alle verschlüsseln Daten und verlangen Lösegeld. Tatsächlich gibt es nur zwei Hauptunterschiede: 1) Die Kosten für die Entschlüsselung und 2) die Art des verwendeten Verschlüsselungsalgorithmus. Unglücklicherweise benutzen die meisten Erpressersoftware-Algorithmen, die einzigartige Entschlüsselungsschlüssel erzeugen. Daher ist die Entschlüsselung von Daten ohne Mitwirken der Entwickler (es wird nicht empfohlen, diese Personen zu kontaktieren) unmöglich, außer dass der Virus nicht völlig entwickelt ist, oder bestimmte Fehler aufweist (z.B., dass der Schlüssel hart codiert, lokal gespeichert ist, oder ähnliches). Erpressersoftware ist ein starkes Argument für die Durchführung regelmäßiger Datensicherungen. Die Datensicherungsdateien müssen jedoch auf einem externen Server (z.B. der Cloud) gespeichert werden, oder einem nicht angeschlossenen Speichergerät. Wenn nicht, werden die Sicherungen mit regulären Dateien verschlüsselt.

Wie hat Erpressersoftware meinen Computer infiziert?

Erpressersoftware wird auf verschiedene Arten vermehrt, von denen diese die fünf beliebtesten sind: 1) Trojaner; 2) Spam-E-Mails [infizierte Anhänge]; 3) Peer-to-Peer [P2P] Netzwerke [torrents, eMule, etc.]; 4) Software Downloadquellen Dritter [Freeware Download- Websites, kostenlose File-Hosting Websites, etc.] und 5) falsche Software Updater. Trojaner öffnen „Hintertüren“ für andere Viren, damit sie das System infiltrieren können. Bösartige Anhänge werden gewöhnlich im Format von JavaScript Dateien oder MS Office Dokumenten geliefert. Nach dem Öffnen führen diese Dateien Befehle aus, die Malware herunterladen und installieren. P2P Netzwerke und inoffizielle Downloadquellen zeigen Malware als legitime Software an. Benutzer werden daher oft zum Herunterladen und zur Installation von Malware verleitet. Gefälschte Updater infizieren das System, indem sie veraltete Softwarefehler ausnutzen oder einfach Malware anstatt Updates herunterladen und installieren.

Wie schützt man sich vor Erpressersoftware Infektionen?

Mangelndes Wissen und fahrlässiges Verhalten sind die Hauptgründe für Computerinfektionen. Der Schlüssel zur Computersicherheit ist Vorsicht. Daher müssen Sie beim Surfen im Internet und dem Herunterladen/der Installation von Software sehr aufpassen. Überlegen Sie es sich gut, bevor Sie E-Mail Anhänge öffnen. Wenn die Datei irrelevant erscheint oder von einer verdächtigen E-Mail-Adresse empfangen wurde, öffnen Sie sie bitte nicht. Laden Sie Ihre Programme nur von offiziellen Quellen herunter (über direkte Download-Links) anstatt Downloadern/Installationsprogrammen Dritter. Diese Tools enthalten oft betrügerische Apps, weshalb ihre Nutzung nicht empfohlen wird. Es ist außerdem wichtig, dass die installierten Anwendungen auf dem neuesten Stand sind. Um dies aber zu erreichen, benutzen Sie daher nur die implementierten Funktionen oder Tools, die von den offiziellen Entwicklern angeboten werden. Die Installation und Ausführung eines bekannten Antivirus-/Anti-Spyware-Programms ist auch sehr wichtig. Wenn Ihr Computer bereits mit Locky Imposter infiziert ist, empfehlen wir einen Scan mit Spyhunter durchzuführen, um diese Erpressersoftware automatisch zu entfernen.

Text, der in der Textdatei der Locky Imposter Erpressersoftware angezeigt wird ("LOCKY-README.TXT“):

Bitte beachten Sie:
Alle Ihre Dateien, Bilder, Dokumente und Daten wurden mit einer militärischen Verschlüsselung RSA-AES-256 verschlüsselt.
Ihre Daten gehen nicht verloren. Aber sie werden verschlüsselt.
Damit Sie Ihre Dateien wiederherstellen können, müssen Sie einen Entschlüssler erwerben.
Führen Sie diese Schritte durch, um die Dateien wiederherzustellen.
1* Laden Sie den Tor Browser herunter. (Geben Sie einfach in Google "Tor herunterladen“ ein).
2* Navigieren Sie zu URL:  http://4wcgqlckaazugwzm.onion/index.php
3* Erwerben Sie den Entschlüssler, um Ihre Dateien wiederherzustellen.
Es ist sehr einfach. Wenn Sie das nicht glauben, dass wir ihre Dateien wiederherstellen können, dann können Sie 1 Datei im Bildformat kostenlos wiederherstellen.
Beachten Sie, dass die Zeit tickt. Der Preis wird alle 96 Stunden verdoppelt werden. Verwenden Sie sie also klug.
Ihre einzigartige ID: -
ACHTUNG:
Bitte versuchen Sie nicht, eine verschlüsselte Datei zu ändern oder zu löschen, da sie nur schwer wiederhergestellt werden kann.
SUPPORT:
Sie können den Support kontaktieren, um Ihre Dateien für Sie zu entschlüsseln.
Klicken Sie auf Support unter  http://4wcgqlckaazugwzm.onion/index.php



--------BEGINN BIT KEY---------
-
--------ENDE BIT KEY-----------
------------------------------
BEGINN FRANZÖSISCH
------------------------------
S'il vous plaît soyez avisé:
Tous vos fichiers, images, documents et données ont été cryptés avec Military Grade Encryption RSA AES-256.
Vos informations ne sont pas perdues. Mais chiffré.
Afin de vous permettre de restaurer vos fichiers, vous devez acheter Decrypter.
Suivez ces étapes pour restaurer vos fichiers.
1 * Téléchargez le navigateur Tor. (Il suffit de taper google "Télécharger Tor").
2 * Aller à l'URL: http://4wcgqlckaazugwzm.onion/index.php
3 * Achetez le Decryptor pour restaurer vos fichiers.
C'est très simple. Si vous ne croyez pas que nous pouvons restaurer vos fichiers, alors vous pouvez restaurer 1 fichier de format d'image gratuitement.
Soyez conscient que le temps est compté. Le prix sera doublé toutes les 96 heures, alors utilisez-le à bon escient.
Votre ID unique: -
MISE EN GARDE:
N'essayez pas de modifier ou de supprimer un fichier crypté, car il sera difficile de le restaurer.
SOUTIEN:
Vous pouvez contacter le support pour aider à déchiffrer vos fichiers pour vous.
Cliquez sur support à http://4wcgqlckaazugwzm.onion/index.php
------------------------------
ENDE FRANZÖSISCH
------------------------------
------------------------------
BEGINN ITALIENISCH
------------------------------
Si prega di essere avvisati:
Tutti i tuoi file, immagini, documenti e dati sono stati crittografati con Military Grade Encryption RSA AES-256.
Le tue informazioni non sono perse. Ma crittografato.
Per poter ripristinare i tuoi file devi acquistare Decrypter.
Seguire questa procedura per ripristinare i file.
1 * Scarica il Tor Browser. (Basta digitare su google "Download Tor").
2 * Passa a URL: http://4wcgqlckaazugwzm.onion/index.php
3 * Acquista Decryptor per ripristinare i tuoi file.
È molto semplice Se non credi che possiamo ripristinare i tuoi file, puoi ripristinare 1 file di formato immagine gratuitamente.
Sii consapevole che il tempo stringe. Il prezzo sarà raddoppiato ogni 96 ore, quindi usalo saggiamente.
Il tuo ID univoco: -
ATTENZIONE:
Si prega di non provare a modificare o eliminare alcun file crittografato in quanto sarà difficile ripristinarlo.
SUPPORTO:
È possibile contattare l'assistenza per decrittografare i file per conto dell'utente.
Clicca sul supporto in http://4wcgqlckaazugwzm.onion/index.php
------------------------------
ENDE ITALIENISCH
------------------------------
------------------------------
BEGINN KOREANISCH
------------------------------
조언을 받으십시오 :
모든 파일, 사진 문서 및 데이터는 군용 등급 암호화 RSA AES-256으로 암호화되어 있습니다.
귀하의 정보는 손실되지 않습니다. 그러나 암호화.
파일을 복원하려면 Decrypter를 구입해야합니다.
이 단계에 따라 파일을 복원하십시오.
1 * Tor 브라우저를 다운로드하십시오. (구글에 "Tor 다운로드"만 입력하면됩니다.)
2 * URL 찾아보기 : http://4wcgqlckaazugwzm.onion/index.php
3 * 파일을 복원하려면 Decryptor를 구입하십시오.
그것은 매우 간단합니다. 파일을 복원 할 수 있다고 생각지 않으면 이미지 형식의 파일 1 개를 무료로 복원 할 수 있습니다.
시간이 똑딱 거리고 있다는 것을 알아 두십시오. 가격은 96 시간마다 두 배가되므로 현명하게 사용하십시오.
고유 ID : -
주의:
암호화 된 파일을 수정하거나 삭제하지 마십시오. 복원하기가 어려울 수 있습니다.
지원하다:
지원 센터에 문의하여 파일의 암호를 해독하는 데 도움을받을 수 있습니다.
http://4wcgqlckaazugwzm.onion/index.php에서 지원을 클릭하십시오.
------------------------------
ENDE KOREANISCH
------------------------------

Bildschirmkopie des Locky Imposter Prozesses in Windows Task Manager:

Locky Imposter in Task Manager

Bildschirmkopie der Locky Imposter Webseite:

Locky Imposter website

Der Text, der auf dieser Webseite angezeigt wird:

Locky
Entsperren Sie Ihre Dateien
In nur wenigen Minuten!
Was passiert?
Ihre Dateien sind mit Locky Locker verschlüsselt.
Sie haben die Möglichkeit ihre Dateien durch Herunterladen des Locky Entschlüsslers wiederherzustellen. Und alle Ihre Dateien wiederherzustellen.
Seien Sie sich bewusst, dass kein anderer Entschlüssler funktioniert. Sie können es versuchen, aber vergessen Sie nicht, dass sich der Preis alle 96 Stunden verdoppelt. Also schnell handeln.
LOCKY UNLOCKER.

Bildschirmkopie der von Locky Imposter verschlüsselten Dateien (".locky" Erweiterung):

Files encrypted by Locky Imposter

Locky Imposter Erpressersoftware Entfernung:

Sofortige automatische Entfernung von Locky Imposter Virus: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von Locky Imposter Virus empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrückt halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das vom Locky Imposter Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spähsoftware Programm herunter. Aktualisieren Sie die Anti-Spyware und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle entdeckten Einträge.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann.

1. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffneten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der Locky Imposter Erpressersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Schadsoftware Entferungssoftware, damit alle Überreste der Locky Imposter Erpressersoftware Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert war. Beachten Sie, dass einige Variationen von Locky Imposter auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei einen Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Disk starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die Dateien wiederzuerlangen, die von Locky Imposter verschlüsselt wurden, können Sie auch versuchen, ein Programm namens Shadow Explorer zu benutzen. Für mehr Informationen, wie man dieses Programm benutzt, klicken Sie hier.

shadow explorer screenshot

Um Ihren Computer vor dieser Art von Erpressersoftware, die Dateien verschlüsselt zu schützen, sollten Sie ein bekanntes Antivirus- und Anti-Spähsoftware Programm benutzen. Als extra Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware benutzen, die künstliche Gruppenrichtlinienobjekte in das Register implantieren, um bösartige Programme, wie Locky Imposter zu blockieren.

Beachten Sie, dass das Windows 10 Fall Creators Update die "Controlled Folder Access" Funktion beinhaltet, die Versuchen von Erpressersoftware blockiert, Ihre Dateien zu verschlüsseln. Dieses Merkmal schützt standardmäßig automatisch Dateien, die in den Dokumenten, Bildern, Videos, Musik, Favoriten, sowie Desktop Ordnern gespeichert sind.

Controll Folder Access

Windows 10 Benutzer sollten dieses Update installieren, um Ihre Daten vor Erpressersoftwareangriffen zu schützen. Hier sind weitere Informationen darüber, wie man dieses Update erhält und eine zusätzliche Schutzschicht vor Erpressersoftwareinfektionen hinzufügt.

HitmanPro.Alert CryptoGuard - entdeckt Verschlüsselungsdateien und neutralisiert solche Versuche, ohne dass Benutzer einschreiten müssen.

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta benutzt fortgeschrittene, proaktive Technologie, die Erpressersoftware Aktivität überwacht und sie sofort beendet - bevor sie die Dateien der Benutzer erreicht:

malwarebytes anti-ransomware

  • Der beste Weg, um Schaden durch Erpressersoftware Infektionen zu vermeiden, ist regelmäßig, aktuelle Datensicherungen durchzuführen. Mehr Informationen über online Datensicherungslösungen und Datenwiederherstellungssoftware erhalten Sie Hier.

Andere Tools, die dafür bekannt sind Locky Imposter Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/13235-locky-imposter-ransomware