Zum Inhalt springen
  • Aktiv
  • Schweregrad: Mittel
  • Viren
  • Windows
  • Geprüft · Apr. 2021

Erebus-ErpressersoftwareRichtig entfernen?

Eine Schritt-für-Schritt-Entfernungsanleitung für betroffene Geräte. Folgen Sie dem geprüften Verfahren unten — die meisten Leser sind in unter 10 Minuten fertig.

Julie Splinters · Expertin im Bereich Schadsoftwareentfernung

Erpressungsprogramm Erebus hat mit Linux betriebene Server im Visier

Erebus ransomware virus

Das Erpressungsprogramm Erebus ist ein schädliches Programm und beabsichtigt Linux-Systeme und insbesondere Server zu infizieren. Wie bei anderen Erpressungsprogrammen ist das Hauptziel so viele Geräte wie möglich zu infizieren und anschließend ein immenses Lösegeld zu verlangen. Die Anfangsversion des Erpressungsprogramms war nur auf Windows ausgerichtet, nutzte das Verschlüsselungsverfahren RSA-2048, markierte die Dateien mit der Endung .ecrypt und hinterließ zwei Dateien, die als Erpresserbrief dienten. Die Dateinamen hierfür lauteten YOUR_FILES_HAS_BEEN_ENCRYPTED.txt und YOUR_FILES_HAS_BEEN_ENCRYPTED.html. Darüber hinaus verwendete der Virus gehackte südkoreanische Webseiten als C&C-Server und konnte über 423 verschiedene Typen von Dateien verschlüsseln.

Die darauffolgende Version konnte die Benutzerkontensteuerung umgehen und sich hierdurch mit höheren Rechten starten. Der Virus drohte außerdem damit, dass wenn das Opfer nicht zu den Forderungen einwilligt und nicht 0,085 BTC innerhalb von 96 Stunden bezahlt, werden alle Dateien auf dem Computer gelöscht. Die verbesserte Version löschte zudem die Schattenkopien, um eine kostenfreie Wiederherstellung der Dateien zu verhindern. Obwohl man sich mit Sicherheitskopien der persönlichen Dateien auf externen Speichergeräten einen Großteil der Arbeit im Falle eines Angriffs ersparen kann, verspüren nicht viele Computernutzer das Bedürfnis solche Sicherheitskopien anzufertigen. Das Resultat ist dann, dass sie später um ihre verlorenen Dateien trauern und verzweifelt nach Datenwiederherstellungsmöglichkeiten suchen. Es spielt keine Rolle, ob man Windows, Mac OS oder Linux nutzt, man muss vorbeugende Maßnahmen ergreifen, um schädliche Angriffe abzuwehren. Wir empfehlen für die Entfernung von Erpressungsprogrammen eine Software wie FortectIntego oder SpyHunterCombo Cleaner zu verwenden. Für die Entfernung von Erebus in Linux ist eine mit Linux kompatible Software notwendig.

Update Februar 2017: Erebus-Virus verbessert, verlangt geringeres Lösegeld

Cybersicherheitsexperten haben im Februar eine neue Version vom Erebus-Virus entdeckt. Sie verschlüsselt die anvisierten Dateien mit AES und modifiziert dann die Dateiendung, indem sie sie um 23 Stellen im Alphabet rotiert. Anschließend speichert der Virus die Datei README.html auf dem Desktop. In dieser Datei findet man die Anweisungen für die Wiederherstellung der Dateien. Wie bei dieser Art von Virus üblich, drängt Erebus seine Opfer dazu das Lösegeld innerhalb von 96 Stunden zu bezahlen. Hacker tendieren dazu für die Kontaktaufnahme von „Einweg-E-Mail-Adressen“ Gebrauch zu machen. Es gibt jedoch nicht genug Informationen darüber, ob die Cyberkriminellen antworten und die Dateien freilassen. Wenn Sie Erebus ebenfalls zum Opfer gefallen sind, sollten Sie sich lieber auf die Entfernung des Erpressungsprogramms konzentrieren.

Die Version umgeht immer noch die Benutzerkontensteuerung von Windows bzw. deaktiviert die Funktion, die vor der Installation eines neuen Programms das Dialogfenster aufruft. Erebus verhindert folglich, dass Opfer die Infizierung selbstständig aufhalten können. Darüber hinaus modifiziert der Virus die Einträge in der Registrierungsdatenbank, um seine Funktionsweise zu beschleunigen. Das Erpressungsprogramm startet die Datei eventvwr.msc, welche dann eventvwr.msc öffnet. Der EventViewer ist später nicht mehr mit mmc.exe (Microsoft Management Console) verknüpft und öffnet eine zufällig betitelte EXE-Datei des Virus. Da der EventViewer in einem höheren Modus ausgeführt wird, wird die Virendatei ebenfalls mit ähnlichen Berechtigungen ausgeführt.

The image of Erebus

Erebus verbindet sich im Anschluss mit http://ipecho.net/plain und http://ipinfo.io/, um den geografischen Standort des Computernutzers zu identifizieren. Zudem baut es später eine Verbindung zum Tor-Netzwerk auf und verbindet sich mit seinen C&C-Servern.

Das Erpressungsprogramm ist nicht zu unterschätzen. Es löscht die Schattenkopien, wodurch die Chancen auf eine Wiederherstellung der Daten gering sind. Zurzeit wird lediglich ein relativ kleiner Betrag als Lösegeld verlangt – 0,085 BTC (~200 Euro). Zuletzt wird noch eine zusätzliche Nachricht eingeblendet, worin über die Infizierung mit Erebus informiert wird.

Files crypted!
Every important file on this computer was crypted. Please look on your documents or desktop folder for a file called README.html for instructions on how to decrypt them.

Update Juni 2017: Südkoreanische Webhosting-Firma von Erebus betroffen

Die Schadsoftware hat in Südkorea erfolgreich die Webhosting-Firma Nayana infiziert, wodurch sie tausende von Webseiten kompromittiert hat. Der Angriff betraf über hunderte von Linux-Servern und scheint den Cyberkriminellen den Anlass dazu gegeben zu haben ein enormes Lösegeld in Höhe von 10 Bitcoins zu fordern, was zurzeit fast 25.000 Euro entspricht. Die Angreifer haben später realisiert, dass die Summe zu hoch angesetzt wurde und sie auf 5,4 Bitcoins heruntergestuft (etwas über 13.000 Euro).

Das Erpressungsprogramm sperrte Datenbanken, Bilder und Videos. Die Firma hat auf ihrer offiziellen Webseite verkündet, dass sie die Unannehmlichkeiten bedauern und der Fall von der Rechtsabteilung untersucht wird. In der Zwischenzeit geben die Mitarbeiter von Nayana alles, um die Fragen von den Kunden zu beantworten und sie mit Back-up-Dateien zu versorgen. Die Firma verhandelt derzeit noch mit den Cyberkriminellen über das Lösegeld.

Die Meldungen auf der offiziellen Firmenseite deuten darauf hin, dass die Cyberkriminellen einen hohen Rabatt gewährt haben. Eine der Nachrichten enthält einen Ausschnitt der Cyberkriminellen, worin ein Lösegeld von 550 BTC gefordert wird. Die Erpresser haben sogar vorgerechnet, dass Nayana die Summe bezahlen kann.

Verbreitungsmaschen

Im Vergleich zu anderen Erpressungsprogrammen konzentriert sich Erebus auf Malvertising, um seine Angriffe durchzuführen. Insbesondere arbeitet es mit Anzeigen, die normalerweise leichtfertig angeklickt werden. Das Opfer wird daraufhin zu einer Domain weitergeleitet, die mit dem Exploit-Kit RIG infiziert ist. Wenn das Opfer sich auf solch einer Webseite wiederfindet, ist der Computer in Sekundenschnelle mit Erebus infiziert. Um eine Cyberattacke zu verhindern oder zumindest das Risiko zu minimieren, sollte man ein anständiges Sicherheitsprogramm installieren und ihm die virtuellen Bedrohungen überlassen. Solche Programme sind auch im Erkennen von Trojanern und kleineren Bedrohungen (Hijackern) hilfreich.

Erebus-Virus entfernen

Für eine erfolgreiche Entfernung von Erebus, ist ein Schadsoftware-Entferner notwendig. Wir können hierfür FortectIntego oder MalwarebytesMalwarebytes empfehlen. Beachten Sie aber, dass die Anwendungen zuerst aktualisiert werden müssen, damit sie alle Komponenten und Registrierungsschlüssel der Bedrohung erkennen können. Nach der Entfernung können Sie sich der Datenwiederherstellung widmen. Zu guter Letzt möchten wir für die Zukunft anraten bei Spammails vorsichtig zu sein, da sie häufig datenverschlüsselnde Bedrohungen übertragen. Zudem lässt sich das Risiko auf eine Infizierung mit Erebus oder anderen Kryptoviren verringern, indem man Software auf dem Computer aktuell hält und bedacht im Internet surft.

 

Schreiben Sie den ersten Kommentar

DieViren
Datenschutzeinstellungen

Wir verwenden Cookies, um Ihr Erlebnis zu verbessern und den Datenverkehr zu analysieren. Manche Cookies ermöglichen eingebettete Inhalte wie Videos und Social-Media-Beiträge. Wählen Sie, was Sie erlauben — Sie können dies jederzeit ändern.