CoinVault Ransomware – keine Panik!

Quelle: Kaspersky-Presse-Portal
Quelle: Kaspersky-Presse-Portal

Viele haben noch den BKA-Trojaner im Hinterkopf. Eine nervige Schadware die behauptete illegale Inhalte auf unserem Rechner gefunden zu haben und uns erst weitermachen zu lassen wenn wir uns mit Ukash oder Paysafe-Karten freikaufen. Eine Sammlung von diesen Trojanern, die im Laufe der Zeit viele Variationen entwickelten. Die passenden Supportforen gibt es bei Botnet auf der Seite bka-trojaner.de

Diese Welle haben wir allerdings seit längerem überstanden und die meisten Virenscanner erkennen diese Schadware frühzeitig. Die neue Erpressersoftware geht einen Schritt weiter und verschlüsselt persönliche Daten auf der Festplatte des Opfers. Diese wird von der Software erst entschlüsselt wenn das Opfer einen BitCoin (digitale Währung) überweist. Der momentane Gegenwert zu 1BTC liegt bei circa 200€. Allerdings gibt es auch hier eine Lösung.

Kaspersky hat in Zusammenarbeit mit der niederländischen Polizei (NHTCU National High Tech Crime Unit) eine Datenbank von Schlüsseln angelegt und bietet so die Möglichkeit seine Daten zu entschlüsseln ohne der Erpressung nachgehen zu müssen.

In wenigen Schritten soll sich die Schadware entfernen und mit Hilfe eines Tools von Kaspersky die eignen Daten wieder entschlüsseln lassen. Dazu gibt es eine Schritt-für-Schritt Anleitung vom russischen Virenspezialisten.

Hier die Übersetzung.

  1. Wurden Sie von CoinVault infiziert?

    Es ist einfach festzustellen, ob Sie von CoinVault infiziert wurden. Wenn Sie es wurden, sehen Sie ein Fenster wie dieses.

    Quelle: Kaspersky-Presse-Portal
    Quelle: Kaspersky-Presse-Portal
  2. BitCoin Adresse sichern

    Unten rechts im Bild wird eine BitCoin-Walltet-Adresse angezeigt (schwarz markiert). Es ist sehr wichtig diese zu kopieren und zu speichern.

  3. Liste der verschlüsselten Daten speichern

    In der oberen linken Ecke befindet sich der „view encrypted filelist“-Button (blau markiert). Klicken Sie diesen an und speichern Sie die Datei ab

  4. CoinVault entfernen

    Laden Sie die Testversion von Kaspersky Internet Security von dieser Seite. Diese wird CoinVault entfernen.

  5. Schlüssel zur Entschlüsselung auf https://noransom.kaspersky.com erzeugen

    IV & KEY Beispiel
    IV & KEY Beispiel

    Auf https://noransom.kaspersky.com wird nun die BitCoin-Wallet-Adresse aus Schritt  2 eingeben. Wenn die Adresse bekannt ist, erscheinen zwei Schlüssel (KEY & IV). Diese müssen kopiert und gespeichert werden.

  6. Entschlüsselungs-Tool herunterladen

    Laden Sie das Entschlüsselungs-Tool von  https://noransom.kaspersky.com und führen Sie es aus. Sollte es zu einer Fehlermeldung, wie der folgenden kommen, weiter bei Schritt 7, ansonsten weiter bei Schritt 8.
    convault-decrypt-manual

  7. Ergänzende Libraries herunterladen und installieren

    Sollte eine Fehlermeldung, wie in Schritt 6 erwähnt, auftreten laden Sie auf dieser Seite die fehlenden Softwarepakete herunter und installieren diese wie dort beschrieben.

  8. Dateien entschlüsseln

    Starten Sie das Entschlüsselungstool, welches Sie in Schritt 6 heruntergeladen haben. Es sollte nun folgendes Bild zu sehen sein.
    convault-decrypt-manual2
    Wenn das Programm das erste Mal läuft ist folgendes Vergehen empfohlen:
    — Klicken Sie auf „Select File“ in der „Single File Decryption“ Box und wählen Sie eine Datei zum Entschlüsseln aus.
    — Geben Sie den IV aus Schritt 5 in das Eingabefeld hinter „Enter your IV:“ ein
    — Geben Sie dem KEY aus Schritt 5 in das Eingabefeld hinter „Enter your key“ ein
    — Klicken Sie „Start“

    Prüfen Sie nun, ob die einzelne Datei korrekt entschlüsselt wurde. Wenn dies der Fall ist, aktivieren Sie die Checkbox hinter „Overwrite encrypted file with decrypted centents“ und wählen Sie bei „Select Encrypted File List“ die Liste der verschlüsselten Dateien aus Schritt 3. Ein erneuter Klick auf „Start“ startet nun die Entschlüsselung.

    Wenn Sie mehrere IV’s und KEY’s in Schritt 5 erhalten, ist beim Entschlüsseln besondere Vorsicht nötig. Es wird dringend empfohlen die Checkbox „Overwrite encrypted file with decrypted centents“ deaktiviert zu lassen, um bei Misserfolg mit einem anderen IV/KEY-Paar erneut zu entschlüsseln.

    — ENDE DER ANLEITUNG —

Viel Erfolg und schrieben Sie Erfahrungen gern in die Kommentare.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.