CryptoJoker Ransomware

Die CryptoJoker Ransomware ist mit Sicherheit keine Malware-Infektion, die Sie ignorieren oder als Scherz auffassen können; ganz im Gegenteil, sie kann sehr wohl zu Ihrem schlimmsten Albtraum werden. Obwohl dieser Trojaner scheinbar noch nicht weit verbreitet ist, wird er mit der Zeit bestimmt noch einen größeren Anteil am Malware-Infektions-„Kuchen“ gewinnen. Egal wie „beliebt“ er gegenwärtig ist, lassen Sie sich warnen, dass es sich dabei um eine ernste und gefährliche Bedrohung für Ihr Betriebssystem und Ihre persönlichen Dateien handelt. Wenn diese Malware-Infektion sich in Ihren Computer hineinschleicht und ihre Mission beendet, werden Sie sich höchstwahrscheinlich von allen Ihren Dokumenten, Bildern und Datenbanken verabschieden können, die innerhalb nur einer Minute verschlüsselt werden; es sei denn natürlich, dass Sie ein sicherheitsbewusster Computer-Benutzer sind, der Sicherungskopien auf einer externen Festplatte aufbewahrt. Das ist die einzige Methode, wie Sie Ihre Dateien tatsächlich wiederherstellen können, denn selbst wenn Sie das Lösegeld zahlen, das dieser Trojaner aus Ihnen herauspressen will, wird Ihnen dies vielleicht nicht helfen. Wenn Sie die CryptoJoker Ransomware nicht umgehend entfernen, werden Sie nicht nur Ihre Dateien verlieren, sondern auch nie wieder in der Lage sein, Ihren Computer zu verwenden.

Der Installer dieses Trojaners ist als PDF-Datei getarnt. Deshalb wird er wahrscheinlich vor allem über Spam-E-Mails verbreitet. Um Trojaner-Infektionen zu vermeiden, lautet eine der wichtigsten Regeln, nie unbekannte E-Mails zu öffnen und nie auf Links und Anhänge zu klicken, auch nicht, wenn sie sich in bekannten oder offiziell aussehenden E-Mails befinden – es sei denn, Sie erwarten sie – weil sich Spam-E-Mails als jede Person oder Einrichtung ausgeben können, um authentisch auszusehen. Es dreht sich alles um Täuschung. Wenn Sie Ihren Posteingang durchsehen, verschwenden Sie vielleicht nicht einmal einen zweiten Gedanken, wenn Sie eine E-Mail sehen, die zum Beispiel von einem bekannten oder Ihrem eigenen Internet-Anbieter sehen. Offensichtlich verwenden Cyber-Kriminelle ausgefeilte Taktiken, um sicherzustellen, dass Sie auf den eingefügten Link oder die angehängten Dateien, in diesem Fall ein PDF-Dokument, klicken. Doch sobald Sie darauf klicken, gibt es kein Zurück mehr; der Trojaner wird auf Ihren Computer abgeladen und beginnt sofort mit seiner schmutzigen Arbeit. Die einzige Art und Weise, wie Sie das stoppen könnten, besteht darin, ein vertrauenswürdiges und aktuelles Tool zur Malware-Entfernung zu verwenden, das im Hintergrund arbeitet.

Diese Trojaner-Infektion verwendet mehrere Dateien, um ihre Arbeit zu beenden. Zuerst erstellt sie die folgenden Text-Dateien auf Ihrem Desktop bzw. lädt diese herunter: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt und РАСШИФРОВАТЬ ФАЙЛЫ.txt. Diese enthalten vor allem den Text der Lösegeldforderung auf Englisch und Russisch sowie die betroffenen Erweiterungen. Sie erstellt auch die folgenden Dateien im %Temp%-Verzeichnis: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt und new.bat. Dann fügt diese Malware die folgenden Registry-Einträge hinzu, sodass die Ausführungsdateien drvpci.exe, windefrag.exe und winpnp.exe automatisch mit Windows starten können:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• drvpci “C:\Benutzer\Benutzername\AppData\Local\Temp\drvpci.exe”
• windefrag “C:\Benutzer\Benutzername\AppData\Local\Temp\windefrag.exe”
• winpnp “C:\Benutzer\Benutzername\AppData\Local\Temp\winpnp.exe”

Abgesehen von allen diesen Dateien erstellt sie auch zwei Dateien im %Appdata%-Verzeichnis namens baefefbed.exe, ein zufallsgenerierter Name, und README!!!.txt22.Dies ist der Registry-Schlüssel, den der Trojaner für die Ausführungsdatei hinzufügt: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed „C:\Benutzer\Benutzername\AppData\Roaming\baefefbed.exe.“ Jede dieser Dateien wird verwendet, um verschiedene Aufgaben durchzuführen, einschließlich um Informationen an den Command-and-Control-Server zu senden, alle aktiven Task-Manager- und Registry-Editor-Prozesse zu beenden und so weiter.

Wir haben festgestellt, dass die CryptoJoker Ransomware die folgenden Dokumenten-, Bilder- und Datenbank-Erweiterungen in Mitleidenschaft zieht: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Wenn diese Ransomware mit der Verschlüsselung Ihrer Dateien beginnt, wird sie alle Ihre verfügbaren Laufwerke scannen, einschließlich eingebundener Netzlaufwerke, wobei sie diese Erweiterungen anvisiert. Wenn die Erweiterung einer Datei abgeschlossen ist, fügt diese Malware die Erweiterung .crjoker hinzu, wie zum Beispiel myphoto.jpg.crjoker. Diese Trojaner-Infektion verwendet das AES-256-System, um Ihre Dateien zu verschlüsseln, bei dem es sich um eine integrierte Windows-Verschlüsselung handelt; deshalb benötigt der gesamte Prozess höchstwahrscheinlich nicht länger als eine Minute. Sie können jetzt also sehen, dass es praktisch unmöglich ist, diese Infektion zu beseitigen, bevor sie ihre Arbeit beendet hat, es sei denn natürlich, dass Sie Superkräfte besitzen und in Millisekunden reagieren können, nachdem Sie erkannt haben, dass Sie nicht mehr auf Ihre Dateien zugreifen können oder dass ihre Erweiterungen ohne Ihre Erlaubnis geändert worden sind.

Wenn diese Ransomware ihren destruktiven Durchlauf auf Ihren verfügbaren Laufwerken beendet hat, zeigt sie über allen Ihren aktiven Fenstern ein kleines Fenster auf Ihrem Desktop an, das Anweisungen auf Englisch und Russisch enthält. Diese Infektion stellt auch sicher, dass Sie den Task-Manager und Registry-Editor nicht ausführen können, um sich selbst zu schützen. Sie führt auch eine Batch-Datei (new.bat) aus, die die Volume-Schattenkopien Ihrer Dateien entfernt, damit diese Dateien nicht automatisch repariert werden können. Die Anweisungen der Lösegeldforderung informiert Sie, dass Sie eine E-Mail an eine der folgenden Adressen senden müssen, um Zahlungsanweisungen zu erhalten: file987@sigaint.org, file9876@openmail.cc oder file987@tutanota.com.

Obwohl in der Meldung der Lösegeldforderung behauptet wird, dass Ihre Dateien durch das System verschlüsselt worden sind, wird jedoch in Wirklichkeit nur Ihr persönlicher Code mit dieser Methode verschlüsselt, und zwar der, den Sie in der Kontakt-E-Mail senden müssen. Ihnen werden 72 Stunden gegeben, um das Geld zu überweisen, das diese Kriminellen fordern, da sich die Gebühr ansonsten erhöhen wird. Ihnen wird auch gesagt, dass Sie die Infektion oder Ihre Dateien nicht anrühren sollen, da dies ansonsten dazu führen würde, dass „die Informationen unwiederbringlich verloren gehen“. Natürlich gibt es keinerlei Garantie, dass Sie den versprochenen Schlüssel und Entschlüsselungscode jemals erhalten werden; die gibt es nie. An dieser Stelle erweisen sich Sicherungskopien als nützlich. Wenn Sie Ihre persönlichen Dateien auf einer externen Festplatte oder einem USB-Stick gespeichert haben, dann können Sie sie jederzeit wieder auf Ihren Computer kopieren. Es ist jedoch wichtig, sicherzustellen, dass Ihr System absolut sicher ist. Deshalb raten wir Ihnen die CryptoJoker Ransomware so schnell wie möglich zu löschen, und dann können Sie damit beginnen, Ihre Dateien wiederherzustellen.

Wenn Sie keine Sicherungskopie besitzen, dann ist es, so leid es uns tut, zurzeit nicht möglich, Ihre Dateien mit irgendeinem Tool zu entschlüsseln. Möglicherweise werden in Zukunft, wenn diese Ransomware noch mehr Computer angreift und Experten einen Weg ausarbeiten, die Dateien zu entschlüsseln, Tools im Web zur Verfügung stehen. Doch bis dann gibt es nichts, was Sie tun können, außer Ihr System von diesem gefährlichen Eindringling zu säubern.

Die einzige Methode, um die CryptoJoker Ransomware zu beseitigen, besteht darin, in den Abgesicherten Modus mit Netzwerktreibern zu gehen, nachdem Sie Ihren Computer neu gestartet haben. Dann können Sie alle Dateien und Registry-Einträge entfernen, die sie erstellt hat. Doch stellen Sie davor sicher, dass die ausgeblendeten Ordner in Ihrem Datei-Explorer angezeigt werden; ansonsten werden Sie das %Appdata%-Verzeichnis nicht finden. Wenn Sie jedoch in Betracht ziehen, das Lösegeld zu zahlen, sollten Sie die Text-Dateien nicht von Ihrem Desktop löschen, weil sie die Anweisungen, Ihren einmaligen verschlüsselten Code und die E-Mail-Adressen enthalten, die Sie verwenden sollen. Nachdem Sie fertig sind, müssen Sie Ihren Computer neu starten. Befolgen Sie bitte unsere nachstehenden Anweisungen sehr sorgfältig, da es mehr Schaden als Nutzen bringen wird, wenn Sie aus Versehen die falschen Registry-Schlüssel löschen. Tatsächlich empfehlen wir eine manuelle Entfernung vor allem den erfahreneren Benutzern, die wissen, was hier auf dem Spiel steht. Für eine sicherere und effizientere Entfernung raten wir Ihnen, ein professionelles Tool zur Malware-Entfernung zu verwenden.

Wie man im Abgesicherten Modus mit Netzwerktreibern startet

Windows 8, Windows 8.1 und Windows 10

1. Drücken sie Win+I und klicken Sie auf das Ein/Aus-Icon.
2. Drücken Sie Neu starten, während Sie die Shift-Taste drücken und halten.
3. Wählen Sie Problembehandlung und dann Erweiterte Optionen.
4. Wählen Sie Starteinstellungen.
5. Klicken Sie auf Neu starten.
6. Drücken Sie F5, um Ihren PC im Abgesicherten Modus mit Netzwerktreibern neu zu starten.

Windows XP, Windows Vista und Windows 7

1. Starten Sie Ihren PC neu und drücken Sie die F8-Taste.
2. Wählen Sie im Menü Abgesicherter Modus mit Netzwerktreibern und drücken Sie die Eingabetaste (Enter).

Anzeigen von ausgeblendeten Elementen im Windows-Datei-Explorer

Windows 8, Windows 8.1 und Windows 10

1. Drücken Sie Win+E.
2. Wählen Sie das Menü Ansicht und setzen Sie ein Häkchen in das Kästchen Ausgeblendete Elemente.

Windows Vista und Windows 7

1. Drücken Sie Win+E.
2. Klicken Sie auf die Schaltfläche Organisieren und wählen Sie Ordner und Suchoptionen aus dem Menü.
3. Wählen Sie den Tab Ansicht.
4. Wählen Sie Ausgeblendete Dateien und Ordner anzeigen.
5. Klicken Sie auf OK.

Windows XP

1. Drücken Sie Win+E und wählen Sie das Extras-Menü.
2. Wählen Sie Ordneroptionen.
3. Klicken Sie auf den Tab Ansicht.
4. Wählen Sie Ausgeblendete Dateien und Ordner anzeigen.
5. Klicken Sie auf OK.

Wie man die CryptoJoker Ransomware entfernt

1. Drücken Sie Win+E und finden Sie den Ordner C:\Benutzer\Benutzername\AppData\Local\Temp.
2. Finden und löschen Sie die folgenden Dateien: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt und new.bat.
3. Finden Sie den Ordner C:\Benutzer\Benutzername\AppData\Roaming.
4. Finden und löschen Sie die folgenden Dateien: baefefbed.exe und README!!!.txt22.
5. Drücken Sie Win+R und geben Sie regedit ein. Klicken Sie auf OK.
6. Finden und löschen Sie die folgenden Registry-Einträge:
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
   \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
   \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
7. Finden und entfernen Sie den folgenden Registry-Eintrag:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
   \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe”.
8. Starten Sie Ihr Betriebssystem neu.