Erpressersoftware Egregor – ein Kryptovirus, der betroffene Dateien mit einer beliebigen Zeichenfolge markiert

Die Egregor Ransomware sorgt für Probleme auf dem System, indem sie die Dateien sperrt und damit den Zugriff auf die eigenen Bilder, Dokumente, Archive und sogar Datenbanken verhindert. Egregor wird vor allem mit der Sekhmet Ransomware und Ryuk ransomware in Verbindung gebracht, die von derselben Hackergruppe veröffentlicht wurde. Viele Ähnlichkeiten und Eigenschaften weisen auf eine Abstammung hin. Zum Beispiel setzen beide Versionen auf die Verschlüsselungsverfahren AES und RSA, um die üblichen Benutzerdateien zu sperren und über eine auf dem Bildschirm angezeigte Textdatei Lösegeld zu fordern. Laut dem Inhalt der Textdatei RECOVER-FILES.txt haben Opfer 3 Tage Zeit, um sich mit den Kriminellen in Verbindung zu setzen und im Gegenzug für Bitcoins das Entschlüsselungstool zu erhalten.
Der Egregor Virus ist fast identisch mit der Version des Kryptovirus, die im April veröffentlicht wurde. Man kann daher bereits annehmen, dass es keine Hoffnung auf den Zurückerhalt der Dateien oder den Erhalt des Entschlüsselungstools gibt, sogar nach einer Bezahlung. Die Cyberkriminellen konzentrieren sich ausschließlich auf Erpressung, das Wohl der Dateien haben sie nicht im Sinn. Es ist daher wichtig, dass die Malware entfernt wird, sobald man die Lösegeldforderung auf dem Bildschirm sieht, damit das System noch gerettet werden kann und der Schaden nicht dauerhaft ist. In dem Erpresserbrief wird zudem damit gedroht, dass die gestohlenen Daten veröffentlicht werden, sodass Opfer die Zahlung des Lösegeldes erwägen. Bedrohungen können in der Tat diverse Dateien aus dem System herunterladen und an Remote-Server übertragen, bevor sie sie verschlüsseln. Dies ist eine Funktion, die die Schöpfer von Erpressersoftware erst seit neuerer Zeit implementieren.
| Name | Egregor Erpressersoftware / Egregor virus / Egregor ransomware |
|---|---|
| Dateimarker | Die Bedrohung nutzt beliebige Dateierweiterungen, aber auch .egregor ist möglich |
| Erpresserbrief | RECOVER-FILES.txt |
| Probleme | Die Bedrohung stammt von geldgierigen Kriminellen und kann daher echte Probleme verursachen. Der Erhalt von gefährlicherer Malware via Mail oder Messenger ist möglich, sowie der Datenverlust trotz Lösegeldzahlung |
| Familie | Dateisperrer-Virenfamilie. Der Virus ist eine weitere Version von Sekhmet Ransomware |
| Verbreitung | Die Infizierung kann sehr leicht mithilfe von schädlichen Dateien und Malware-Verbreitungsseiten erfolgen, aber auch Malware, die die Ransomware direkt in das System einschleust |
| Entfernung | Die Entfernung von Egregor sollte zügig stattfinden. Hierzu ist eine Anti-Malware notwendig, die den Virus vollständig beseitigt |
| Wiederherstellung | Die Ransomware verursacht einige Probleme. Sie kann Dateien in Systemordnern beschädigen, Einstellungen verändern und Modifizierungen veranlassen, um auf dem System zu bleiben. Für das Beseitigen solcher Probleme ist ein entsprechendes Tool notwendig. FortectIntego kann diesen Job übernehmen |
Eine Infizierung wie diese wirft viele Fragen auf. Die Verschlüsselung von Dateien und die geldfordernde Nachricht sind nicht die einzigen Probleme. Eine Erpressersoftware wie Egregor kann das System beeinträchtigen, indem der Virus bestimmte Funktionen und Dateien in diesen Ordnern modifiziert:
- %Windows%
- %SystemDrive%
- %Local%
- %ProgramData%
- %Temp%.
Dies wirkt sich auf die Persistenz des erpresserischen Virus aus und hindert die Entfernung und die Bereinigung erheblich. Die Dateien könnten zuerst auf ihren möglichen Wert überprüft werden, so dass die Drohungen über das Veröffentlichen der Daten als Anreiz zur Zahlung des Lösegelds dienen.
Da es sich hierbei um eine gängige Technik handelt, empfehlen Experten die Bedrohung zu entfernen, sobald die Textdatei in den Ordnern und auf dem Desktop erscheint. Die Entfernung ist sicherlich nicht einfach, besonders wenn die Bedrohung bereits eine Zeit lang im Hintergrund läuft, bevor man die Verschlüsselung oder andere Symptome bemerkt hat.

Die Erpressersoftware Egregor kann sich weltweit verbreiten und verschiedene Windows-Rechner angreifen. Die Angreifer listen die möglichen Optionen, die Adressen zur Kontaktaufnahme und die Höhe des Lösegelds im Erpresserbrief auf. Das Bezahlen des Lösegelds wird hier als einzige Lösung angesehen.
Der in der Lösegeldforderung aufgeführte Tor-Link führt zu einem Live-Chat und einer Seite, die weitere Anweisungen zur Bezahlung des Lösegelds anzeigt. Die Nachricht besagt, dass der Erpresserbrief hochgeladen werden soll, da in der Datei eine besondere Identifikation enthalten ist und damit die Dateien von denen anderer Opfer unterschieden werden können. Wir möchten jedoch darauf hinweisen, dass dies nicht die Lösung zur Bekämpfung von Egregor ist.
Der Inhalt der Zahlungsseite der Egregor Ransomware lautet:
Egregor
Greetings
We have hacked your network, downloaded and encrypted your data.
You can recover your data and prevent data leakage to public.
Please upload your note RECOVER-FILES.txt using the form below and start recovering your data.
After you upload note, you will be provided with further instructions.
Stattdessen sollte die Ransomware Egregor entfernt werden. Schließlich gibt es keine Garantien dafür, dass die Dateien wirklich entschlüsselt und wiederhergestellt werden, nachdem die Angreifer das Geld erhalten haben. Der beste Weg, um Ransomware zu bekämpfen, ist das Bereinigen des Rechners.
Eine Anti-Malware kann alle möglichen Eindringlinge, bösartigen Programme und Anwendungen erkennen und den Rechner von allen vermeintlichen Infektionen befreien, dazu gehört auch Egregor. SpyHunterCombo Cleaner oder MalwarebytesMalwarebytes sind hierfür geeignet und sollten eine große Hilfe sein. Denken Sie auch daran, einen Scan mit FortectIntego auszuführen, sodass die Systemfunktionen repariert werden.

Verbreitung von Malware durch bösartige Webseiten und schädliche Dateien
Links bergen schon seit jeher Gefahren. Gerne werden Links als harmlose Verlinkung zu einer gewünschten Webseite getarnt, aber schleusen stattdessen Malware in den Computer ein oder führen zu anderen Problemen. In den meisten Fällen erfolgen Infektionen durch das Anklicken von exe-Dateien oder anderen Dateitypen, die PC-Nutzer unwissentlich zulassen. Solche gefahrenbergenden Dateien können in Cracks, raubkopierte Software, Softwarepakete für lizenzierte Versionen von Programmen usw. enthalten sein.
Hauptsächlich sind solche bösartigen Dateien mit Torrent-Diensten zu finden, aber auch über bösartige Kopien von legitimen und vertrauenswürdigen Webseiten. Mittlerweile verlassen sich jedoch immer mehr Kriminelle auf E-Mails mit Office-Dokumenten im Anhang, die als Verbreiter bösartiger Nutzlasten dienen. Zudem können die Nachrichten Links zu betrügerischen und bösartigen Webseiten enthalten. Wir empfehlen daher dringend jegliche Gefahren im Internet zu meiden und keine dubiosen Webseiten zu besuchen. Schützen Sie Ihren Rechner außerdem mit einem anständigen Virenschutz vor Malware.
Befreien Sie das System von Egregor und anderen schädlichen Programmen
Entfernen Sie die Egregor Ransomware sofort nach Erhalt der Lösegeldforderung. So können Sie das Gerät auf die Datenwiederherstellung und die Systemreparatur vorbereiten. Die Entschlüsselung der Dateien ist leider nicht möglich, da Forscher noch kein Tool hierfür entwickeln konnten.
Die Entfernung der Erpressersoftware verläuft am besten, wenn Sie sie mit einer Anti-Malware durchführen, wie bspw. SpyHunterCombo Cleaner oder MalwarebytesMalwarebytes. Sobald Sie das Antivirenprogramm starten, können Sie sich darauf verlassen, dass alle Bedrohungen, bösartige Anwendungen und gefährlichen Dateien gefunden und entfernt werden. Wenn Sie versuchen Ihre Dateien auf einem infizierten Rechner wiederherzustellen, riskieren Sie es, dass diese dauerhaft beschädigt werden. Entfernen Sie den Virus also bevor Sie die Datenwiederherstellung angehen.
Nach der Beseitigung der Infektion empfehlen wir noch die Systemfunktionen mit Programmen wie FortectIntego zu reparieren und sich anschließend der Datenwiederherstellung zu widmen. Suchen Sie am besten nach früher angefertigten Backups. Hiermit haben Sie die besten Chancen, denn eine Entschlüsselung ist noch nicht möglich. Alternative Varianten finden Sie unterhalb des Artikels.
War diese Anleitung hilfreich?
Schreiben Sie den ersten Kommentar