Der GIBON-Virus ist als Ransomware eingestuft – als einer ziemlich gefährliche. Dieser vom berühmten Sicherheitsheitsforscher Matthew Mesa entdeckte Virus ist immer noch ein kleines Mysterium. Der Ursprung des Virus ist unbekannt, aber ist es klar, dass diese Ransomware große Schäden anrichten kann.
Die Gibon-Ransomware wird über Phishing-Mails verteilt. In den E-Mails, die diese Ransomware verbreiten, können Makros gefunden werden, die dazu dienen, die Nutzlast der Malware herunterzuladen und auf dem Computer laufen zu lassen. Wieder einmal: E-Mails aus der Spam-Kategorie zu öffnen ist sehr gefährlich und wir raten Ihnen dringend davon ab.
Erst einmal auf dem Rechner ist die erste Handlung des Gibon-Virus, eine Verbindung zu seinem C&C-Server aufzubauen. Tatsächlich bekam dieser Virus den Namen Gibon, wegen des in dieser Verbindung benutzten „GION“-Strings. Warum wird diese Verbindung benötigt? Sie dient der Registrierung des neuen Opfers – die wichtigsten Daten wie der base64-encodierte String mit einem Zeitstempel und der Windows-Version des infizierten Computers.
Das ist alles, was sie brauchen, um erfolgreich Ihren Computer zu infizieren – sobald er auf deren Servern registriert ist, wird ein einzigartiger Schlüssel erzeugt, und die meisten Dateien auf Ihrer Festplatte werden verschlüsselt. Alle verschlüsselten Dateien erhalten eine neue Endung – .encrypt. Wenn Sie also eine Datei namens ‘myfile.txt’ hatten, wird sie jetzt ‘myfile.txt.encrypt’ heißen. Von diesem Augenblick an ist sie vollständig verschlüsselt und kann nicht mehr geöffnet werden. Aus diesem Grund kann man diese Ransomware auch Verschlüsselungsvirus nennen.
Nach erfolgter Verschlüsselungs-Prozedur verbindet sich die GIBON-Ransomware erneut mit dem C&C-Server und sendet ein Signal, dass der Computer vollständig verschlüsselt ist, und lädt zwei zusätzliche Dateien herunter: desktop.ini.encrypt und READ_ME_NOW.txt. Bei diesem Text handelt es sich um die sogenannte Lösegeldforderung – Anweisungen, was Sie als Nächstes unternehmen sollen und wie Sie Ihre Dateien dechiffrieren können. Original-Text der Datei:
Achtung! Alle Dateien sind verschlüsselt!
Um die Dateien wiederherzustellen, schreiben Sie an die Mail: [email protected]
Wenn Sie von dieser Adresse nicht innerhalb von 24 Stunden eine Antwort erhalten, schrieben Sie an die Ersatzadresse: [email protected]
Der Eigentümer des infizierten Computers wird aufgefordert, sich binnen 24 Stunden bei einer bestimmten E-Mail-Adresse zu melden und auf weitere Anweisungen zu waren. Wie Sie sehen können, sind beide E-Mail-Adressen in Russland registriert, und der Virus verfügt über einige russische Zeichen und Wörter, die den Schluss nahelegen, dass dieser Virus in Russland entwickelt wurde, oder zumindest von jemandem mit Verbindungen zu diesem Land. Manche behaupten sogar, dass er irgendwie mit dem Bad-Rabbit-Virus zu tun hat, der auf Russland und Osteuropa abzielt und $285 als Lösegeld fordert.
Es ist nicht bekannt, wie viel man bezahlen muss, damit die von GIBON verschlüsselten Dateien entschlüsselt werden, aber wir müssen das auch gar nicht wissen, weil es eine kostenlose Möglichkeit dazu gibt, um dieses Problem zu lösen.
Wie man von der GIBON-Ransomware verschlüsselte Dateien entschlüsselt
Zum Glück gibt es einen kostenlosen Dekryptor für die GIBON-Ransomware, den Sie hier herunterladen können. Mit der Hilfe dieses Gratis-Tools können Sie sich alle Ihre Dateien kostenlos zurückholen. Jedoch war es das noch nicht bezüglich der GIBON-Infektion. Selbst wenn Sie Ihre Dateien entschlüsseln und entsperren, verbleiben einige Viren-Dateien auf Ihrem Computer, die so schnell wie möglich entfernt werden müssen.
Am besten macht man das mit einer vertrauenswürdigen Anti-Malware-Anwendung, wie Combo-cleaner (Mac) oder SpyHunter(Win). Jedes dieser Programme sollte sofort die bösartigen Dateien des GIBON-Virus erkennen und endgültig entfernen. Ein solches Programm auf Ihrem Rechner installiert zu lassen, wird Sie künftig davor bewahren, von ähnlichen Bedrohungen betroffen zu sein, weil der Echtzeitschutz sofort alle Versuche abwehrt, Ihren Computer zu infizieren.
Gibon Virus Schnelle Links
- Wie man von der GIBON-Ransomware verschlüsselte Dateien entschlüsselt
- Programme zur automatischen Entfernung von Malware
- Wie entferne ich GIBON Virus mit einer Systemwiederherstellung?
- Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
- Shritt 2. Schließen Sie die Entfernung von GIBON Virus ab.
- Shritt 3. Stellen Sie die von GIBON Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Gibon Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Gibon Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,
Wie entferne ich GIBON Virus mit einer Systemwiederherstellung?
Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
für Windows 7 / Vista/ XP
- Start → Herunterfahren → Neu starten → OK.
- Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
- Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
für Windows 8 / 10
- Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
- Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
- Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.
Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
- Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
- Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
- Klicken Sie im nächsten Fenster auf „Weiter“.
- Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem GIBON Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
- Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.
Shritt 2. Schließen Sie die Entfernung von GIBON Virus ab.
Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit GIBON Virus in Verbindung stehen, zu entfernen.
Shritt 3. Stellen Sie die von GIBON Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht GIBON Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.
Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.
a) Windows-VorgängerversionenKlicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.
b) Shadow Explorer
Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.
Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.
Ist mir alles zu aufwendig ,bin nicht so mit IT bewandert eher nur Anwendr. Geht es auch einfacher??
Wäre für eine Anwort Dankbar. Danke im voraus.
Tobbie
Tobbie, falls Sie nicht wissen, was Sie tun sollen, scannen Sie Ihren Computer mit Anti-Malware-Software.