qkG Rnsomware entfernen

Bei der qkG-Ransomware handelt es sich um eine neue und einzigartige Krypto-Malware. Sie wird aktiviert, wenn die Leute ein bösartiges Word-Dokument herunterladen und auf den „Bearbeiten erlauben“-Button klicken. Dabei wird auf auf die Strategie gesetzt, Makros in scheinbar harmlosen .doc-Dateien zu verstecken. Wenn Sie nicht mit MakroViren vertraut sind, sie können als Computer-Schädlinge verstanden werden, die sich in Dokumenten und Dateien verstecken. Häufig werden Word-Dateien, PDFs oder Spreadsheets dafür benutzt, um bösartige Makros zu transportieren. Sobald eine Person das Bearbeiten erlaubt, werden diese VBA-Makros ausgeführt. Jedoch haben neuere Studien gezeigt, dass Malware ausgeführt werden könnte, obwohl Makros deaktiviert sind.

Diese qkG-Malware basiert vollständig auf dem Makro-Script. Normalerweise werden Makros nur für den Prozess der Verteilung und Aktivierung verwendet. Für Autoren von Erpressungstrojanern ist das die klassische Strategie, aber der qkG-Krypto-Virus bricht mit dieser Regel und läuft komplett als VBA-Makro namens qkG. Die Ransomware befindet sich jedoch noch in der Entwicklung und regelmäßig werden neue Funktionen hinzugefügt. Forscher haben unterschiedliche Muster dieser Malware identifiziert. Obwohl man annimmt, dass Makros für Benutzer von Windows-Betriebssystemen gefährlich sind, haben wir außerdem ausgeführt, dass sogar MacOS unter den Auswirkungen zu leiden haben könnte.


qkG ransomware

Der qkG-Virus erklärt: versteckte Makros, Verschlüsselung von Word-Dateien, eigenständige Vermehrung und viele andere Details.

Die qkG-Ransomware setzt auf eine sehr interessante (und verstörende) Strategie. Sie verändert normale .dot-Vorlagen und fügt darin den Virus (bösartiges Makro) ein. Deshalb wird die modifizierte Vorlage jedes Mal, wenn das infizierte System die Word-Anwendung startet, die Codes der Ransomware aufrufen und die im Augenblick geöffneten Dateien verschlüsseln QkG Filecoder: Self-Replicating, Document-Encrypting Ransomware). Ganz überraschend werden die Rechner der Empfänger mit der Ransomware infiziert, wenn eine Person ein infiziertes Dokument an andere verschickt und dort das Dokument geöffnet und das Bearbeiten erlaubt wird. Das ist ein ziemlich cleverer Trick, um die Leute dazu zu bringen, den Virus zu übertragen.

Der qkG-Dateiverschlüssler besitzt weitere interessante Features. Eines seiner Samples verschlüsselt Daten nur an einem bestimmten Wochentag und zu einer bestimmten Zeit. Hinzu kommt, dass wenn dieser Erpressungstrojaner im derzeitigen Entwicklungsstand verbreitet wird, könnten die Hacker die Dateien nicht mehr entschlüsseln. Die ersten Versionen des qkG-Krypto-Virus waren unvollständig. Wieso? Nun, sie verfügten nicht einmal über die Adresse einer Bitcoin-Wallet, an welche die Opfer das Lösegeld senden könnten.

Kommen wir zur Verschlüsselung der Dateien. Anscheinend chiffriert der Virus die Dateien, nachdem sie geschlossen wurden. Zum Verschlüsseln setzen die Autoren auf eine XOR-Chiffre. Sicherheitsforscher gehen davon aus, dass diese Ransomware aus Vietnam stammt, da eine der Payloads „Tuyen bo chung Viet Nam – Hoa Ky – Infected.doc“ hieß (File scan). Ein weiteres Sample mit fünf Regeln als Snort.doc ausgeliefert (VirusTotal scan).

Derzeit können Leute, die sich mit dem gkG-Virus angesteckt haben, ihre Dateien mit dem Code „I’m QkG@PTM17! by TNA@MHT-TT2“ entschlüsseln (MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware). Verschlüsselte Dateien verfügen nicht über bestimmte Endungen, aber die Namen der Dateien können verändert werden.

Hilfreiche Tipps zur Bekämpfung von Krypto-Viren wie dem Dateiverschlüssler qkG

Wir wollen nun einige Methoden ausführen, um Krypto-Malware aus dem Weg zu gehen. Sie sollten niemals verdächtige .doc-Dateien herunterladen. Wenn Sie eine solche Datei aus unbekannter Quelle erhalten, sollten Sie sorgfältig prüfen, ob sie gefährlich ist. Wenn Sie die Datei aufrufen und das Bearbeiten erlauben, laden Sie die Ransomware auf Ihr System ein, ganz wie im Fall des qkG-Schädlings.

Obwohl die hier im Artikel besprochene Variante noch keine echten Nutzer kompromittiert, wird sie schnell weiterentwickelt. Es könnte nicht mehr lange dauern, bis das finale Sample seine Opfer erreicht und deren Dateien verschlüsselt. Wenn das passiert, werden Sicherheitsforscher versuchen, den Opfern beim Wiedererlangen der Dateien zu helfen.

Sie können sich gegen Ransomware-Viren immunisieren, indem Sie Back-up-Speicher nutzen. Laden Sie einfach Ihre wertvollen Daten zu einem dieser Dienstleister hoch. Als Ergebnis müssen Sie sich keine Sorgen mehr um Verschlüsselungsviren wie die qkG-Ransomware machen.

Wir denken, dass Sie ein Anti-Malware-Programm benötigen, um sich vor Malware zu schützen. Das Reparatur-Tool Spyhunter ist einfach in der Anwendung, effizient und schnell. Es hilft Ihnen mit regelmäßigen Scans, die Wahrheit über den Gesundheitszustand Ihres Systems herauszufinden.

Das Tool ist erhältlich für Windows, Mac und sogar Android. Reimage repariert beschädigte Windows-Dateien, stellt diese wieder her und findet den Ursprung von bösartigen Aktivitäten. Wenn Ihr Computer häufiger von Viren kompromittiert wird, garantieren wir, dass alle Probleme gelöst werden, sobald Sie sich Reimage holen.

Wie entferne ich qkG Rnsomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem qkG Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von qkG Rnsomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit qkG Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von qkG Rnsomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht qkG Ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

Quelle: https://www.2-viruses.com/remove-qkg-ransomware

Removal guides in other languages

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.