ACHTUNG! JS.Crypto (oder auch Ransom32) kursiert derzeit im Internet als Datei client.scr. Laut den Betroffenen wird sie gewöhnlich als Spammailanhang verbreitet oder infiziert den Computer, weil man auf eine Anzeige oder einen Link mit einem Trojaner geklickt hat. Sobald sich der Virus im System (Windows, Linux oder Mac OS) befindet, verschlüsselt er die persönlichen Dateien, einschließlich von Fotos, Dokumenten, Musikdateien und vielem mehr. Möchte man die Dateien wieder zurückhaben, muss man das Lösegeld bezahlen. Zum Zeitpunkt der Erstellung des Artikels gibt es außer der Bezahlung der geforderten Summe leider noch keine Lösung für das Entschlüsseln der Dateien, die durch JS.Crypto verschlüsselt worden sind. Bedauerlicherweise ist das Herausgeben von Kreditkartendaten, Vor- und Zunamen und ähnliche sensible Informationen riskant und kann zur Plünderung des Bankkontos führen.
Ist JS.Crypto ein gewöhnliches Erpressungsprogramm?
Analysten, die sich mit Erpressungsprogrammen beschäftigen, warnen davor, dass JS.Crypto keine gewöhnliche Cyberbedrohung ist. In der Regel ist das Betriebssystem Windows das Ziel von erpresserischen Viren und Linux und Mac OS waren lange Zeit verschont geblieben. Bei JS.Crypto ist dies aber nicht der Fall, denn es basiert auf JavaScript und kann mithilfe des Node Webkits NW.js auch auf den anderen beiden Betriebssystemen sein Unwesen treiben.

Wie geht der Virus vor?
Hinsichtlich aller anderen Seiten von JS.Crypto scheint das Erpressungsprogramm anderen Viren dieser Art gleich zu sein. Sobald es ins System gelangt, installiert es sich in den Verzeichnissen %Temp% und %AppData%\Microsoft\Windows\Start Menu\Programs\Startup und fügt sich zum Autostart als ChromeService.lnk hinzu. Zum Schutz vor der Identifizierung und der Entfernung erstellt der Virus außerdem Dateien wie chrome.exe, ffmpegsumo.dll, s.exe, msgbox.vbs, u.vbs, rundll32.exe und viele weitere. Zur gleichen Zeit führt er die Dateiverschlüsselung durch, wo der Zugriff auf Dateien des Typs .jpeg, .mp3, .mpeg, .dot, .jpg, .pmd, .mp4, .sdf, .docx, .ppj, .3gp, .aet usw. unterbunden wird. Darüber hinaus erhält man einen Hinweis wie folgt:
ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED
All your data (photos, documents, databases, etc.) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
Wie wir bereits erklärt haben, muss man das Lösegeld bezahlen, wenn man die von JS.Crypto verschlüsselten Dateien wiederherstellen möchte. Die geforderte Summe ist im Vergleich zu anderen Erpressungsprogrammen nicht besonders hoch und beträgt lediglich 0,1 Bitcoin (zurzeit ungefähr 61 Euro). Wird der Betrag nicht innerhalb von vier Tagen überwiesen kann sich die Summe mehrmals verdoppeln. Wenn Sie keinen Zugriff auf Ihre Dateien haben und die Mitteilung von JS.Crypto bereits eingeblendet wurde, sollten Sie JS.Crypto mit FortectIntego oder einer anderen professionellen Anti-Malware entfernen und die Dateien anschließend mit früher angefertigten Sicherheitskopien ersetzen. Wenn Sie keine Sicherheitskopien angefertigt haben, sind Sie leider in Schwierigkeiten, denn es gibt leider kein Programm, das die Dateien wiederherstellen kann. Bevor Sie aber in Erwägung ziehen das Lösegeld zu bezahlen, möchten wir Sie daran erinnern, dass das Preisgeben von Kreditkartendaten und anderen sensiblen Informationen an suspekte Dritte zur Plünderung des Kontos führen kann.
Wie infiziert das Erpressungsprogramm die Betriebssysteme?
Es gibt mehrere Hilfsmittel mit denen JS.Crypto verbreitet werden kann. Es kann beispielsweise in falschen Softwareupdateaufforderungen (Java, Media Player, VLC player usw.) eingebettet werden. Zudem kann sich der Virus in Spammailanhänge, suspekter Drittsoftware, Torrents usw. befinden. Aus diesem Grund ist es auch sehr wichtig, dass man von bedenklichen Inhalten fernbleibt. In den meisten Fällen werden Computernutzer von Spammails, wo über fehlende Bezahlungen, vorbezahlte Käufe, Steuern und Ähnliches informiert wird, zur Installation des JS.Crypto-Virus überlistet. Seien Sie bei E-Mails also immer vorsichtig und versuchen Sie im Betreff und im Nachrichteninhalt Tipp-, Grammatik- oder ähnliche Fehler zu finden, um die Legitimität zu überprüfen. Öffnen Sie insbesondere nicht den Anhang. Um den Computer außerdem virenfrei zu halten, sollten Sie eine professionelle Anti-Malware installieren und Sie stets aktuell halten. Eine Anti-Malware verhindert das Eindringen von gefährlichen/potenziell unerwünschten Programmen und sorgt für Stabilität des Computers.
Wenn JS.Crypto leider schon auf Ihrem Computer lauert, sollten Sie ihn so schnell wie möglich entfernen. Informationen über die Entfernung finden Sie auf Seite 2.
Wie bewältigt man eine Infizierung mit einem Erpressungsprogramm?
Anzunehmen, dass die Entfernung von JS.Crypto eine leichte Aufgabe ist, ist leider naiv. Solche Infizierungen sind die gefährlichsten und schlagen ihre Wurzeln tief im Betriebssystem und können normalerweise nicht manuell beseitigt werden. Wenn Sie aber dennoch JS.Crypto selbst entfernen möchten, können Sie die unten aufgeführte Anleitung zur Hilfe nehmen. Sie riskieren allerdings dabei falsche Dateien zu löschen, das System zu beschädigen oder gefährliche Komponenten bestehen zu lassen. Deinstallieren Sie den JS.Crypto-Virus daher lieber mit einer geeigneten Software. Wir empfehlen immer wieder die gerne die Programme FortectIntego und MalwarebytesMalwarebytes.
War diese Anleitung hilfreich?
Schreiben Sie den ersten Kommentar