Die Ransomware GandCrab 2 ist die zweite Version der GandCrab Krypto-Malware. Wenn Sie die Nachrichten in der Cyber-Welt verfolgen, haben Sie vielleicht davon gehört, dass es der rumänischen Polizei zusammen mit BitDefender und Interpol gelungen ist, Zugriff auf die C&C-Server des GandCrab-Virus zu erlangen. Anschließend veröffentlichte BitDefender eine kostenlose Entschlüsselungssoftware, die es den Opfern ermöglichte, absolut gratis die beschädigten Dateien zu retten.
Dieser Rückschlag bedeutete jedoch nicht das Aus für die Entwickler des GandCrab-Erpressungstrojaners: Sie waren wild entschlossen, eine zweite Version zu entwickeln, komplexer und schwerer zu entschlüsseln. Wie angekündigt, haben die Hacker die Ransomware GandCrab 2 produziert und verteilen diese seit Anfang März 2018. Dieser Artikel fasst im Schnelldurchlauf die Veränderungen an der Ransomware zusammen und erläutert, ob die Opfer eine Chance haben, ihre Daten kostenlos entschlüsseln zu können. Im Augenblick sehen die Aussichten auf eine Datenrettung eher düster aus.
GandCrab 2 Krypto-Virus läuft mit neuen Command&Control-Servern und fügt die Endung .Crab an
Die Schöpfer von GandCrab 2 haben ihren vorherigen Virus einigen Änderungen unterzogen. Wie wir bereits erwähnt haben, haben sie neue Command&Control-Server aufgesetzt. Natürlich hoffen die Hacker darauf, sie ausreichend abgesichert zu haben, um nicht erneut dasselbe Schicksal zu erleiden. Außerdem haben die Gauner die Endung verändert, die an die verschlüsselten Dateien angehängt wird. Wenn Sie ein Opfer von GandCrab 2 sind, werden Sie bemerken, dass die beschädigten Dateien über die Endung .Crab verfügen.
Darüber hinaus haben die Hacker weitere subtile Änderungen vorgenommen. Eine davon ist die Lösegeldforderung, die mit der CRAB-DECRYPT.txt präsentiert wird. Die Nachricht enthält den üblichen Text, weist die Opfer aber auch an, sich den TOR-Browser herunterzuladen, um zur Webseite Gdcbmuveqjsli57x.onion gelangen zu können. Auf dieser Domain finden die Opfer weiter Informationen über die Möglichkeiten zur Entschlüsselung und über das eigentliche Lösegeld.
Die Hacker fordern 400 USD für den GandCrab-2-Dekryptor. Wenn die Zahlung nicht fristgemäß erfolgt, verdoppelt sich das Lösegeld auf 800 USD. Die Gauner erwarten, dass die Zahlung mit der Kryptowährung DASH erfolgt. Diese Bezahlungsmethode wurde bislang von wenigen Erpressungstrojanern benutzt.
Gibt es einen Weg, um Dateien zu entschlüsseln, die der Virus GandCrab 2 verschlüsselt hat?
Da der Erpressungstrojaner GandCrab 2 erst gestern, 6. März, entdeckt wurde, hatten Sicherheitsforscher noch nicht genügend Zeit, um ihn eingehender zu untersuchen. Leider gibt es keinen Weg, um die Dateien zu entschlüsseln, die die neue Version verschlüsselt hat, aber man sollte die Hoffnung nicht verlieren. Den Forschern könnte es erneut gelingen, Zugriff auf die C&C-Server zu erlangen und so einen einen kostenlosen Dekryptor zu erzeugen. Bis dahin, hoffen wir, dass Sie sich nicht einschüchtern lassen, das geforderte Lösegeld zu bezahlen. Geld an die Schöpfer von Erpressungstrojanern zu bezahlen, fordert nur deren Stolz und ermutigt sie, weiterhin an Krypto-Malware zu arbeiten (Your money or your files: Why do ransomware victims pay up?). Um die Autoren von Erpressungstrojanern zu stoppen, muss man aufhören, ihnen Geld zu geben.
Wenn Sie Back-ups Ihrer Dateien haben, stellt die Ransomware natürlich keine Gefahr für Sie dar. In diesem Fall sollten Sie die Ransomware von Ihrem Computer entfernen und sich Ihre Dateien aus Ihrem Back-up holen. Das stellt jedoch nicht immer eine Option dar, da recht wenig Leute Back-ups ihrer Daten anlegen.
Der GandCrab-2-Virus verbreitet sich durch irreführende Pop-ups und Malspam
Die Schöpfer des GandCrab-2-Virus nutzen wahrscheinlich mehrere Verbreitungswege. Vielleicht setzen sie auf irreführende Benachrichtigungen, die im Internet kursieren. Diese drängen für gewöhnlich die Leute dazu, sich eine Datei herunterzuladen. Wie wir berichtet haben, verteilte der HoeflerFont-Scam den GandCrab-Virus. Bei der zweiten Version ist noch unklar, welche Verbreitungsmethoden genutzt werden. Manche Malspam-Kampagnen könnten dazugehören. Wenn Sie eine verdächtige E-Mail erhalten, gehen Sie bitte vorsichtig damit um.
Es besteht kein Zweifel daran, dass Sie den Erpressungstrojaner GandCrab 2 von Ihrem Computer entfernen müssen. Dies kann manuell erfolgen, indem Sie die Anleitung befolgen, die wir am Ende des Artikels zur Verfügung stellen. Wenn Sie jedoch keine Erfahrung im Umgang mit Malware besitzen, können wir Ihnen nicht mit Gewissheit sagen, ob die Beseitigung von Ransomware glatt für Sie verläuft. Sie sollten sich ein Anti-Malware-Tool installieren und es zur Beseitigung des GandCrab-2-Virus benutzen. Wir empfehlen Ihnen dazu die besten Security-Programme auf dem Markt: Malwarebytes und Spyhunter. Mit diesen Tools sind Sie in der Lage, sich vor allen Arten von digitalen Parasiten zu schützen.
Gandcrab 2 Ransomware Schnelle Links
- GandCrab 2 Krypto-Virus läuft mit neuen Command&Control-Servern und fügt die Endung .Crab an
- Gibt es einen Weg, um Dateien zu entschlüsseln, die der Virus GandCrab 2 verschlüsselt hat?
- Der GandCrab-2-Virus verbreitet sich durch irreführende Pop-ups und Malspam
- Programme zur automatischen Entfernung von Malware
- Wie entferne ich GandCrab 2 Ransomware mit einer Systemwiederherstellung?
- Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
- Shritt 2. Schließen Sie die Entfernung von GandCrab 2 Ransomware ab.
- Shritt 3. Stellen Sie die von GandCrab 2 Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Gandcrab 2 Ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Gandcrab 2 Ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,
Wie entferne ich GandCrab 2 Ransomware mit einer Systemwiederherstellung?
Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
für Windows 7 / Vista/ XP
- Start → Herunterfahren → Neu starten → OK.
- Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
- Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
für Windows 8 / 10
- Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
- Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
- Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.
Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
- Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
- Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
- Klicken Sie im nächsten Fenster auf „Weiter“.
- Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem GandCrab 2 Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
- Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.
Shritt 2. Schließen Sie die Entfernung von GandCrab 2 Ransomware ab.
Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit GandCrab 2 Ransomware in Verbindung stehen, zu entfernen.
Shritt 3. Stellen Sie die von GandCrab 2 Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht GandCrab 2 Ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.
Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.
a) Windows-VorgängerversionenKlicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.
b) Shadow Explorer
Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.
Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.