Zum Inhalt springen
  • Aktiv
  • Schweregrad: Mittel
  • Viren
  • Windows
  • Geprüft · Apr. 2021

Diablo6-ErpressersoftwareRichtig entfernen?

Eine Schritt-für-Schritt-Entfernungsanleitung für betroffene Geräte. Folgen Sie dem geprüften Verfahren unten — die meisten Leser sind in unter 10 Minuten fertig.

Gabriel E. Hall · Leidenschaftliche Internetforscherin

Diablo6, das neue Locky

Diablo6 ransomware virus

Der Diablo6-Virus ist die aktuellste Version der Erpressersoftware Locky. Die Schadsoftware verschlüsselt die Daten auf dem Computer mit einer Kombination aus RSA-2048 und AES-128 und markiert jede Datei mit .diablo6. Sobald die Dateien verschlüsselt worden sind, sind sie für Anwendungen nicht mehr lesbar und somit nicht mehr zugänglich. Zum Abschluss erstellt der Virus einen Erpresserbrief namens diablo6.htm und ersetzt den Bildschirmhintergrund durch das Bild diablo6.bmp. Die schädliche Kryptoschadsoftware hat nichts mit dem Spiel Diablo zu tun.

Das schädliche Programm erreicht die Computer in der Form einer ZIP-Datei, die über E-Mail-Anhänge heruntergeladen wird und einen VBS-Downloader enthält. Der Downloader verbindet sich mit einer seiner schädlichen Domains und lädt die Erpressersoftware herunter und startet sie anschließend.

Während der Verschlüsselung benennt der neue Locky-Virus jede Datei um, indem er den originalen Dateinamen durch eine Zeichenkette ersetzt. Die neuen Dateinamen werden nach folgenden Schema erstellt: [Ersten 8 Zeichen der Opfer-ID]-[folgende 4 Zeichen der Opfer-ID]-[nächten 4 Zeichen der Opfer-ID]-[4 beliebige Zeichen]-[12 beliebige Zeichen].diablo6.

Ist der Virus mit der Datenverschlüsselung fertig, öffnet er im Browser einen Erpresserbrief. Der Erpresserbrief beginnt mit einer unmissverständlichen Erklärung, was auf dem Computer passiert ist:

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.

In der Nachricht werden Opfer dazu gedrängt den Browser Tor zu installieren, sodass sie die angegebene .onion-Webseite besuchen können, um auf die Seite für den Locky Decryptor zuzugreifen. Das Entschlüsselungsprogramm für Diablo kostet 0,5 Bitcoins, was zurzeit ungefähr 2040 Euro entspricht.

Zu diesem Zeitpunkt ist es immer noch nicht möglich Dateien zu entschlüsseln, die von diesem gefährlichen Virus verschlüsselt worden sind. Hinsichtlich der Raffinesse ist Diablo6 Cerber sehr ähnlich. Trotzdem bedeutet das nicht, dass man das Lösegeld bezahlen sollte. Schließlich garantiert auch ein Bezahlen des Lösegelds nicht die Wiederherstellung der Daten. Die Wahrscheinlichkeit auf Betrug ist hoch. Zudem motiviert man Cyberkriminelle auf diese Weise mehr Schadsoftware zu erstellen.

Wenn die persönlichen Dateien von der neuesten Locky-Variante betroffen sind, entfernen Sie sie mit FortectIntego oder MalwarebytesMalwarebytes. Für eine erfolgreiche Entfernung muss der Computer im abgesicherten Modus mit Netzwerktreibern gestartet werden.

Nach der Entfernung von Diablo können Sie die beschädigten Dateien mit Ihren Back-ups wiederherstellen. Wenn Sie keine Back-ups haben, ist eine vollständige Datenwiederherstellung leider nicht möglich. Vielleicht haben Sie doch noch intakte Kopien auf USB-Sticks, CDs, im E-Mail-Fach o.Ä. Kopieren Sie sie aber nur auf dem Computer, nachdem Sie den Virus entfernt haben. Alternative Datenwiederherstellungsmethoden finden Sie am Ende des Artikels.

Locky Diablo6 virus

Aktuelle Locky-Variante wird über massive Spammailkampagnen verbreitet

Die neue Locky-Variante Diablo wird über schädliche Spammails im Umlauf gebracht, die Betreffzeilen wie E [Datum] (beliebige Ziffern).docx aufweisen. Die mit Schadsoftware infizierten E-Mails sind mit einem Anhang versehen, der den Namen E [Datum] (beliebige Ziffern).zip trägt. Der Nachrichteninhalt ist ohne jede Erklärung und enthält lediglich drei Wörter:


Files attached. Thanks

In der ZIP-Datei ist ein VBS-Skript enthalten, das von einer kompromittierten Domain die Schadsoftware herunterlädt. Im Skript sind mehrere Domains festgelegt, um den Download trotz Domain-Ausfälle durchführen zu können. Die Erpressersoftware wird im Ordner %TEMP% heruntergeladen und umgehend ausgeführt.

Tipps zum Schutz vor der neuen Locky-Variante Diablo6:

  • Öffnen Sie keine E-Mail-Anhänge, die von unbekannten Absendern stammen. Wenn der Nachrichteninhalt unklar ist oder dubios klingt, klicken Sie nicht auf die enthaltenen Links oder angehangenen Dateien.
  • Sichern Sie das Computersystem mit einer Anti-Malware und haben Sie sie immer angeschaltet.
  • Nehmen Sie sich die Zeit, um Back-ups zu erstellen. Nur mit Back-ups bleibt man nach einem Erpressungsprogrammangriff unversehrt.
  • Schalten Sie automatische Softwareupdates an, um immer die aktuellsten und sichersten Softwareversionen auf dem Computer installiert zu haben.

Experten zufolge traf die erste Diablo6-Welle Deutschland und die Vereinigten Staaten. Auf DieViren.de finden Sie Hilfe im Falle einer Infizierung und Vorbeugungstipps.

Diablo6-Virus entfernen und korrupte Daten entschlüsseln

Der Computer wird nur wieder sicher sein, wenn man den Diablo6-Virus fachlich entfernt. Sie haben es hier mit einer der gefährlichsten erpresserischen Programme zu tun, das lediglich an zweiter Stelle nach der berüchtigten Cerber-Erpressersoftware steht.

Diablo6 ändert stetig seine Angriffsmethoden und Struktur, weshalb die Entfernung einer professionellen Anti-Malware überlassen werden sollte. Vergessen Sie nicht, dass Sie das Sicherheitsprogramm zuerst aktualisieren müssen, damit es alle Informationen über die Erpressersoftware hat und sie vollständig beseitigen kann. Nachdem der Virus beseitigt worden ist, können Sie den verfügbaren Datenwiederherstellungsmethoden einen Versuch geben.

Schreiben Sie den ersten Kommentar

DieViren
Datenschutzeinstellungen

Wir verwenden Cookies, um Ihr Erlebnis zu verbessern und den Datenverkehr zu analysieren. Manche Cookies ermöglichen eingebettete Inhalte wie Videos und Social-Media-Beiträge. Wählen Sie, was Sie erlauben — Sie können dies jederzeit ändern.