• Home ·
  • Anleitungen ·
  • Anleitung: Windows Update Verschlüsselungstrojaner entfernen und Daten entschlüsseln
  • 11Aug

    Anleitung: Windows Update Verschlüsselungstrojaner entfernen und Daten entschlüsseln



    Innerhalb der letzten Jahre konnte eine starke Veränderung und Entwicklung im Bereich der Schadsoftware beobachtet werden. Mittlerweile reicht es den Entwicklern nicht mehr, nur den infizierten Rechner aus “Spaß” zu manipulieren – Nein – der Datenklau steht hier seit geraumer Zeit im Vordergrund. Dabei sollte es nicht bleiben und die Entwickler der Schadsoftware entdeckten die sogenannte Scareware für sich – eine Art Erpressung des Users, um an echtes Geld zu kommen.

    Diese Art von Trojanern hat erneut eine neue Extreme erreicht. Mit dem Windows Update Verschlüsselungstrojaner gehen die Hacker einen neuen noch effektiveren (und für den User verherenderen) Weg. Neben einer Meldung in Form des bekannten “Gema-Virus” und “Bundepolizei-Virus“, werden die Daten des Anwenders tatsächlich verschlüsselt und unbrauchbar gemacht. Sollte es also gelingen, den Virus vom Rechner zu entfernen, dann kann der User keine seiner eigenen Dateien mehr nutzen.

    Allerdings ist es möglich, bestimmte Arten und Abwandlungen des Trojaners zu entfernen und die Daten wieder zu entschlüsseln. Darauf möchten wir in folgender Anleitung näher eingehen. Diese besteht aus zwei Teilen:

    a) Entfernen des Windows Update Trojaners

    b) Analyse der verschlüsselten Daten und entschlüsselung der eigenen Dateien.

    Anleitung: Wie entferne ich den Windows Update Verschlüsselungstrojaner?

    In den letzten Wochen und Monaten, dürfte der ein oder andere User wahrscheinlich entsetzt eine der folgenden Meldungen erhalten haben:

    Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert. Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, dass Ihr System mit einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 256 Bit AES Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar.

    Ihre Windows Lizenz ist abgelaufen, oder Sie benutzen eine illegal Microsoft Windows Kopie. Laut Paragraphen 158, 449 BGB bleibt das Windowssystem bis zu einer vollständigen Bezahlung der Lizenzverlängerung das Eigentum von Herstellers. Alle Inhalte und Dateien wurden komplett verschlüsselt und sind nicht mehr zu benutzen.

    Eine externe Entschlüsselung ist nicht mehr möglich, da Ihre Festplatte zum Sicherungszweck mit PGP-RSA verschlüsselt wurde. Die Entschlüsselungsversuche sind Strafbar und werden gesetzt verfolgt.

    Um Ihr Windowssystem weiter nutzen zu können und damit Ihre Daten entschlüsselt werden, können Sie hier Ihre Lizenz für 10 Jahre verlängern bzw. erwerben. Danach stehen Ihnen alle System-Updates zur Verfügung.

    Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar.

    Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitupdate herunterladen. Diese Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen ihre Daten nicht zu verlieren. Bitte schalten Sie den Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie ihre Daten komplett verlieren. Dieses Update beschützt ihr System vollständig von Virus und Schadprogrammen stabilisiert ihr Computersystem und verhindert den Datenverlust.

    Damit ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit durch Paysafecard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einem Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit.

    Keine Panik! Es handelt sich nicht wirklich um eine Meldung von Microsoft. Ganz im Gegenteil! Hierbei handelt es sich um eine gefälschte Meldung von Internetkriminellen!

    Bevor wir euch sagen, wie ihr diese Meldung, bzw. diese Viren/Trojaner wieder entfernen könnt:

    Die goldene Regel! NIEMALS BEZAHLEN!

    Das bezahlte Geld ist unwiderruflich verloren, doch die Meldung bzw. der Virus bleiben!

    Natürlich ist nicht auszuschliessen, dass es in Zukunft oder auch schon jetzt, weitere unbekannte Varianten des Windows Update Verschlüsselungstrojaners gibt oder geben wird. Allerdings wird man trotzallem diese Anleitung als Leitfaden zur Entfernung und Entschlüsselung des Trojaners verwenden können.

    Methode 1 – Entfernen des Windows Update Virus mit Hilfe der Systemwiederherstellung:

    Als erstes sollten wir die einfachste Methode versuchen, um uns des Virus/Trojaner bzw. dessen Meldung zu entledigen. Dazu werden wir den Rechner im Abgesichertenmodus booten und mit Hilfe der Systemwiederherstellung zurücksetzen auf ein Datum VOR dem Virenbefall. Das schliesst einen anschliessenden Virenscan allerdings nicht aus!

    1.) Schaltet euren Rechner aus, sollte er es noch nicht sein.

    2.) Schaltet den Rechner ein und drückt wiederholend die “F8″-Taste. (Sollte ein blaues Menü erscheinen, dann handelt es sich wahrscheinlich um das Boot-Menü. Mit ESC beenden und sofort wieder F8 drücken)

    3.) Wählt den Eintrag “Abgesichertermodus mit Eingabeaufforderung starten”

    4.) Meldet euch bei eurem Benutzerkonto oder dem Administratorkonto an, solltet ihr eine Auswahl angezeigt bekommen.

    5.) Nach kurzer Bootzeit solltet ihr folgendes Fenster sehen:

    ACHTUNG: Solltet ihr die Meldung des Windows Update Verschlüsselungstrojaners angezeigt bekommen, und nicht die Eingabeaufforderung, dann macht mit Methode 2 weiter.

    6.) Wir starten nun die Systemwiederherstellung von Windows  (rstrui.exe) über die Eingabeaufforderung. Gebt dazu in der CMD (Eingabeaufforderung) den Befehel “rstrui.exe” ein.

    Sollte es zu einer Fehlermeldung kommen, so kann die rstrui.exe auch noch alternativ wie folgt geöffnet werden. Manchmal entfernt der Trojaner die Routine für den Start der rstrui.exe über den Namen. Gebt hierzu folgenden Befehl ein:

    “cd C:\Windows\System32″ (ohne die Anführungszeichen)

    Startet die Systemwiederherstellung indem ihr “rstrui.exe” eingebt.

    7.) Wählt nun einen Wiederherstellungspunkt vor dem Befall des Virus aus. Setzt am besten den Haken bei “Weitere Wiederherstellungspunkte anzeigen”. Sucht einen Punkt aus der ca. eine Woche alt ist.

    8.) Nach dem Klick auf “Fertig stellen” wird mit der Systemwiederherstellung begonnen. Der Vorgang kann durchaus einige Zeit in Anspruch nehmen. Also Geduld bewahren ;)

    9.)  Windows sollte nun neugestartet worden sein, ohne die Meldung des Windows Update Trojaners. Wenn die Meldung immer noch erscheint, dann solltet ihr mit der Entfernung in Methode 2 fortfahren. Ansonsten könnt ihr mit dem entschlüsseln eurer Daten fortfahren.

    10.) Führ einen vollständigen Virenscan unter Windows durch. Installiert euch am besten eine Testversion von Norton InternetSecurity 2012.

    Methode 2 – Entfernen des Windows Update Virus mit Hilfe von BootCDs:

    1.) Ladet euch eine (oder mehrere) der nachfolgenden BootCDs herunter und brennt diese auf CD/DVD mit Hilfe von ImgBurn (Download ImgBurn). (Versucht als erstes den Kaspersky WindowsUnlocker)

    Wir haben für euch einen abgelaufenen, aber für die Norton BootCD funktionierenden Lizenzcode besorgt.

    Lizenz/Key für Norton Boot CD/Bootable Recovery Tool: J78C3-9VMG6-JTM6V-CTBBH-J4T27

    • Avira Rescue System Boot CD -> kostenfrei, keine Lizenz benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImgBurn werden benötigt um die Boot CD zu brennen.
    • Kaspersky Rescue Disk 10 auf CD -> kostenfrei, es wird keine Lizenz benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImgBurn werden benötigt um die Boot CD zu brennen.
    • NEU! Kaspersky WindowsUnlocker -> spezielle zur Bekämpfung von Ransom- und Scareware. Löscht den Virus nicht an sich, sondern korrigiert nur die Registrierungseinträge in Windows, damit der Virus/Trojaner nicht mehr ausgeführt wird.

    Es kann keine bestimmte BootCD empfohlen werden. Die Erfahrung hat gezeigt, dass die ein oder andere BootCD erfolgreich war, während eine andere den Virus nicht finden konnte. In allen Fällen kann der Kaspersky WindowsUnlocker doch empfohlen werden, da er zumindest in den meisten Fällen Windows wieder bootfähig macht, allerdings wird hier der Virus an sich nicht gelöscht. Man sollte daher danach einen Scan im Windows durchführen.

    2.) Bootet nun von eurer BootCD und führt den Scan aus. Legt dazu die CD/DVD ins Laufwerk des Computers und schaltet diesen aus. Bei Google findet ihr ausführliche Beschreibungen, wie ihr von einer BootCD booten könnt.

    3.) Nachdem der Scan eurer BootCD durchgeführt wurde, startet euren Rechner neu. Kontrolliert ob der Virus weg ist. Sollte der Virus noch immer da sein, dann scannt erneut mit einer anderen BootCD oder fahrt mit der dritten Methode fort.

    4.) Führt einen vollständigen Virenscan unter Windows durch. Installiert euch am besten eine Testversion von Norton InternetSecurity 2012.

     

    Methode 3 – Erweiterte Entfernung des Windows Update Verschlüsselungstrojaners für fortgeschrittene User:

    1.) Startet den Computer im Abgesichertenmodus mit Eingabeaufforderung (es muss dieser Modus sein, ansonsten funktioniert diese Methode nicht) über F8.

    2.) Nachdem der Rechner gestartet ist und ihr die CMD vor euch geöffnet habt, gebt als erstes “explorer.exe” ein und bestätigt mit Enter. Nun sollte sich der Datei-Explorer von Windows öffnen.

    (Sollte sich der Explorer nicht öffnen, können wir einwenig “tricksen”. Gebt statt explorer taskmgr in die CMD ein und bestätigt mit enter. Nun öffnet sich der Taskmanager. Klickt nun auf Datei > Neuer Task (Ausführen…). Klickt nun auf Durchsuchen. Jetzt habt ihr eine “abgespeckte Version des Explorers und könnt mit der Anleitung fortfahren.)

    3.) Da manche Verzeichnisse, in denen sich der/die Viren des Windows Update Virus befinden, versteckt sind, müssen wir diese über die Ordneroption von Windows sichtbar machen.

    Versteckte Ordner und Dateien anzeigen in Windows Vista/7:

    Organisieren > Ordner- und Suchoptionen > Ansicht > Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. > Bestätigt mit Übernehmen > OK

    Versteckte Ordner und Dateien anzeigen in Windows XP:

    Extras > Ordneroptionen > Ansicht > Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. > Bestätigt mit Übernehmen > OK

    4. ) Nun machen wir uns daran, den Windows Update Verschlüsselungs-Virus/Trojaner von unserer Festplatte zu löschen.

    Geht dazu in folgende Verzeichnisse und Löscht diese Dateien:
    Win7/Vista/XP
    C:\Windows\system32\[Zufällige Hex-Werte].exe
    Benutzerverzeichnis (%temp%\[Zufällige Buchstaben]\[Zufällige Hex-Werte].exe)
    Um ins Tempverzeichnis zukommen, gebt in der Eingabeaufforderung “%temp%” ein.

    Öffnet die Registry über regedit und kontrolliert folgenden Registrierungsschlüssel:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    Sollte sich hier ein Schlüssel mit wirren Zahlen-Buchstaben befinden -> löschen. Führt nun noch die msconfig aus und kontrolliert die Autostartobjekte. Eventuell versteckt sich hier auch noch ein Eintrag.

    5.) Nach einem Neustartet sollte der Virus weg sein. Sollte er immer noch auftauchen, dann hilft eigentlich nur noch warten und hoffen, dass die verschiedenen Antivirenlösung aktulisiert werden, oder es neue erkenntnisse zu der Version des Windows Update Trojaners gibt.

    6.) Führt einen vollständigen Virenscan unter Windows durch. Installiert euch am besten eine Testversion von Norton InternetSecurity 2012.

     

    Anleitung: Windows Update Verschlüsselungstrojaner – Wie Daten entschlüsseln?

    Methode 1: Windows Update Verschlüsselungstrojaner – Daten mit Hilfe der Volumeschattenkopie (kurz VSS) wiederherstellen.

    Hierbei handelt es sich um die einfachste Methode, die Daten nach dem Angriff des Windows Update Verschlüsselungstrojaners wiederherzustellen. Allerdings funktioniert diese Methode erst ab Windows Vista und Windows 7, da es VSS bei Windows XP noch nicht gegeben hat. Ebenfalls funktioniert diese Methode nur, wenn die Systemwiederherstellungsoption im Windows-System nicht deaktiviert wurde und/oder der Dienst für VSS aktiviert ist. (Standardmäßig ist beides aktiviert).

    1.) Öffnet “Computer” über Start oder den Desktop.

    2.) Klickt mit der rechten Maustaste auf das Laufwerk/Partition die ihr entschlüsseln wollt. Öffnet die Eigenschaften.

    3.) Wählt im Eigenschaftenfenster “Vorgängerversionen” aus.

    4.) Wählt eine der aufgelisteten Ordnerversionen an und überprüft diese mit einem Klick auf “Öffnen”, ob die gewünschten Daten vorhanden und unverschlüsselt sind.

    5.) Die richtigen Daten gefunden? Dann mit einem Klick auf “Wiederherstellen” den Zurücksetzungsprozess starten. Das ganze kann durchaus etwas Zeit in Anspruch nehmen.

     

    Methode 2 – Windows Update Verschlüsselungstrojaner – Daten “entschlüsseln”

    1.) Eventuell wurden eure Daten garnicht “richtig” verschlüsselt. Bei frühen Versionen des WUVT wurden sämtliche eigenen Dateien lediglich umbenannt. Versucht daher erst bei einer Datei, von der ihr sicher seit, welchem Typs diese entspricht, selbige umzubennen. Für Bilder wird im Normalfall die Endung .jpg hinzugefügt.

    Beispiel:

    locked-<DATEINAME>.<ENDUNG>.wxyz

    Umbennen in <DATEINAME>.<ENDUNG>

    oder

    x5Hkj98dknjd
    Umbennen in x5Hkj98dknjd.jpg

    2.) Wenn das Umbennen funktioniert hat, dann könnnt ihr euch ReNamer kostenlos herunterladen um meherere Dateien gleichzeitig umzubennen. Damit erleichtert ihr euch die Arbeit ungemein ;)

     

    Methode 3 – Windows Update Verschlüsselungstrojaner – Daten mit Hilfe von sogenannten Ransom-File-Unlockern entschlüsseln.

    Die Entschlüsselung mit einem Ransom-File-Unlocker wird möglich durch den Vergleich einer unverschlüsselten Originaldatei und dem verschlüsselten Exemplar. Daraufhin kann das jeweilige Tool den Schlüssel errechnen, welcher verwendet wurde, um die Daten zu verschlüsseln.

    Wer keine Kopie einer Originaldatei auf einem Stick oder CD/DVD hat, der kann sich der Beispielbilder von Windows bedienen.

    Download Beispielbilder: Windows XP   Windows Vista   Windows 7

    1.)  Ladet euch einen der oberen Unlocker/Decrypter und die passenden Beispielbilder herunter.

    2.) Sichert die verschlüsselten Daten zum Test auf einen USB-Stick oder eine externe Festplatte. Wichtig da in manchen Fällen Schäden an der verschlüsselten Datei entstehen können. Sollte dieser Fall eintreten, so wird eine Entschlüsselung unmöglich.<

    3.) Führt den Unlocker/Decrypter aus und befolgt die Anweisungen.

    Wir konnten dir behilflich sein? Dann würde ich mich freuen, wenn auch du uns behilflich bist und uns ein Like auf unserer Facebook-Fanpage hinterlässt ;) Vielen Dank.

    Hier könnt ihr einen vollwertigen Virenschutz der führenden Hersteller günstig erwerben:

     

    Was tun, wenn die Entschlüsselung nicht funktioniert hat?

    Entschlüsselung hat nicht funktioniert und du hast wirklich alle drei Methoden ausprobiert und die Anleitung(en) im Detail befolgt? Dann hast du dich leider mit der neusten Version des Windows Update Verschlüsselungstrojaner infiziert (vers. 2.x.x) für welchen es aktuell keine Entschlüsselungsmethode gibt. Das liegt an einem zufallsgenerierten PublicKey, welcher nur ausgelesen werden kann, wenn man Zugriff auf den Server erhält, welcher selbigen generiert. Den neusten Informationen zufolge befindet sich dieser oder diese Server in Russland/Asien und sind durch Proxyserver zusätzlich geschützt. Wer hier näheres dazu erfahren möchte, dem sei folgende Seite ans Herz gelegt. Der Autor befasst sich umfassend mit der Vorgehensweise des WUVT und geht auch näher auf die aktuellen Sicherheitsmechanismen ein.



    Um auf dem neuesten Stand zu bleiben und keine News zu verpassen, könnt ihr entweder unseren RSS Feed abonnieren, unserem Twitter Account folgen oder Fan auf unserer Facebook-Fanpage werden.

    Über den Autor: Dodo
    Hobby-Pirat und Klabautermann, berufener IT´ler... geboren mit der Maus an der Hand, interessierte ich mich bereits in jungen Jahren für Technik und IT. Meine Lebensphilosophie: Es gibt 10 Arten von Menschen auf dieser Welt. Die die Binär verstehen, und die die es nicht tun.

  • Plalmnicken

    Rettet davor nicht ein vernünftiges Virenprogramm?