.THOR LOCKY RANSOM-VIRUS ENTFERNEN

.thor Locky Ransomware
.thor Locky Ransomware

.Thor Ransomware (.thor Datei Virus) ist eine weitere Dateierweiterung, die seit dem Anfang Nowember im Umlauf ist und schon viele Schäden eingerichtet hat. Das Erpressungsprogramm unterscheidet sich nur wenig von den anderen .shit, .zepto oder .odin Locky-Varianten. Es hinterlegt allerdings anders als Locky nach der Verschlüsselung der Benutzerdateien die Dateien _WHAT_is.html und _WHAT_is.bmp auf dem Rechner. Es wird eine Kombination aus den Verschlüsselungsverfahren RSA-2048 und AES-128 verwendet, die Dateistruktur zerstört, verändert und Dateinamen .thor am Ende anhängt.

.thor Trojaner Desktopmeldung
.thor Trojaner Desktopmeldung

Selbst der Locky Crypto Trojaner existiert schon fast seit einem Jahr und hat in diesem Zeitraum bisher nur noch die neuen weiterentwickelten Versionen auf den Virus-Markt gebracht. Diese Schadsoftware bleibt als vorherrschender und gefährlichster Erpressungsvirus. Um die Entschlüsselung komplizierter zu machen hat sich die Häufigkeit der neuen Locky Crypto Editionsveröffentlichungen erhöht. Die vorherige Variante mit dem Namen .shit hielt nicht Mal eine Woche stand. Der letzte Virus brachte ein paar kleine Veränderungen mit sich. Zunächst begann die Ransomware damit, die .thor Erweiterung auf alle Dateien anzuhängen die im Laufe der Installation zu verschlüsseln. Weiterhin haben sich die Erpresser dazu entschlossen das Format des schädlichen Loaders zu modifizieren.

Der Vorgang der Infizierung geht folgendermassen vor: Beispiel: Sie bekommen eine unbekannte Email, von einem Ihnen unbekannten Absender, mit dem Betreff „75654 (Empfängername)“ und einem .zip-Archiv mit dem Namen z. B.  „MESSAGE_426935284968036_(Empfängername).zip“. Darin enthalten ist wieder eine .zip-Datei mit dem Namen „SHOP_286_ZIP.zip“, welches ein JavaScript mit dem Namen „SHOP_286.js“ enthält.

 

Das JavaScript lädt von der Domain www.parametersnj.top/user.php?f=1.dat eine Datei nach und speichert diese als „wihvQM7DZXfFNm76u.p2Y“. Die Erkennungs-Virus-Rate bei solchen Trojanern ist sehr gering. Oft wird sogar beim Virustotal.com die Bedrohung nicht erkannt oder gering angezeigt. Der Trojaner sendet auch Daten an 107.181.174.34/message.php und startet die Verschlüsselung.

 

Nachdem alles verschlüsselt ist, bekommt man eine Meldung mit Geldaufforderung und Zahlungsmöglichkeiten. Die Erpresser haben für Sie schon die möglichen Zahlungsmodulen vorbereitet:

.thor Ransomware Payment Details
.thor Ransomware Payment Details

Die Art und Weise auf die sich .thor Ransomware zurzeit verbreitet ist, sind die Spam Mails, unterstützt vom Botnetz mit dem Namen Necurs. Das Format der angehängten Fake-Datei wurde jedoch in .hta geändert. Es beeinhaltet eine HTML-Applikation die schädliche Prozesse im Hintergrund auslöst sobald sie ein ahnungsloser Benutzer öffnet. Diese fake Emails können die folgenden Betreffe haben: Zahlungsquittung oder Beschwerdebrief. Was noch sehr wichtig ist, ist der Versuch die Shadow Kopien der Dateien zu löschen. Die Erpresser wissen, dass wir den Shadow Explorer und andere Data Recovery Programmen empfehlen. So, versuchen sie, solche Recovery Möglichkeiten zu blockieren, indem sie Recovery Block Befehl einführen:

Shadow Copy Beseitiger Befehl
Shadow Copy Beseitiger Befehl

Hier ist eine Liste der Dateien, die am Häufigsten vom .thor Ransomware verschlüsselt werden:

.thor Virus Angriffsziele
.thor Virus Angriffsziele

Wie kann man jetzt dieses Problem lösen? Das Windows Betriebsystem bietet eine Möglichkeit, die im Zusammenhang mit den Wiederherstellungspunkten steht. Kurz gesagt, man muss die Wiederherstellungspunkte setzen bevor die Infektion passiert. Haben Sie das vorher gemacht? Dann haben Sie Glück! Rechtsklicken Sie auf Datei oder Ordner...danach auf Vorgängerversionen klicken...dann erscheint eine Liste der gesicherten Dateien und Ordner mit dem Datum und Uhrzeit...wählen Sie eine Datei aus...klicken Sie auf Wiederherstellen.

Für die, die keine Wiederherstellungspunkte vor der Infezierung gesetzt haben, gibt es zwei getestete Möglichkeiten:


Dateien mit dem Data Recovery Pro Programm wiederherstellen.

 

Dadurch, dass Sie keine Wiederherstellungspunkte vor der Infezierung gesetzt haben, löscht der Virus alle Originaldateien. Wir müssen jetzt versuchen diese Dateien wiederherstellen. Aus diesem Grund können Anwendungen wie Data Recovery Pro die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat ihren Effektivität bewiesen.


Thor Ransomware mit dem automatischen Reinigungsprogramm entfernen.

Hierbei handelt es sich um eine exklusive Methode um Malware und Erpressungsviren im Allgemeinen zu entfernen. Wir haben dieses Programm getestet und kommen zu folgendem Ergebnis: Das Programm macht ihre Arbeit sehr gut, hat eine einfache Bedienung, wird auf Deutsch ausgeführt, hat kostenlosen Virusscanner. Ob Sie den kostenpflichtigen Virusentferner installieren möchten-das müssen Sie selbst entscheiden. Das Entfernungsprogramm wird im Abo für 6 Monaten verkauft und kostet 35 Euro pro Jahr. Was muss verbessert werden? Wir wünschen uns eine Testversion oder 1 Monat Abo. Kündigung muss nicht verpasst werden, sonst wird der Vertrag für die nächsten 6 Monate verlängert. 

Tipp: Wenn Sie den kostenlosen Scanner nicht mehr brauchen und über Systemsteuerung deinstallieren möchten, wird Ihnen angeboten das Virusentfernerprogramm für 10 Euro pro Jahr zu erwerben. Nutzen Sie diese Möglichkeit! Das Programm ist auf jeden Fall 10 Euro pro Jahr wert.

Laden Sie bitte den kostenlosen Antivirusscanner herunter und scannen Sie Ihren Computer.

Nach dem Scannen wird eine Liste mit erkannten Viren geliefert. Klicken Sie auf Bedrohungen beheben. Dies wird alle Schädlinge entfernen.


Hinweis: Der Virus kann Ihren Browser blockieren. In diesem Fall, wenn Sie zum Beispiel Firefox Browser als standard Browser benutzen und Probleme mit dem Herunterladen haben, versuchen Sie es mit dem Internet Explorer, Chrome oder Safari.

 

Sie können auch Antivirus Programmen auf einem sauberen Computer instalieren und dann auf den USB Stick, SD Card, DVD / CD brennen und anschliesslich auf den infizierten Computer übertragen.


Datensicherung finden wir als beste Problemlösung überhaupt.

Damit so was nie mehr passiert, raten wir Ihnen Ihre Daten mit einem Online Speicher zu sichern. Die daten werden automatisch auf einem externen Server gespeichert und können immer wiederhergestellt werden. Im Falle einer PC-Infektion oder eines Festplatten-Defektes können Sie dann  Ihr Computersystem zurücksetzen ohne Angst zu haben alle für Sie wertvolle Dateien und Bilder zu verlieren.

Tipp: Nutzen Sie die 14 Tage Probezeit kostenlos. Entscheiden Sie sich danach für ein Jahr bzw für zwei Jahre Nutzung, kostet der Monat nur noch etwa 3 Euro.


Kommentar schreiben

Kommentare: 0