Virus Egregor entfernen (Virenentfernungsanleitung) - Inkl. Entschlüsselungsmethoden
Anleitung für die Entfernung des Egregor-Virus
Was ist Egregor Erpressersoftware?
Erpressersoftware Egregor – ein Kryptovirus, der betroffene Dateien mit einer beliebigen Zeichenfolge markiert
Die Egregor Ransomware sorgt für Probleme auf dem System, indem sie die Dateien sperrt und damit den Zugriff auf die eigenen Bilder, Dokumente, Archive und sogar Datenbanken verhindert. Egregor wird vor allem mit der Sekhmet Ransomware und Ryuk ransomware in Verbindung gebracht, die von derselben Hackergruppe veröffentlicht wurde. Viele Ähnlichkeiten und Eigenschaften weisen auf eine Abstammung hin. Zum Beispiel setzen beide Versionen auf die Verschlüsselungsverfahren AES und RSA, um die üblichen Benutzerdateien zu sperren und über eine auf dem Bildschirm angezeigte Textdatei Lösegeld zu fordern. Laut dem Inhalt der Textdatei RECOVER-FILES.txt haben Opfer 3 Tage Zeit, um sich mit den Kriminellen in Verbindung zu setzen und im Gegenzug für Bitcoins das Entschlüsselungstool zu erhalten.
Der Egregor Virus ist fast identisch mit der Version des Kryptovirus, die im April veröffentlicht wurde. Man kann daher bereits annehmen, dass es keine Hoffnung auf den Zurückerhalt der Dateien oder den Erhalt des Entschlüsselungstools gibt, sogar nach einer Bezahlung. Die Cyberkriminellen konzentrieren sich ausschließlich auf Erpressung, das Wohl der Dateien haben sie nicht im Sinn. Es ist daher wichtig, dass die Malware entfernt wird, sobald man die Lösegeldforderung auf dem Bildschirm sieht, damit das System noch gerettet werden kann und der Schaden nicht dauerhaft ist. In dem Erpresserbrief wird zudem damit gedroht, dass die gestohlenen Daten veröffentlicht werden, sodass Opfer die Zahlung des Lösegeldes erwägen. Bedrohungen können in der Tat diverse Dateien aus dem System herunterladen und an Remote-Server übertragen, bevor sie sie verschlüsseln. Dies ist eine Funktion, die die Schöpfer von Erpressersoftware erst seit neuerer Zeit implementieren.
Name | Egregor Erpressersoftware / Egregor virus / Egregor ransomware |
---|---|
Dateimarker | Die Bedrohung nutzt beliebige Dateierweiterungen, aber auch .egregor ist möglich |
Erpresserbrief | RECOVER-FILES.txt |
Probleme | Die Bedrohung stammt von geldgierigen Kriminellen und kann daher echte Probleme verursachen. Der Erhalt von gefährlicherer Malware via Mail oder Messenger ist möglich, sowie der Datenverlust trotz Lösegeldzahlung |
Familie | Dateisperrer-Virenfamilie. Der Virus ist eine weitere Version von Sekhmet Ransomware |
Verbreitung | Die Infizierung kann sehr leicht mithilfe von schädlichen Dateien und Malware-Verbreitungsseiten erfolgen, aber auch Malware, die die Ransomware direkt in das System einschleust |
Entfernung | Die Entfernung von Egregor sollte zügig stattfinden. Hierzu ist eine Anti-Malware notwendig, die den Virus vollständig beseitigt |
Wiederherstellung | Die Ransomware verursacht einige Probleme. Sie kann Dateien in Systemordnern beschädigen, Einstellungen verändern und Modifizierungen veranlassen, um auf dem System zu bleiben. Für das Beseitigen solcher Probleme ist ein entsprechendes Tool notwendig. FortectIntego kann diesen Job übernehmen |
Eine Infizierung wie diese wirft viele Fragen auf. Die Verschlüsselung von Dateien und die geldfordernde Nachricht sind nicht die einzigen Probleme. Eine Erpressersoftware wie Egregor kann das System beeinträchtigen, indem der Virus bestimmte Funktionen und Dateien in diesen Ordnern modifiziert:
- %Windows%
- %SystemDrive%
- %Local%
- %ProgramData%
- %Temp%.
Dies wirkt sich auf die Persistenz des erpresserischen Virus aus und hindert die Entfernung und die Bereinigung erheblich. Die Dateien könnten zuerst auf ihren möglichen Wert überprüft werden, so dass die Drohungen über das Veröffentlichen der Daten als Anreiz zur Zahlung des Lösegelds dienen.
Da es sich hierbei um eine gängige Technik handelt, empfehlen Experten die Bedrohung zu entfernen, sobald die Textdatei in den Ordnern und auf dem Desktop erscheint. Die Entfernung ist sicherlich nicht einfach, besonders wenn die Bedrohung bereits eine Zeit lang im Hintergrund läuft, bevor man die Verschlüsselung oder andere Symptome bemerkt hat.
Die Ransomware Egregor ist eine dubiose Infizierung, die ihre Opfer verunsichert und zur Bezahlung für eine vermeintliche Entschlüsselung drängt.
Die Erpressersoftware Egregor kann sich weltweit verbreiten und verschiedene Windows-Rechner angreifen. Die Angreifer listen die möglichen Optionen, die Adressen zur Kontaktaufnahme und die Höhe des Lösegelds im Erpresserbrief auf. Das Bezahlen des Lösegelds wird hier als einzige Lösung angesehen.
Der in der Lösegeldforderung aufgeführte Tor-Link führt zu einem Live-Chat und einer Seite, die weitere Anweisungen zur Bezahlung des Lösegelds anzeigt. Die Nachricht besagt, dass der Erpresserbrief hochgeladen werden soll, da in der Datei eine besondere Identifikation enthalten ist und damit die Dateien von denen anderer Opfer unterschieden werden können. Wir möchten jedoch darauf hinweisen, dass dies nicht die Lösung zur Bekämpfung von Egregor ist.
Der Inhalt der Zahlungsseite der Egregor Ransomware lautet:
Egregor
Greetings
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to public.
Please upload your note RECOVER-FILES.txt using the form below and start recovering your data.
After you upload note, you will be provided with further instructions.
Stattdessen sollte die Ransomware Egregor entfernt werden. Schließlich gibt es keine Garantien dafür, dass die Dateien wirklich entschlüsselt und wiederhergestellt werden, nachdem die Angreifer das Geld erhalten haben. Der beste Weg, um Ransomware zu bekämpfen, ist das Bereinigen des Rechners.
Eine Anti-Malware kann alle möglichen Eindringlinge, bösartigen Programme und Anwendungen erkennen und den Rechner von allen vermeintlichen Infektionen befreien, dazu gehört auch Egregor. SpyHunter 5Combo Cleaner oder Malwarebytes sind hierfür geeignet und sollten eine große Hilfe sein. Denken Sie auch daran, einen Scan mit FortectIntego auszuführen, sodass die Systemfunktionen repariert werden.
Verbreitung von Malware durch bösartige Webseiten und schädliche Dateien
Links bergen schon seit jeher Gefahren. Gerne werden Links als harmlose Verlinkung zu einer gewünschten Webseite getarnt, aber schleusen stattdessen Malware in den Computer ein oder führen zu anderen Problemen. In den meisten Fällen erfolgen Infektionen durch das Anklicken von exe-Dateien oder anderen Dateitypen, die PC-Nutzer unwissentlich zulassen. Solche gefahrenbergenden Dateien können in Cracks, raubkopierte Software, Softwarepakete für lizenzierte Versionen von Programmen usw. enthalten sein.
Hauptsächlich sind solche bösartigen Dateien mit Torrent-Diensten zu finden, aber auch über bösartige Kopien von legitimen und vertrauenswürdigen Webseiten. Mittlerweile verlassen sich jedoch immer mehr Kriminelle auf E-Mails mit Office-Dokumenten im Anhang, die als Verbreiter bösartiger Nutzlasten dienen. Zudem können die Nachrichten Links zu betrügerischen und bösartigen Webseiten enthalten. Wir empfehlen daher dringend jegliche Gefahren im Internet zu meiden und keine dubiosen Webseiten zu besuchen. Schützen Sie Ihren Rechner außerdem mit einem anständigen Virenschutz vor Malware.
Befreien Sie das System von Egregor und anderen schädlichen Programmen
Entfernen Sie die Egregor Ransomware sofort nach Erhalt der Lösegeldforderung. So können Sie das Gerät auf die Datenwiederherstellung und die Systemreparatur vorbereiten. Die Entschlüsselung der Dateien ist leider nicht möglich, da Forscher noch kein Tool hierfür entwickeln konnten.
Die Entfernung der Erpressersoftware verläuft am besten, wenn Sie sie mit einer Anti-Malware durchführen, wie bspw. SpyHunter 5Combo Cleaner oder Malwarebytes. Sobald Sie das Antivirenprogramm starten, können Sie sich darauf verlassen, dass alle Bedrohungen, bösartige Anwendungen und gefährlichen Dateien gefunden und entfernt werden. Wenn Sie versuchen Ihre Dateien auf einem infizierten Rechner wiederherzustellen, riskieren Sie es, dass diese dauerhaft beschädigt werden. Entfernen Sie den Virus also bevor Sie die Datenwiederherstellung angehen.
Nach der Beseitigung der Infektion empfehlen wir noch die Systemfunktionen mit Programmen wie FortectIntego zu reparieren und sich anschließend der Datenwiederherstellung zu widmen. Suchen Sie am besten nach früher angefertigten Backups. Hiermit haben Sie die besten Chancen, denn eine Entschlüsselung ist noch nicht möglich. Alternative Varianten finden Sie unterhalb des Artikels.
Anleitung für die manuelle Entfernung des Egregor-Virus
Ransomware: Entfernung der Ransomware über den abgesicherten Modus
Nutzen Sie den abgesicherten Modus mit Netzwerktreibern, so dass Sie ein Antivirenprogramm ohne Einwirkungen von Egregor starten können
Wichtig! →Die Anleitung zur manuellen Entfernung von Ransomware ist für Computerlaien möglicherweise zu kompliziert. Für die korrekte Ausführung sind fortgeschrittene IT-Kenntnisse erforderlich, da durch das Löschen oder Beschädigen von wichtigen Systemdateien, Windows nicht mehr korrekt arbeitet. Darüber hinaus kann die manuelle Entfernung Stunden in Anspruch nehmen, bis sie abgeschlossen ist. Wir raten daher dringend zur oben beschriebenen automatischen Methode.
Schritt 1. Greifen Sie auf den abgesicherten Modus mit Netzwerktreibern zu
Die manuelle Entfernung von Malware sollte am besten über den abgesicherten Modus erfolgen.
Windows 7 / Vista / XP
- Klicken Sie auf Start > Herunterfahren > Neu starten > OK.
- Wenn der Computer aktiv wird, drücken Sie mehrmals die Taste F8, bis Sie das Fenster Erweiterte Startoptionen sehen. (Wenn das nicht funktioniert, versuchen Sie F2, F12, Entf, etc., abhängig vom Modell des Motherboards.)
- Wählen Sie aus der Liste Abgesicherter Modus mit Netzwerktreibern aus.
Windows 10 / Windows 8
- Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Einstellungen.
- Scrollen Sie nach unten und wählen Sie Update und Sicherheit.
- Wählen Sie im linken Bereich des Fensters Wiederherstellung.
- Scrollen Sie nun nach unten zum Abschnitt Erweiterter Start.
- Klicken Sie auf Jetzt neu starten.
- Wählen Sie Problembehandlung.
- Gehen Sie zu Erweiterte Optionen.
- Wählen Sie Starteinstellungen.
- Klicken Sie auf Neu starten.
- Drücken Sie nun auf 5 oder klicken Sie auf 5) Abgesicherten Modus mit Netzwerktreibern aktivieren.
Schritt 2. Beenden Sie verdächtige Prozesse
Der Task-Manager ist ein nützliches Tool, das alle im Hintergrund laufenden Prozesse anzeigt. Gehört einer der Prozesse zu einer Malware, müssen Sie ihn beenden:
- Drücken Sie auf Ihrer Tastatur auf Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
- Klicken Sie auf Mehr Details.
- Scrollen Sie nach unten zum Abschnitt Hintergrundprozesse und suchen Sie nach verdächtige Einträge.
- Klicken Sie den verdächtigen Prozess mit der rechten Maustaste an und wählen Sie Dateipfad öffnen.
- Gehen Sie zurück zu dem Prozess, klicken Sie ihn mit der rechten Maustaste an und wählen Sie Task beenden.
- Löschen Sie den Inhalt des bösartigen Ordners.
Schritt 3. Prüfen Sie den Programmstart
- Drücken Sie auf Ihrer Tastatur auf Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
- Gehen Sie zum Reiter Autostart.
- Klicken Sie mit der rechten Maustaste auf das verdächtige Programm und wählen Sie Deaktivieren.
Schritt 4. Löschen Sie die Dateien des Virus
Zu Malware gehörende Dateien können sich an beliebige Stellen auf dem Computer verstecken. Hier einige Anweisungen, die bei der Suche helfen können:
- Geben Sie Datenträgerbereinigung in der Windows-Suche ein und drücken Sie auf die Eingabetaste.
- Wählen Sie das zu bereinigende Laufwerk aus (C: ist normalerweise das Hauptlaufwerk und auch wahrscheinlich das Laufwerk, in dem sich bösartige Dateien befinden).
- Blättern Sie durch die Liste der zu löschenden Dateien und wählen Sie die folgenden aus:
Temporäre Internetdateien
Downloads
Papierkorb
Temporäre Dateien - Wählen Sie Systemdateien bereinigen.
- Des Weiteren empfiehlt es sich nach bösartigen Dateien in den folgenden Ordnern zu suchen (geben Sie jeden Eintrag in die Windows-Suche ein und drücken Sie die Eingabetaste):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Wenn Sie fertig sind, starten Sie den PC in den normalen Modus.
Entfernen Sie Egregor mit System Restore
Die Systemwiederherstellung kann ebenfalls zur Beseitigung der Bedrohung verwendet werden, da sie es dem Computer ermöglicht, in einen früheren Zustand zurückzukehren, in dem die Bedrohung nicht aktiv war
-
Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klicken Sie auf Start → Shutdown → Restart → OK.
- Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
- Wählen Sie Command Prompt von der Liste
Windows 10 / Windows 8- Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
- Wählen Sie nun Troubleshoot → Advanced options → Startup Settings und drücken Sie zuletzt auf Restart.
- Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt.
-
Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
- Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter.
- Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter..
- Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Egregor liegt. Klicken Sie anschließend auf Next.
- Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten.
Bonus: Wiederherstellung der Daten
Die oben aufgeführte Anleitung soll dabei helfen Egregor vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.Wenn Ihre Dateien von Egregor verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:
Data Recovery Pro – Option zur Datenrettung
Mit Data Recovery Pro lassen sich eventuell einige Dateien retten, unabhängig davon, ob der Virus Egregor sie verschlüsselt hat, sie durch eigene Aktionen korrupt geworden sind oder von anderer Malware betroffen sind
- Data Recovery Pro herunterladen;
- Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
- Starten Sie es und scannen Sie den Computer nach Dateien, die von Egregor verschlüsselt worden sind;
- Stellen Sie sie wieder her.
Windows-Feature Vorgängerversionen für das Zugreifen auf frühere Dateiversionen
Die Aktivierung der Systemwiederherstellung schaltet das Erstellen von Vorgängerversionen frei, wodurch das Wiederherstellen von Dateien möglich wird. Dies funktioniert allerdings nicht rückwirkend.
- Suchen Sie nach einer verschlüsselten Datei, die Sie wiederherstellen möchten und führen Sie einen Rechtsklick darauf aus;
- Selektieren Sie “Properties” und gehen Sie zum Reiter “Previous versions”;
- Kontrollieren Sie hier unter “Folder versions” alle verfügbaren Kopien. Wählen Sie die Version aus, die Sie wiederherstellen möchten und klicken Sie auf “Restore”.
ShadowExplorer – Software zur Datenwiederherstellung mithilfe von Schattenkopien
Sie können sich auf ShadowExplorer verlassen, wenn die Schattenkopien nicht durch Egregor beschädigt worden sind
- Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
- Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
- Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
- Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.
Die Entschlüsselungsmöglichkeiten im Falle einer Infizierung mit Egregor sind begrenzt. Ein Tool hierfür gibt es leider noch nicht
Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Egregor und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise FortectIntego, SpyHunter 5Combo Cleaner oder Malwarebytes, nutzen.
Für Sie empfohlen
Wählen Sie den richtigen Webbrowser und sorgen Sie für mehr Sicherheit mit einem VPN
Online-Spionage hat in den letzten Jahren an Dynamik gewonnen und Internetnutzer interessieren sich immer mehr dafür, wie sie ihre Privatsphäre schützen können. Eines der grundlegenden Methoden, um für eine extra Schutzschicht zu sorgen, ist: Die Wahl eines privaten und sicheren Webbrowsers.
Es ist jedoch möglich, noch eine zusätzliche Schutzebene hinzuzufügen und ein völlig anonymes Surfen im Internet zu schaffen, und zwar mithilfe dem VPN Private Internet Access. Die Software leitet den Datenverkehr über verschiedene Server um, so dass Ihre IP-Adresse und geografischer Standort getarnt bleiben. Die Kombination aus einem sicheren Webbrowser und einem VPN für den privaten Internetzugang ermöglicht es im Internet zu surfen, ohne das Gefühl zu haben, von Kriminellen ausspioniert oder ins Visier genommen zu werden.
Sichern Sie Ihre Dateien für den Fall eines Malware-Angriffs
Softwareprobleme aufgrund Malware oder direkter Datenverlust dank Verschlüsselung können zu Geräteproblemen oder zu dauerhaften Schäden führen. Wenn man allerdings aktuelle Backups besitzt, kann man sich nach solch einem Vorfall leicht retten und zurück an die Arbeit gehen.
Es ist daher wichtig, nach Änderungen am Gerät auch die Backups zu aktualisieren, sodass man zu dem Punkt zurückkehren kann, an dem man zuvor gearbeitet hat, bevor eine Malware etwas verändert hat oder sonstige Probleme mit dem Gerät auftraten und Daten- oder Leistungsverluste verursachten.
Wenn Sie von jedem wichtigen Dokument oder Projekt die vorherige Version besitzen, können Sie Frustration und Pannen vermeiden. Besonders nützlich sind sie, wenn Malware wie aus dem Nichts auftaucht. Verwenden Sie Data Recovery Pro für die Systemwiederherstellung.