Ransomware - was tun?

Was bedeutet Ransomware? ransom (englisch) bedeutet: Lösegeld. Es gibt auch „Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner“.

 

Der Erpresser hat dir mit betrügerischer Absicht gemailt. Drin ist ein Trojaner (= gefährliches Virus) im Anhang oder einen bösartigen Link bzw. Downloadlink! Wenn du eine unbekannte E-Mail mit Anhang die unbekannten Dateien mit Trojaner unbemerkt geöffnet oder einen falschen Link geklickt hast, dann landet ein Erpressungstrojaner unsichtbar im Computer oder Notebook! Es gibt viele betrügerische E-Mails von Amazon, BKA, DHL, Ebay, MediaMarkt, PayPal, Sparkasse, Telekom, Volksbank oder andere! Das macht uns alles kaputt! Warum? Ein Erpressungstrojaner macht alle Daten in kurzer Zeit schnell verschlüsselt, damit du diese nicht öffnen kannst! Auf der Festplatte siehst du die doppelte Dateiendung zum Beispiel Dateiname: Blume.jpg.nobu statt Blume.jpg (nicht doppelte Dateiendung, sondern nur eine bekannte Dateiendung). Das heißt, dass eine letzte unbekannte Dateiendung .nobu oder andere ein Trojaner hat. Es gibt viele verschiedene unbekannte Dateiendungen vom Erpresser, wo es auf der Liste im Internet steht. Schau mal eine Kopie von betroffener Kunde unten (am Schluss)!

 

Auf gar keinen Fall zahlen!!! Warum? Wenn du das bezahlen musst, dann bekommst du kein(e) Entschlüsselungstool(s) (= Entschlüsselungswerkzeug) von der Erpresser! Das bedeutet, dass der Erpresser dich betrügt! Das ist keine Chance, weil der Erpresser gerne das Geld stehlen möchte! Ein Lösegeld ist ein Trick! Oft sind die E-Mail-Adressen vom Erpresser falsch! Der Erpresser droht damit, die Daten teilweise oder ganz zu löschen, wenn innerhalb von 72 Stunden (3 Tage) kein Lösegeld gezahlt wird. Der Versuch ist strafbar! Am besten kannst du eine Anzeige bei der Polizei wegen Erpressung erstatten! Das wäre besser als nix! Weitere Infos unter Computersabotage!

 

Welche Daten sind verschlüsselt? Archiv, Audio, Backups, Bilder, Datenbankdokumente, Dokumente, Fotos, Geschäftsunterlagen, Unterlagen, Videos auf der Festplatte und alles, was im USB-Stick gespeichert ist, sind durch Erpressungstrojaner verschlüsselt! Wo dieses gefährliches Virus eine Infektion im Computer oder Notebook verursacht hat, landen die Viren häufig zufällige Namen in den folgenden Ordnern:

  • %AppData% 
  • %Local%
  • %LocalLow%
  • %Programdata%
  • %System%
  • %system32%
  • %Temp%
  • %Windows%

Der Antiviren-Hersteller fügt die kostenlosen Entschlüsselungstools auf der Homepage ein. Leider gibt es nicht überall im Internet! Warum? Jeden Tag kommt immer ein neues Trojaner, weil der Antiviren-Entwickler mehr Zeit für Entschlüsselungstool braucht! Das dauert viel zu lange, bis man die gesperrten Daten entschlüsseln kann! Oft ist eine Verschlüsselung zu stark! Schau dir mal im Internet unter Ransomware-Liste inkl. Decryptor (zum Entschlüsseln) an, ob das schon da ist oder nicht! Warnung!!! Leider gibt ein falsches Entschlüsselungstool vom Erpresser im Internet oder in der Tauschbörse, weil du dich das nicht auskennst! Benutzung auf eigene Gefahr!!! Für Laien (= Nichtfachmann) ausdrücklich nicht empfohlen!

  

Wenn du keine Ahnung über folgenden Anweisungen hast, dann soll der PC-Fachmann oder PC-Spezialität in der Nähe alles machen! Die Arbeitskosten sind nicht kostenlos! Im normalen Computergeschäft verlangt der Fachmann ab 80 Euro! Am besten soll der PC-Fachmann einen Kostenvoranschlag machen! Bitte gut überlegen und entscheiden!

 

Viele PC-Kunden sind betroffen, weil die wichtigen Daten zum Beispiel Bilder, Videos, Dokumente, E-Mails und so weiter verlorengehen können! Ohne Datensicherung hat der PC-Fachmann im Computer oder Notebook alles formatiert und Windows neu installiert! Warum? Das ist bequem als Ransomware entfernen! Weitere Info unter Datensicherung!

 

Was musst du machen, wenn alle verschlüsselten Daten im Computer oder Notebook stehen? Es gibt verschiedene Anleitungen bei der Suchmaschine zum Beispiel www.google.de im Internet, um die Daten zu entschlüsseln! Du kannst ein Beispiel bei der Suche eingeben und suchen: .nobu virus entschlüsseln und entfernen oder .nobu trojaner entschlüsseln und entfernen. Die Anleitungen sind leider kompliziert!

 

Ich übernehme keine Haftung bei Irrtümern oder Fehlern, was ich wichtige Punkte von Anfang bis Ende geschrieben habe! Die Anleitungen im Internet, wo die Computerexperten geschrieben haben, sind ähnlich!

  • Internet und Computer oder Notebook müssen sofort trennen!
  • Computer oder Notebook muss sofort ausschalten!
  • Am besten nach 5 bis 15 Minuten kannst du Computer oder Notebook einschalten!
  • Dein Passwort-Manager muss aus Sicherheitsgründen abmelden!
  • Cloud(s) (= sichere Dateien auf Server automatisch speichern) muss/müssen sofort abmelden, sonst landet ein Trojaner auch! Das gehört leider ein großes Risiko!
  • Tools zur Systembereinigung und -optimierung (zum Beispiel Advanced SystemCare, CCleaner, Glary Utilities, Registry Cleaner oder ähnlich) müssen sofort deaktivieren! Das heißt, dass es nicht automatisch reinigen und überschreiben darf!
  • Datenträgerbereinigung und Defragmentierung dürfen nicht mitmachen!
  • Abgesicherter Modus mit Netzwerktreibern benutzen, nicht Windows normal starten! Siehe Anleitung!

  • Taskmanager öffnen, Menü „Details“ klicken, zum Beispiel Suspicious.exe auf der Liste Name ohne Benutzername und Beschreibung (die beiden fehlen auf der Liste und stehen leer (weiß), einfach kein Firmenname!) und Kontextmenü „Task beenden“ klicken! Benutzung auf eigene Gefahr!!! Für Laien ausdrücklich nicht empfohlen! Schau dir mal die Beispielbilder im Internet an! Bitte nicht nachahmen (= gleichtun)!

  • Taskmanager schließen!
  • Ordneroptionen öffnen, dann Menü "Ansicht" klicken!
  • "Erweiterungen bei bekannten Dateitypen ausblenden" und "Geschützte Systemdateien ausblenden (empfohlen)", bitte die beiden Häkchen entfernen! Wenn eine Meldung über Warnung kommt, dann sollst du bitte „Ja“ klicken! Benutzung auf eigene Gefahr!!! Für Laien ausdrücklich nicht empfohlen! Schau dir mal das Video mit Untertitel im Internet an!
  • Taste "Übernehmen" klicken, dann Ordneroptionen schließen!
  • C:\Windows\System32\drivers\etc navigieren! Hosts-Datei öffnen und alle gesperrten Internetadressen auf der Liste suchen und löschen! Benutzung auf eigene Gefahr!!! Für Laien ausdrücklich nicht empfohlen! Schau dir mal das Video mit Untertitel im Internet an! Bitte nicht nachahmen (= gleichtun)!
  • Hosts-Datei schließen!
  • Autostart-Ordner öffnen: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp. Hinweis: "Start Menu = Startmenü" und "StartUp = Autostart"! Bitte alles löschen, aber eine Datei "desktop.ini" muss bleiben!
  • Autostart-Ordner öffnen: C:\Users\Dein Benutzername z. B. Sepp Mustermann\AppData\Roaming\Microsoft\Windows\Start Menu\  Programs\Startup. Bitte alles löschen, aber eine Datei "desktop.ini" muss bleiben!
  • C:\SystemID navigieren! Wenn das nicht steht, dann kannst du weiter machen! Eine Datei "SystemID.txt" öffnen, dann ein Ende mit ...t1 suchen! Das bedeutet, dass es offline (= aus) ist, wenn ein anderes Ende online (= ein) ist! Eine Entschlüsselung ist möglich, dass du vielleicht eine Chance hast! Ich kann dir nichts versprechen! 
  • Windows-Registrierungs-Editor (Regedit) öffnen, auf der Ebene Run und RunOnce Schlüssel öffnen und alle Werte des Virus (letzte unbekannte Dateiendung) durch einen Rechtsklick entfernen (alle Autostart-Programme)! Oder du kannst die Werte manuell löschen! Ich zeige dir 2 Beispiele ohne und mit Virus. Richtiger Wert (Original): "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s und falscher Wert (letzte unbekannte Dateiendung): "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" /FORPCEE4. Benutzung auf eigene Gefahr!!! Für Laien ausdrücklich nicht empfohlen! Schau dir mal die Beispielbilder im Internet an! Bitte nicht nachahmen (= gleichtun)!
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\  Currentversion\Run\...
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\  Currentversion\Run\...
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\  Currentversion\RunOnce\...
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\  Currentversion\RunOnce\...
    • HKLM\Software\Microsoft\WindowsNT\Currentversion\ Winlogon, Schlüssel „Shell“ öffnen, Wert umbenennen: explorer.exe (Original aber ohne "i"), Taste „OK“ klicken!
  • Windows-Registrierungs-Editor (Regedit) schließen!
  • Beide "Windows-Taste" und Taste "R" drücken!
  • Befehl eingeben: temp, dann Button "OK" klicken!
  • Alle temporäre Ordnern und Dateien komplett löschen, dann Fenster schließen! Bitte Papierkorb nicht leeren! 
  • Beide "Windows-Taste" und Taste "R" drücken!
  • Befehl eingeben: %temp%, dann Button "OK" klicken!
  • Alle temporäre Ordnern und Dateien komplett löschen, dann Fenster schließen! Bitte Papierkorb nicht leeren!
  • Ordneroptionen öffnen, dann Menü "Ansicht" klicken!
  • "Geschützte Systemdateien ausblenden (empfohlen)", bitte mit Häkchen aktivieren, damit du die Systemdateien nicht aus Versehen löschen kannst!
  • Taste "Übernehmen" klicken, dann Ordneroptionen schließen!
  • Unbekannte Programme sofort deinstallieren!
  • Internetverbindung aktivieren!
  • 2 Anti-Malware-Programme im Internet herunterladen, installieren und jetzt prüfen! Zuerst Malwarebytes Anti-Malware, dann Emsisoft Anti-Malware! 2-mal prüfen ist besser! Wichtiger Hinweis: „Du musst die Virendateien in Quarantäne verschieben, aber du darfst alles nicht löschen! Bitte die Anti-Malware-Programme nicht deinstallieren!“
  • Ransomware identifizieren! Hier klicken!
  • Entschlüsselungstool suchen und herunterladen! Hier klicken!
  • Entschlüsselungstool öffnen! Wie funktioniert das? Schau dir das Beispielvideo ab 2:50 Minuten an!
  • Gesperrte Daten entschlüsseln!
  • Du sollst die unverschlüsselte Daten zum Beispiel Bilder, Videos und so weiter öffnen! Klappt das?
  • Falls nein, dann kannst du mit Entschlüsselungstool nochmals versuchen!
  • Wenn du keinen Erfolg mit Entschlüsselungstool hast, dann kannst du das komplette System im Computer oder Notebook wiederherstellen! Wenn der Systemwiederherstellung deaktiviert ist, dann hast du leider keine Chance bei der Wiederherstellung! Wichtiger Hinweis: „Wenn du eine SSD-Festplatte (= schnelle Festplatte) im Computer oder Notebook hast, dann darfst du das nicht machen!"
  • Programm „Everything“ (schneller als Windows-Suche) im Internet herunterladen, installieren und öffnen!
  • Befehl zum Beispiel eingeben: *.nobu oder *.txt!
  • Bitte alle gesperrten Daten mit doppelter Dateiendung und Textdateien mit „Ihre persönliche ID“ vom Erpresser kopieren und auf UBS-Stick(s) oder externe Festplatte speichern! Nicht mit CD(s) oder DVD(s)! Zum Beispiel: Textdatei „_readme.txt“. Schau mal eine Kopie von betroffener Kunde unten (am Schluss)! Das ist wichtig, wenn du die gesperrten Daten mit dem Versuch später entschlüsseln kannst!
  • Abgesicherter Modus mit Eingabeaufforderung benutzen, nicht Windows normal starten! Siehe Anleitung!
  • Befehl eingeben: cd restore
  • Nochmals Befehl eingeben: rstrui.exe
  • Systemwiederherstellung ausführen! Wichtiger Hinweis: „Wenn du eine SSD-Festplatte (= schnelle Festplatte) im Computer oder Notebook hast, dann darfst du das nicht machen!" Weitere Infos unter Systemwiederherstellung ausführen!
  • Nach der Systemwiederherstellung im Computer oder Notebook sind die gesperrten Daten verschwunden! Ich garantiere nicht, ob das möglich ist oder nicht! Probier’s mal!
  • Alle Daten ohne Verschlüsselung sind wieder da! Klappt es beim Öffnen? Ich könnte nicht wissen, ob das klappt oder nicht!
  • Wenn das nicht klappt, dann kannst du die älteren Datei-Versionen zurückholen! Es gibt 2 Möglichkeiten. 1. Rechtsklicken auf die Datei! 2. „Vorgängerversionen wiederherstellen“ klicken, dann 3. Taste „Wiederherstellen“ unten klicken! Oder 1. „Eigenschaften“ klicken, 2. „Vorgängerversionen“ klicken und 3. Taste „Wiederherstellen“ unten klicken! Schau dir mal über Beispielbilder „Vorgängerversionen von Dateien und Ordnern in Windows wiederherstellen (Schritt 1 bis Schritt 3)" an! Ich könnte nicht wissen, ob das klappt oder nicht!
  • Alle wichtigen Daten müssen auf USB-Stick(s) oder externe Festplatte oder CD(s) oder DVD(s) sichern, sonst kann das passieren! Auch E-Mails, E-Mail-Adressen, Kontakte und Internetadressen sollen exportieren (= ausführen)! Das ist eine Datensicherung!
  • Seriennummer(n) für Windows vor dem Formatieren gleich aufschreiben! Ohne Seriennummer geht es nicht! Weitere Infos unter Seriennummer auslesen! 
  • Computer oder Notebook muss alles formatieren, weil die versteckten, unsichtbaren, gefährlichen Viren komplett entfernen müssen! Wichtiger Hinweis: „Wenn du eine SSD-Festplatte (= schnelle Festplatte) im Computer oder Notebook hast, dann musst du schnell formatieren!"
  • Windows neu installieren!
  • Windows Updates aktivieren!
  • Windows Defender Firewall aktivieren!
  • Antivirenprogramm mit Ransomware-Schutz neu installieren und dauernd aktivieren! Sicher ist sicher! Mein kostenloses Antivirenprogramm heißt Avast One. Bis heute läuft es einwandfrei!
  • Ransomware-Schutz in Windows Defender aktivieren, wenn du dir sicher bist! Das ist freiwillig!
  • Alle Passwörter für E-Mail-Konten, Facebook-Account und so weiter im Internet müssen sofort ändern, wenn du dir sicher bist! Werden deine Konten vor dem Formatieren gehackt? Weitere Infos unter Wurde dein Konto gehackt? Überprüfe deine E-Mail-Adresse oder Telefonnummer!
  • Neue Programme im Internet herunterladen und installieren, was du brauchst! Hier klicken!
  • Treiber-Hardware zum Beispiel Drucker oder Scanner im Internet herunterladen und installieren, was du brauchst! Hier klicken!
  • Deine Daten zum Beispiel E-Mail-Adressen, Internetadressen usw. kopieren und auf der Festplatte speichern, wenn du willst!
  • Bitte regelmäßig mit Antivirenprogramm oder/und Anti-Malware-Programm(e) prüfen, sonst passiert es nicht! Das reicht, dass du alle 2 bis 4 Wochen prüfen sollst!
  • Bis das neues Entschlüsselungstool im Internet da ist, dann kannst du alle verschlüsselten Daten zu entschlüsseln! Wenn das nicht klappt, dann kannst du später mal versuchen!
  • Du musst die wichtigen Daten regelmäßig sichern, sonst kann das passieren! Weitere Infos unter Datensicherung! Bitte daran denken!

Wenn das nicht klappt, dann kann ich dir keine bessere Antwort geben! Bitte um Verständnis! Weitere Infos unter Wenn der Erpresser klingelt! 

Verschlüsselte Dateien:

E-Mail vom Erpresser: