Virus DetoxCrypto entfernen (Verbesserte Instruktionen) - aktualisiert Mrz 2021
Anleitung für die Entfernung des DetoxCrypto-Virus
Was ist DetoxCrypto?
DetoxCrypto veröffentlicht direkt zwei Versionen: Calipso und Pokemon. Wie gehen diese Viren vor?
Der DetoxCrypto-Virus ist eine ernste erpresserische Computerinfizierung, die unter zwei verschiedenen Namen bekannt ist – das Pokemon-Erpressungsprogramm und das Calipso-Erpressungsprogramm. Beide dieser Viren wurden erstellt, um die Dateien ihrer Opfer zu verschlüsseln und sie unzugänglich zu machen. Der Grund für diese böswilligen Aktivitäten ist natürlich Geld. Man fordert im Gegenzug für die Entschlüsselungssoftware das Bezahlen eines Lösegelds. Wir raten aber auf alle Fälle davon ab das Lösegeld zu bezahlen. Statt zum Portemonnaie zu greifen, sollte die Entfernung von DetoxCrypto in Erwägung gezogen werden. Wir empfehlen dafür eine professionelle Anti-Malware wie FortectIntego zu verwenden. Weitere Informationen über die Entfernung finden Sie in der Anleitung am Ende des Artikels.
Die Infizierung wird in der Form einer einzelnen exe-Datei geliefert, welche nach dem Anklicken folgende Dateien auf dem Computer hinterlegt:
- MicrosoftHost.exe – Die Datei soll die Daten verschlüsseln und Datenbankserver stoppen. Sie ist außerdem für das Verändern des Desktop-Hintergrunds verantwortlich, welche die Mitteilung der Cyberkriminellen anzeigt.
- Pokemon.exe oder Calipso.exe – Diese Datei ermöglicht das Entschlüsseln der Dateien, wenn man den richtigen Entschlüsselungsschlüssel hat. Sie spielt außerdem eine Audiodatei ab.
- Die .wav-Datei ist die Audiodatei, die von Pokemon.exe oder Calipso.exe abgespielt wird.
Beide Viren verhalten sich ähnlich und fügen keine neue Endung an verschlüsselte Dateien an. Es gibt aber dennoch Unterschiede zwischen den Varianten. Es gibt außerdem bereits neue Versionen, weshalb wir alle Varianten des DetoxCrypto-Virus im Folgenden auflisten möchten.
Varianten von DetoxCrypto
Der Calipso-Virus erstellt einen Ordner namens Calipso, worin er seine Komponenten speichert. Er spielt außerdem eine Audiodatei mit einer kurzen Nachricht ab. In der Nachricht wird erklärt, dass die Dateien verschlüsselt worden sind und innerhalb 3 Tage 2 Bitcoins bezahlt werden muss, wenn man sie entschlüsselt haben möchte. Zudem erhöht sich das geforderte Lösegeld jeden weiteren Tag um 1 Bitcoin. Wenn man den Virus löscht, werden angeblich alle verschlüsselten Dateien gelöscht. Das untersuchte Muster gibt die E-Mail-Adresse motox2016@mail2tor.com an, wo man für Anweisungen bezüglich der Bezahlung des Lösegelds mit den Cyberkriminellen Kontakt aufnehmen kann. Ferner ist interessant, dass die Variante einen Screenshot vom Bildschirm anfertigt und es an die Server der Cyberkriminellen überträgt. Obwohl noch kein bestimmter Grund dafür bekannt ist, vermuten wir, dass man auf diese Weise versucht wertvolle Informationen zu erlangen, um ein höheres Lösegeld zu rechtfertigen.
Der Pokemon-Virus, oder auch bekannt als „We are all Pokemons“-Virus, ist nicht zu verwechseln mit dem PokémonGo-Erpressungsprogramm. Sobald er den Computer sperrt, spielt er eine Audiodatei mit einer albernen Melodie ab. Der Desktop-Hintergrund wird mit einem Bild ersetzt, wo ein trauriges Pikachu und ein Text zu sehen ist. Der Preis für die Entschlüsselungssoftware entspricht dem von Calipso und muss innerhalb 96 Stunden bezahlt werden. Andernfalls werden die Dateien auf dem Computer gelöscht. Dem Erpresserbrief zufolge gilt dies ebenfalls, wenn man die Komponenten von dem Erpressungsprogramm vom Computer löscht. Die bereitgestellte E-Mail-Adresse lautet hier contact365@mail2tor.com.
Der Serpico-Virus gehört zu den neueren Varianten der Schadsoftware. Obwohl das geforderte Lösegeld eher bescheiden ist, sollte man die Bezahlung dennoch nicht in Betracht ziehen. Die Vorgehensweise und die Verschlüsselungstechniken sind immer noch unklar. Die Verbreitungsmethoden unterscheiden sich von anderen Bedrohungen dieser Art nicht. Es gilt hier also ebenfalls das Öffnen von Spammails zu vermeiden und den Absender zuerst zu verifizieren. Darüber hinaus sind File-Sharing-Seiten nicht empfehlenswert zu besuchen. Der Virus gibt übrigens dieselbe E-Mail-Adresse wie bei Calipso an – motox2016@mail2tor.com.
Der MotoxLocker-Virus ist die neueste Variante von DetoxCrypto und macht die Dateien mit der AES-Verschlüsselung unzugänglich und verlangt anschließend ein Lösegeld in Höhe von 50 Euro. Der Virus behauptet natürlich, dass es keinen Weg gibt, um die Dateien ohne das Bezahlen des Lösegelds zurückzugewinnen. Glücklicherweise entspricht dies nicht der Wahrheit, denn es gibt bereits das MotoxLocker-Entschlüsselungsprogramm. Durch Schwachstellen im Virencode konnte ziemlich einfach der Entschlüsselungsschlüssel offengelegt werden. Bevor man allerdings vom Entschlüsselungsprogramm Gebrauch macht, muss man die Schadsoftware vom Computer entfernen.
Update September 2016: DetoxCrypto ahmt Antivirenprogramme nach, um in den Computer zu gelangen
Das von DetoxCrypto verursachte Chaos auf den Computer lässt einfach nicht nach und die Virenentwickler wollen mehr. Sie sind immer noch auf der Suche nach den besten Virenverbreitungsmöglichkeiten und haben neulich eine Testversion des Virus im Umlauf gebracht, die sich als malwerbyte.exe tarnt. Das Problem sollte eigentlich sofort sichtbar sein, aber trotz des Fehlers im Namen verwechseln unaufmerksame Computernutzer es schnell mit dem legitimen Antivirenprogramm von SpyHunter 5Combo Cleaner. Der Download der Datei kann in irreführenden Update-Pop-ups angeboten oder im Anhang einer E-Mail mitgeliefert werden. Man muss demzufolge sehr vorsichtig sein und das originale Programm nur mithilfe von bekannten und bewährten Quellen aktualisieren oder herunterladen. Diese Variante des Virus verschlüsselt glücklicherweise nicht die Dateien und kann recht einfach vom Computer entfernt werden. Wie wir aber bereits gesagt haben, ist dies wahrscheinlich nur ein Testlauf und lediglich eine Frage der Zeit, wenn die Verbreitungsmethode für den echten Virus verwendet wird.
Die Verbreitungsmethoden von DetoxCrypto
Der DetoxCrypto-Virus wird wie jeder andere dateiverschlüsselnde Virus mithilfe von schädlichen E-Mails und Malvertising verbreitet. Bedauerlicherweise verschicken sie die Schadsoftware mit hunderten von E-Mails, weshalb sich hier keine spezifischen Absender nennen lassen. Unser Rat ist daher E-Mails von unbekannten Absendern zu ignorieren und insbesondere deren angehangenen Dateien nicht zu öffnen. Zudem ist eine Installation des Erpressungsprogramms möglich, wenn man eine infizierte Webanzeige anklickt. Aggressive Anzeigen, die dazu drängen den Computer mit einer unbekannten Sicherheitssoftware zu scannen, ist sicherlich nicht empfehlenswert. Das Gleiche gilt für Anzeigen, die Java- oder Flash-Updates anbieten und von suspekten Drittwebseiten stammen. Wenn Sie der Meinung sind, dass Sie die Programme aktualisieren müssen, sollten Sie zu den offiziellen Webseiten der Entwickler gehen und dort die legitimen Versionen herunterladen. Des Weiteren kann sich die Schadsoftware durch Exploit-Kits verbreiten. Es gibt derzeit jedoch keine offiziellen Informationen über bestimmte Exploit-Kits, die für eine Infizierung mit DetoxCrypto-Viren verantwortlich sind. Wir empfehlen aber dennoch dringendst eine anständige Anti-Malware zu installieren, um den Computer vor Angriffen zu schützen.
Entfernungsanleitung für DetoxCrypto
Nutzen Sie für die Entfernung vom DetoxCrypto-Virus bitte eine anständige Anti-Malware und aktualisieren Sie sie zuerst, bevor Sie den Systemscan durchführen. Die manuelle Entfernung von DetoxCrypto ist nicht empfehlenswert, weil die Prozedur viel zu wichtig ist, um Fehler zu machen. Wenn Sie nicht zu den erfahrenen Computernutzern gehören, sehen Sie bitte davon ab den Virus manuell zu entfernen. Mit den folgenden Anweisungen können Sie eine Anti-Malware herunterladen oder ihre derzeitige Anti-Malware aktualisieren, wenn der Virus dies blockiert:
Anleitung für die manuelle Entfernung des DetoxCrypto-Virus
Ransomware: Entfernung der Ransomware über den abgesicherten Modus
Wichtig! →Die Anleitung zur manuellen Entfernung von Ransomware ist für Computerlaien möglicherweise zu kompliziert. Für die korrekte Ausführung sind fortgeschrittene IT-Kenntnisse erforderlich, da durch das Löschen oder Beschädigen von wichtigen Systemdateien, Windows nicht mehr korrekt arbeitet. Darüber hinaus kann die manuelle Entfernung Stunden in Anspruch nehmen, bis sie abgeschlossen ist. Wir raten daher dringend zur oben beschriebenen automatischen Methode.
Schritt 1. Greifen Sie auf den abgesicherten Modus mit Netzwerktreibern zu
Die manuelle Entfernung von Malware sollte am besten über den abgesicherten Modus erfolgen.
Windows 7 / Vista / XP
- Klicken Sie auf Start > Herunterfahren > Neu starten > OK.
- Wenn der Computer aktiv wird, drücken Sie mehrmals die Taste F8, bis Sie das Fenster Erweiterte Startoptionen sehen. (Wenn das nicht funktioniert, versuchen Sie F2, F12, Entf, etc., abhängig vom Modell des Motherboards.)
- Wählen Sie aus der Liste Abgesicherter Modus mit Netzwerktreibern aus.
Windows 10 / Windows 8
- Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Einstellungen.
- Scrollen Sie nach unten und wählen Sie Update und Sicherheit.
- Wählen Sie im linken Bereich des Fensters Wiederherstellung.
- Scrollen Sie nun nach unten zum Abschnitt Erweiterter Start.
- Klicken Sie auf Jetzt neu starten.
- Wählen Sie Problembehandlung.
- Gehen Sie zu Erweiterte Optionen.
- Wählen Sie Starteinstellungen.
- Klicken Sie auf Neu starten.
- Drücken Sie nun auf 5 oder klicken Sie auf 5) Abgesicherten Modus mit Netzwerktreibern aktivieren.
Schritt 2. Beenden Sie verdächtige Prozesse
Der Task-Manager ist ein nützliches Tool, das alle im Hintergrund laufenden Prozesse anzeigt. Gehört einer der Prozesse zu einer Malware, müssen Sie ihn beenden:
- Drücken Sie auf Ihrer Tastatur auf Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
- Klicken Sie auf Mehr Details.
- Scrollen Sie nach unten zum Abschnitt Hintergrundprozesse und suchen Sie nach verdächtige Einträge.
- Klicken Sie den verdächtigen Prozess mit der rechten Maustaste an und wählen Sie Dateipfad öffnen.
- Gehen Sie zurück zu dem Prozess, klicken Sie ihn mit der rechten Maustaste an und wählen Sie Task beenden.
- Löschen Sie den Inhalt des bösartigen Ordners.
Schritt 3. Prüfen Sie den Programmstart
- Drücken Sie auf Ihrer Tastatur auf Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
- Gehen Sie zum Reiter Autostart.
- Klicken Sie mit der rechten Maustaste auf das verdächtige Programm und wählen Sie Deaktivieren.
Schritt 4. Löschen Sie die Dateien des Virus
Zu Malware gehörende Dateien können sich an beliebige Stellen auf dem Computer verstecken. Hier einige Anweisungen, die bei der Suche helfen können:
- Geben Sie Datenträgerbereinigung in der Windows-Suche ein und drücken Sie auf die Eingabetaste.
- Wählen Sie das zu bereinigende Laufwerk aus (C: ist normalerweise das Hauptlaufwerk und auch wahrscheinlich das Laufwerk, in dem sich bösartige Dateien befinden).
- Blättern Sie durch die Liste der zu löschenden Dateien und wählen Sie die folgenden aus:
Temporäre Internetdateien
Downloads
Papierkorb
Temporäre Dateien - Wählen Sie Systemdateien bereinigen.
- Des Weiteren empfiehlt es sich nach bösartigen Dateien in den folgenden Ordnern zu suchen (geben Sie jeden Eintrag in die Windows-Suche ein und drücken Sie die Eingabetaste):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Wenn Sie fertig sind, starten Sie den PC in den normalen Modus.
Entfernen Sie DetoxCrypto mit System Restore
-
Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klicken Sie auf Start → Shutdown → Restart → OK.
- Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
- Wählen Sie Command Prompt von der Liste
Windows 10 / Windows 8- Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
- Wählen Sie nun Troubleshoot → Advanced options → Startup Settings und drücken Sie zuletzt auf Restart.
- Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt.
-
Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
- Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter.
- Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter..
- Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von DetoxCrypto liegt. Klicken Sie anschließend auf Next.
- Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten.
Bonus: Wiederherstellung der Daten
Die oben aufgeführte Anleitung soll dabei helfen DetoxCrypto vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.Es gibt leider noch kein Entschlüsselungsprogramm für DetoxCrypto. Sie können aber ein paar der unten aufgeführten Datenwiederherstellungsmethoden unserer Experten ausprobieren. Wir hoffen, dass Sie dabei wenigstens eine Methode finden mit der Sie ihre wichtigsten Daten retten können.
Wenn Ihre Dateien von DetoxCrypto verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:
Datenwiederherstellung mit Data Recovery Pro
DetoxCrypto ist eine heikle Infizierung und lässt aller Wahrscheinlichkeit nach einen ohne Daten dastehen. Mit einer modernen Software wie Data Recovery Pro besteht allerdings etwas Hoffnung in der Wiederherstellung. Es ist kein Fachwissen und kein großer Aufwand nötig und demzufolge ein Versuch wert. Die nötigen Schritte dafür finden Sie im Folgenden:
- Data Recovery Pro herunterladen;
- Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
- Starten Sie es und scannen Sie den Computer nach Dateien, die von DetoxCrypto verschlüsselt worden sind;
- Stellen Sie sie wieder her.
Daten retten mit der Vorgängerfunktion von Windows
Wenn Sie die Vorgängerfunktion von Windows noch nicht kennen, finden Sie diese Methode der Datenwiederherstellung wahrscheinlich sehr hilfreich. Damit diese Methode funktioniert, müssen Sie sich vergewissern, dass Sie vorher die Systemwiederherstellung aktiviert hatten. Wenn ja, dann können Sie Ihre Daten wie folgt retten:
- Suchen Sie nach einer verschlüsselten Datei, die Sie wiederherstellen möchten und führen Sie einen Rechtsklick darauf aus;
- Selektieren Sie “Properties” und gehen Sie zum Reiter “Previous versions”;
- Kontrollieren Sie hier unter “Folder versions” alle verfügbaren Kopien. Wählen Sie die Version aus, die Sie wiederherstellen möchten und klicken Sie auf “Restore”.
Wiederherstellung der Daten mit ShadowExplorer
Wenn DetoxCrypto nicht die Schattenkopien vom Computer gelöscht hat, haben Sie Glück. Sie können dann die Daten mit ShadowExplorer wiederherstellen, welches die erwähnten Dateien von dem System-Back-up entnimmt und sie wiederherstellt. Lesen Sie sich bitte die untenstehenden Anweisungen durch, um die Prozedur richtig durchzuführen:
- Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
- Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
- Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
- Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.
Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor DetoxCrypto und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise FortectIntego, SpyHunter 5Combo Cleaner oder Malwarebytes, nutzen.
Für Sie empfohlen
Privatsphäre leicht gemacht
Anonymität im Internet ist heutzutage ein wichtiges Thema. Ob man sich nun vor personalisierter Werbung schützen möchte, vor Datenansammlungen im Allgemeinen oder den dubiosen Praktiken einiger Firmen oder Staaten. Unnötiges Tracking und Spionage lässt sich nur verhindern, wenn man völlig anonym im Internet unterwegs ist.
Möglich gemacht wird dies durch VPN-Dienste. Wenn Sie online gehen, wählen Sie einfach den gewünschten Ort aus und Sie können auf das gewünschte Material ohne lokale Beschränkungen zugreifen. Mit Private Internet Access surfen Sie im Internet ohne der Gefahr entgegen zu laufen, gehackt zu werden.
Sie erlangen volle Kontrolle über Informationen, die unerwünschte Parteien abrufen können und können online surfen, ohne ausspioniert zu werden. Auch wenn Sie nicht in illegale Aktivitäten verwickelt sind oder Ihren Diensten und Plattformen Vertrauen schenken, ist Vorsicht immer besser als Nachricht, weshalb wir zu der Nutzung eines VPN-Dienstes raten.
Sichern Sie Ihre Dateien für den Fall eines Malware-Angriffs
Softwareprobleme aufgrund Malware oder direkter Datenverlust dank Verschlüsselung können zu Geräteproblemen oder zu dauerhaften Schäden führen. Wenn man allerdings aktuelle Backups besitzt, kann man sich nach solch einem Vorfall leicht retten und zurück an die Arbeit gehen.
Es ist daher wichtig, nach Änderungen am Gerät auch die Backups zu aktualisieren, sodass man zu dem Punkt zurückkehren kann, an dem man zuvor gearbeitet hat, bevor eine Malware etwas verändert hat oder sonstige Probleme mit dem Gerät auftraten und Daten- oder Leistungsverluste verursachten.
Wenn Sie von jedem wichtigen Dokument oder Projekt die vorherige Version besitzen, können Sie Frustration und Pannen vermeiden. Besonders nützlich sind sie, wenn Malware wie aus dem Nichts auftaucht. Verwenden Sie Data Recovery Pro für die Systemwiederherstellung.