Schweregradskala:  
  (99/100)

Asasin-Erpressersoftware. Richtig entfernen? (Anleitung für die Deinstallation)

von Olivia Morelli - - | Virustyp: Ransomware
12

Asasin-Virus setzt Lockys Arbeiten fort

The image of Asasin ransomware virus

Asasin ist eine weitere Version des berüchtigten Virus Locky. Die neue Variante der Krypto-Schadsoftware wurde Oktober 2017 entdeckt und wird via E-Mails verschickt, die gefälschte Rechnungen in sich tragen. Im Anschluss der Infiltrierung versieht der Virus alle korrupten Dateien mit der Endung .asasin und bietet den Locky-Decodierer zum Kauf an, womit sich die Dateien wiederherstellen lassen. Der wesentliche Unterschied bei dieser Variante ist die neue Dateiendung und die Malspam-Kampagne für die Verbreitung.

Es wurde festgestellt, dass die Erpressersoftware via Spammails im Umlauf gebracht wird, die aussehen als würden sie von der Firma RightSignature für Web und mobile Online-Unterschriften gesendet werden. Die schädlichen E-Mails stammen von der Adresse documents@rightsignature.com und haben normalerweise den Betreff „Document invoice_95649_sign_and_return.pdf is complete”. Der schädliche Anhang ist für die Empfänger jedoch nicht sichtbar.

Wenn die Exe-Datei der Erpressersoftware trotzdem auf dem System heruntergeladen und gestartet wird, beginnt sie umgehend damit die Daten nach den Verschlüsselungsalgorithmen RSA-2048 und AES-128 zu verschlüsseln. Die Namen der anvisierten Dateien werden außerdem nach folgendem Schema umbenannt und am Ende mit .asasin markiert:

[Die ersten 8 Zeichen der ID]-[nächsten 4 Zeichen der ID]-[weitere 4 Zeichen der ID]-[4 Zeichen]-[12 Zeichen].asasin.

Im Anschluss der Verschlüsselung speichert die Schadsoftware diese drei neuen Dateien auf dem Computer:

  • asasin.bmp;
  • asasin-5eac.htm;
  • asasin.htm.

Die BMP-Datei wird als Desktophintergrund festgelegt und enthält eine kurze Erklärung darüber, was mit den Benutzerdaten geschehen ist. Die anderen zwei Dateien werden auf dem Desktop gespeichert und geben ausführliche Anweisungen für die Bezahlung des Lösegelds und den Erhalt des Locky-Decodierers, um die Dateien wiederherzustellen. Die Entwickler von Locky verlangen bei dieser Variante ein Lösegeld in Höhe von 0,25-0,3 Bitcoin, also mehr als 1000 Euro.

Bedauerlicherweise ist es keine Lüge, was im Erpresserbrief geschrieben steht. Es gibt zurzeit keinen anderen Weg die Dateien wiederherzustellen. Asasin, sowie die ebenfalls neu erschienen Varianten Lukitus, Diablo6 und Ykcol können nicht mit Tools von Dritten entschlüsselt werden. Es sei denn, den Varianten ist bei der Löschung der Schattenkopien ein Fehler unterlaufen.

Trotzdem ist von der Bezahlung des Lösegelds abzuraten. Cyberkriminelle sind nicht zuverlässig und müssen ihr Wort nicht halten. Man kann folglich tausende von Euros ausgeben und immer noch ohne Dateien dastehen. Wir empfehlen daher den Schaden nicht noch größer ausfallen zu lassen als er schon ist und sich auf die Entfernung von Asasin zu konzentrieren. Für die Datenwiederherstellung kann man alternative Methoden ausprobieren.

Um Asasin richtig zu entfernen, muss man eine bewährte Sicherheitssoftware installieren. Bevor Sie nun aber Ihr gewünschtes Sicherheitsprogramm installieren, sollten Sie den Computer in den abgesicherten Modus starten, denn die Erpressersoftware könnte sonst gegen eine Entfernung resistent sein. Im abgesicherten Modus installieren Sie dann Reimage oder einen anderen Schadsoftware-Entferner und führen einen vollständigen Systemscan aus.

Korrupte Malspam-Kampagne verbreitet datenverschlüsselnden Virus

Die Entwickler von Locky bleiben ihrer primären Schadsoftwareverbreitungsmethode treu: Schädliche Spammails. Forscher haben entdeckt, dass Asasin sich als gefälschte E-Mail von RightSignature verbreitet. Die Nachricht von den Cyberkriminellen macht einen legitimen Eindruck, denn als Absender wird documents@rightsignature.com aufgeführt und der Betreff überlistet mit der Information „Document invoice_95649_sign_and_return.pdf is complete”.

Bitte beachten Sie, dass es zahlreiche ähnliche E-Mails gibt, die die Schadsoftware verbreiten können. Seien Sie also bei allen erhaltenen E-Mails vorsichtig und öffnen Sie nicht leichtsinnig die angehangenen Dokumente.

Mit der Verbreitung dieser Erpressersoftware scheint es allerdings ein Problem zu geben, denn der schädliche E-Mail-Anhang, der die Exe-Datei der Erpressersoftware herunterlädt, ist für die Empfänger nicht sichtbar und kann folglich nicht heruntergeladen werden. Die E-Mail zeigt lediglich einen Base64 codierten Text.

Ursprünglich sollten die E-Mails ein 7zip- oder 7z-Archiv mit einer VBS-Datei enthalten. Wenn der Empfänger sie öffnen würde, würde das schädliche Programm auf dem System installiert und ausgeführt. Die neue Version von Locky wird dem Anschein nach also nicht so erfolgreich sein wie seine Vorgänger. Trotzdem raten Sicherheitsexperten aus Frankreich bei erhaltenen E-Mails zur Vorsicht und zum regelmäßigen Aktualisieren der Back-ups.

Entfernungsanleitung für Asasin-Schadsoftware

Nach einem Angriff von einer Erpressersoftware muss man schnell handeln. Das schädliche Programm kann das System modifizieren und zahlreiche schädliche Komponenten installieren. Es ist daher wichtig Asasin richtig zu entfernen. Sie benötigen hierfür einen bewährten Schadsoftware-Entferner, wie bspw. Reimage oder Malwarebytes Anti Malware. Wir raten davon ab virenverwandte Dateien manuell ausfindig zu machen und zu löschen, da man hierbei das System beschädigen könnte.

Bedauerlicherweise sorgt die Entfernung von Asasin nicht dafür, dass die Dateien wiederhergestellt werden. Sobald der Virus aber endgültig entfernt worden ist, kann man Back-ups nutzen oder die unten aufgeführten alternativen Wiederherstellungsmethoden ausprobieren.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um Asasin-Erpressersoftware zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von Asasin-Erpressersoftware ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des Asasin-Virus:

Entfernen Sie Asasin mit Safe Mode with Networking

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

Starten Sie den infizierten Computer zuerst in den abgesicherten Modus mit Netzwerktreibern, um die Erpressersoftware entfernen zu können.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne Asasin

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von Asasin fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie Asasin mit System Restore

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

Folgende Methode hilft ebenfalls dabei den Virus zu deaktivieren, um die Entfernung durchzuführen:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Asasin liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von Asasin erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen Asasin vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Die einzig sichere und zuverlässige Methode für die Datenwiederherstellung ist die Verwendung von Back-ups. Asasin ist leider dazu in der Lage die Schattenkopien zu löschen, wodurch die Chance auf eine Wiederherstellung von korrupten Dateien sehr gering sind. Wenn die Erpressersoftware hierbei einen Fehler macht, besteht jedoch Hoffnung auf die Wiederherstellung.

Wenn Ihre Dateien von Asasin verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro nach einem Angriff zur Hilfe

Das Tool hilft ursprünglich dabei versehentlich gelöschte oder korrupte Dateien wiederherzustellen. Allerdings könnte es auch nach einem Angriff nützlich sein.

  • Laden Sie Data Recovery Pro (https://dieviren.de/download/data-recovery-pro-setup.exe) herunter;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von Asasin verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Die Vorgängerfunktion von Windows, um einzelne Dateien wiederherzustellen

Das Windows-Feature setzt quasi die Zeit für die Dateien zurück und erlaubt es auf früher gespeicherte Versionen zuzugreifen. Die Dateien lassen sich hierbei allerdings nur einzeln wiederherstellen und nur unter der Voraussetzung, dass die Systemwiederherstellung vor dem Angriff aktiviert wurde.

  • Suchen Sie nach einer verschlüsselten Datei, die Sie wiederherstellen möchten und führen Sie einen Rechtsklick darauf aus;
  • Selektieren Sie “Properties” und gehen Sie zum Reiter “Previous versions”;
  • Kontrollieren Sie hier unter “Folder versions” alle verfügbaren Kopien. Wählen Sie die Version aus, die Sie wiederherstellen möchten und klicken Sie auf “Restore”.

ShadowExplorer hilft, wenn Schattenkopien vorhanden sind

Locky ist dazu in der Lage die Schattenkopien der anvisierten Dateien zu löschen, um die Wiederherstellung mit Tools von Dritten unmöglich zu machen. Trotzdem kann es passieren, dass die Erpressersoftware bei ihrer Aufgabe fehlschlägt. In diesem Fall kann dann ShadowExplorer die Daten wiederherstellen.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Asasin-Decodierer noch nicht verfügbar

Die Autoren der Erpressersoftware möchten, dass man den Locky Decryptor erwirbt. Sicherheitsexperten raten hiervon natürlich ab. Wie wir bereits im Artikel erwähnt haben, sind Schadsoftware-Entwickler nicht gerade zuverlässig. Die Überweisung kann folglich in Nichts enden. Bitte bleiben Sie also geduldig und handeln Sie nicht überstürzt. Forschern wird es hoffentlich gelingen ein Tool zu erstellen, das Dateien mit der Endungen .asasin wiederherstellen kann.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Asasin und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Olivia Morelli
Olivia Morelli - Schadsoftwareanalystin

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Quelle: https://www.2-spyware.com/remove-asasin-ransomware-virus.html

Entfernungsanleitungen in anderen Sprachen