Schweregradskala:  
  (89/100)

Virus Eking entfernen (Virenentfernungsanleitung) - Inkl. Entschlüsselungsschritte

von Gabriel E. Hall - - | Virustyp: Ransomware

Eking Ransomware: Ein dateiverschlüsselnder Virus, der die Lösegeldzahlung innerhalb von 24 Stunden erwartet

Eking Erpressersoftware

Die Erpressersoftware Eking ist ein bösartiger dateienverschlüsselnder Virus, der erstmals am 17. Mai 2020 entdeckt wurde. Die Angriffe fingen langsam an, betreffen seither aber immer mehr Anwender rund um den Globus. Laut Forschern wird der Virus über Torrent-Seiten mit Adobe Acrobat-Cracks gebündelt verbreitet, welche sehr beliebt sind und den Virus zur schnellen Ausbreitung verhilft. Sobald die bösartige Nutzlast gestartet ist, beginnt Eking seine erste Phase des Angriffs, d.h. es injiziert bösartige exe-Prozesse und erhält administrative Rechte über das System. Die zweite Phase bezieht sich auf die Verschlüsselung der Dateien. Um die Dateien zu sperren, nutzen die hinter der Ransomware steckenden Kriminellen die AES-Verschlüsselung und versehen die verschlüsselten Dateien mit dem Anhang id.[decphob@tuta.io].eking. 

Der Virus Eking stammt aus der berüchtigten Ransomware-Familie Phobos, die bereits über 20 Mitglieder aufweist, darunter Mamba, Phoenix und ISO. Genau wie seine Vorgänger ahmt Eking die bekannten dateiverschlüsselnden Viren aus der Dharma-Familie nach. Es nutzt den gleichen Stil für die Lösegeldforderung und gibt wortwörtlich die gleichen Anweisungen. Zurzeit erzeugt der Eking-Virus in jedem Ordner mit gesperrten Dateien ein Pop-up info.hta oder eine Textdatei info.txt. Die Datei enthält zwei E-Mail-Adressen für die Kontaktaufnahme: decphob@tuta.io und decphob@protonmail.com. Weder die Kontaktaufnahme noch die Zahlung des Lösegeldes wird empfohlen.  

Name Eking
Abstammung Der Virus gehört der Ransomware-Familie Phobos an
Klassifizierung Ransomware / Erpressersoftware / Dateiverschlüsselnder Virus
Verschlüsselung Aufgrund seiner Vorgänger in der Phobos-Familie, wird vermutet, dass AES zur Datenverschlüsselung verwendet wird
Dateierweiterung Die Erpressersoftware nutzt die Erweiterung .eking, um gesperrte Dateien zu kennzeichnen. Außerdem weist die Erweiterung eine Opfer-ID und die E-Mail-Adresse decphob@tuta.io (in eckigen Klammern) auf
Erpresserbrief Der Erpresserbrief sieht identisch zu den Dharma-Varianten aus. Er taucht in Form eines Pop-ups namens info.hta oder einer Textdatei namens info.txt auf
E-Mails zur Kontaktaufnahme decphob@tuta.io
decphob@protonmail.com
Verbreitung Zurzeit wird der Virus rege über Torrent-Seiten mit Adobe Acrobat-Cracks gebündelt. Die Ransomware-Manager können hierfür allerdings auch RDPs oder bösartige Spammailanhänge missbrauchen
Entfernung Die einzige Möglichkeit zur Entfernung der Ransomware ist ein anständiger Scan mit einem professionellen AntiVirus
Datenentschlüsselung Leider gibt es noch keinen offiziellen Eking-Entschlüsseler. Sie können unsere alternativen Datenwiederherstellungslösungen ausprobieren, die wir am Ende des Artikels auflisten oder angesehene Ransomware-Forscher um Hilfe bitten
Reparaturtool Der durch die Ransomware angerichtete Schaden am System ist groß und kann zu Windows-Fehlern führen. Um diese Schäden zu beheben, nutzen Sie Tools wie ReimageIntego

Der Eking-Virus wird als neueste Phobos-Variante erkannt. Das erste Opfer lud eine Software herunter, einen Crack für Adobe Acrobat, und bald darauf wurden Dateien wie Fotos, Videos, Dokumente usw. mit der id.[decphob@tuta.io].eking-Kennzeichnung versehen. 

Die Erpressersoftware Eking zeigt zudem einen Erpresserbrief an, der Dharmas Version sehr ähnlich ist. Opfer sehen in diesem Fall das Pop-up info.hta, das über den Angriff informiert, sowie Kontaktdaten, ID-Nummer und Anweisungen zum Kauf von Bitcoins enthält. Zusätzlich ist es möglich, dass in jedem Ordner mit verschlüsselten Daten die Datei info.txt erzeugt wird. Die Lösegeldforderung von Eking lautet wie folgt:

Your PC has been infected by a ransomware.  If you want to restore them, contact the following address below.
E – Mail contact – decphob@tuta.io / decphob@protonmail.com
If there is no answer in 24 hours. Try to contact us via Sonar.
Download TOR browser
hxxps://www.torproject.org/download/
While using your TOR browser copy and paste the URL below:
hxxp://kcxb2moqaw76xrhv.onion/
Register an account and message us in our ID : decphob
If the TOR link is not working go to hxxps://onion.live
NEVER RENAME ENCRYPTED FILES THIS MAY CAUSE DAMAGE TO YOUR FILES PERMANENTLY

Die Höhe des Lösegelds ist nicht eindeutig, variiert aber wohl zwischen 300 bis 5000 US-Dollar in Bitcoins. Die Bezahlung des Lösegeldes wird allerdings aufgrund von Identitätsdiebstahl und anderen Gefahren nicht empfohlen. Nutzen Sie stattdessen ein leistungsstarkes AntiVirus und entfernen Sie Eking von Ihrem PC. Basierend auf den Informationen von VirusTotal erkennen 47 von 72 Antivirenprogramme die Ransomware-Dateien als bösartig. Einige Beispiele für die Bezeichnungen einer erkannten Eking-Ransomware:

  • Trojan.GenericKD.33855769
  • Malware@#jur7x0zvg9ce
  • A Variant Of MSIL/Kryptik.VYW
  • HEUR:Trojan-PSW.MSIL.Agensla.gen
  • ML.Attribute.HighConfidence
  • Win32:PWSX-gen [Trj]
  • Gen:NN.ZemsilF.34110.vm0@aOGvnLi
  • Trojan.GenericKD.33855769 (B).

Darüber hinaus kann Eking Änderungen am Sicherheitssystem vornehmen und so verhindern, dass Antivirenprogramme es erkennen. Die Entfernung des Virus erfordert in diesem Fall einen Systemneustart in den abgesicherten Modus mit Netzwerktreibern oder die Aktivierung der Systemwiederherstellung. Verwenden Sie im abgesicherten Modus zuverlässige Antivirensoftware, wie bspw. SpyHunter 5Combo Cleaner, um den Rechner zu scannen und alle bösartigen Einträge zu löschen. 

Der Ransomware-Virus EkingDie Ransomware Eking gehört der Familie Phobos an, welche im Mai 2020 wieder aufgetaucht ist. Opfer meldeten, dass der Virus sich in Software-Cracks auf Torrent-Seiten befindet

Nach der Entfernung der Erpressersoftware sollten Sie das System nicht verwundbar lassen. Wie wir bereits erwähnt haben, löst der Virus eine Vielzahl von bösartigen Aktivitäten auf dem System aus, die zu Bluescreens, Fehlermeldungen, Verlangsamungen oder dem Eindringen anderer Malware führen können. Optimieren Sie das System mit ReimageIntego, um die Stabilität wiederherzustellen. 

Ransomware wird mit listigen und trickreichen Methoden weltweit verbreitet

Unsere Experten von DieViren.de erklären, dass der Großteil an Ransomware-Infizierungen über Phishing-Mails und deren bösartigen Anhängen (Makros) erfolgt. Bei diesen Anhängen handelt es sich in der Regel um harmlos aussehende PDF-Dateien, MS-Office-Dokumente oder Ähnliches. Der Nachrichteninhalt imitiert meist seriöse Bank-, Versand- oder Gesundheitsunternehmen. Aus diesem Grund ist ratsam, bei jeder neuen Mail mit einem Anhang, wie folgt vorzugehen:

  • Suchen Sie nach Fehlern (Grammatikfehler, Tippfehler, Logik usw.).
  • Überprüfen Sie den Absender.
  • Scannen Sie den Anhang mit einem AntiVirus.

Beispiel Eking-Virus

Schritte zur Entfernung von Eking und zur Datenwiederherstellung

Die Erpressersoftware sollte aus dem System entfernt werden, sobald Sie das Eking an Ihren Dateien gefunden haben. Vergessen Sie nicht, dass diese Viren oft mit weiteren schädlichen Dateien versehen sind. Je länger die Ransomware also auf dem System verbleibt, desto größer ist das Risiko auf eine weitere Infizierung mit einem Trojaner oder einer Spyware. 

Außerdem ist die Entfernung von Eking ein absolutes Muss, bevor man sich den gesperrten Dateien widmet. Andernfalls kann die Ransomware erneut zuschlagen und die Daten einfach neu verschlüsseln. Für die Entfernung des Virus ist der Erwerb eines professionellen AntiVirus notwendig. Wir empfehlen immer wieder gerne die Verwendung von SpyHunter 5Combo Cleaner

Scannen Sie nach der Entfernung von Eking das System mit ReimageIntego, um den technischen Zustand vor dem Angriff wiederherzustellen. Danach können Sie sich der Wiederherstellung der Daten zuwenden, die der Virus verschlüsselt hat. Unsere Sicherheitsexperten haben hierfür ein Tutorial vorbereitet.    

Angebot
Jetzt säubern!
Herunterladen
Reimage garantierte
Zufriedenheit
Herunterladen
Intego garantierte
Zufriedenheit
mit Microsoft Windows kompatibel Supported versions mit OS X kompatibel Supported versions
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie mit Reimage Intego den Virenschaden nicht beheben konnten, kontaktieren Sie uns über Fragt uns und stellen Sie Ihre Frage. Geben Sie dabei alle Einzelheiten an.
Reimage Intego besitzt einen begrenzten kostenlosen Scanner. Reimage Intego bietet eine gründlichere Überprüfung an, wenn Sie die Vollversion erwerben. Wenn die kostenlose Überprüfung Probleme findet, können Sie sie mit der kostenlosen manuellen Reparatur beheben oder die Vollversion kaufen.
Alternative Software
Unterschiedliche Software hat einen unterschiedlichen Zweck. Wenn das Reparieren von korrupten Dateien mit Reimage nicht erfolgreich war, können Sie SpyHunter 5 ausprobieren.
Alternative Software
Unterschiedliche Software hat einen unterschiedlichen Zweck. Wenn das Reparieren von korrupten Dateien mit Intego nicht erfolgreich war, können Sie Combo Cleaner ausprobieren.

Anleitung für die manuelle Entfernung des Eking-Virus:

Entfernen Sie Eking mit Safe Mode with Networking

Die Erpressersoftware kann im Task-Manager einige Prozesse ausführen, die Antivirenprogramme an ihrer Arbeit hindern. Um dies zu umgehen, starten Sie das System in den abgesicherten Modus und beginnen Sie dann den Scan.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Eking entfernen

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie ReimageIntego oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von Eking fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie Eking mit System Restore

Um alle bösartigen Einstellungen zu entfernen und den Rechner wieder in seinen vorherigen Zustand zu versetzen, aktivieren Sie wie unten erläutert die Systemwiederherstellung.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Eking liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von Eking erfolgreich war, indem Sie ReimageIntego herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen Eking vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Wenn Ihre Daten von der Eking Ransomware verschlüsselt wurden, fallen Sie nicht auf die Forderungen herein, denn niemand kann garantieren, dass das Bezahlen des Lösegelds das Ende der Probleme bedeutet. Entfernen Sie stattdessen den Virus und probieren Sie alternative Entschlüsselungsmethoden aus.

Wenn Ihre Dateien von Eking verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro kann möglicherweise viele verschlüsselte Dateien wiederherstellen

Obwohl Data Recovery Pro für die Datenwiederherstellung nach einem Absturz von Windows entwickelt wurde, wurde sie auch bei Ransomware getestet und zeigte die Fähigkeit einen Teil von Daten freizuschalten.

  • Data Recovery Pro herunterladen;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von Eking verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Nutzen Sie die in Windows integrierte Funktion Vorgängerversionen für die Datenwiederherstellung

Die Vorgängerversionen ermöglichen es Windows-Nutzern, die Einstellungen des Systems zu einem bestimmten Datum wiederherzustellen. Dies funktioniert jedoch nur, wenn das Feature vorher aktiviert wurde.

  • Suchen Sie nach einer verschlüsselten Datei, die Sie wiederherstellen möchten und führen Sie einen Rechtsklick darauf aus;
  • Selektieren Sie “Properties” und gehen Sie zum Reiter “Previous versions”;
  • Kontrollieren Sie hier unter “Folder versions” alle verfügbaren Kopien. Wählen Sie die Version aus, die Sie wiederherstellen möchten und klicken Sie auf “Restore”.

Shadow Explorer ist nach einem Ransomware-Angriff sehr hilfreich, wenn es um die Wiederherstellung von Dateien geht

Eking kann PowerShell-Befehle ausführen, um die Schattenkopien von Dateien zu löschen. Es ist jedoch noch nicht klar, ob es diese Befehle ausführt oder nicht. Die Wiederherstellung von Dateien mit Shadow Explorer ist also einen Versuch wert.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Leider ist es zurzeit nicht möglich durch Eking verschlüsselte Dateien kostenlos zu entschlüsseln.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Eking und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise ReimageIntego, SpyHunter 5Combo Cleaner oder Malwarebytes, nutzen.

Wählen Sie den richtigen Webbrowser und sorgen Sie für mehr Sicherheit mit einem VPN

Online-Spionage hat in den letzten Jahren an Dynamik gewonnen und Internetnutzer interessieren sich immer mehr dafür, wie sie ihre Privatsphäre schützen können. Eines der grundlegenden Methoden, um für eine extra Schutzschicht zu sorgen, ist: Die Wahl eines privaten und sicheren Webbrowsers.

Es ist jedoch möglich, noch eine zusätzliche Schutzebene hinzuzufügen und ein völlig anonymes Surfen im Internet zu schaffen, und zwar mithilfe dem VPN Private Internet Access. Die Software leitet den Datenverkehr über verschiedene Server um, so dass Ihre IP-Adresse und geografischer Standort getarnt bleiben. Die Kombination aus einem sicheren Webbrowser und einem VPN für den privaten Internetzugang ermöglicht es im Internet zu surfen, ohne das Gefühl zu haben, von Kriminellen ausspioniert oder ins Visier genommen zu werden. 

Sichern Sie Ihre Dateien für den Fall eines Malware-Angriffs

Softwareprobleme aufgrund Malware oder direkter Datenverlust dank Verschlüsselung können zu Geräteproblemen oder zu dauerhaften Schäden führen. Wenn man allerdings aktuelle Backups besitzt, kann man sich nach solch einem Vorfall leicht retten und zurück an die Arbeit gehen.

Es ist daher wichtig, nach Änderungen am Gerät auch die Backups zu aktualisieren, sodass man zu dem Punkt zurückkehren kann, an dem man zuvor gearbeitet hat, bevor eine Malware etwas verändert hat oder sonstige Probleme mit dem Gerät auftraten und Daten- oder Leistungsverluste verursachten.

Wenn Sie von jedem wichtigen Dokument oder Projekt die vorherige Version besitzen, können Sie Frustration und Pannen vermeiden. Besonders nützlich sind sie, wenn Malware wie aus dem Nichts auftaucht. Verwenden Sie Data Recovery Pro für die Systemwiederherstellung.

Über den Autor
Gabriel E. Hall
Gabriel E. Hall - Leidenschaftliche Internetforscherin

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Gabriel E. Hall kontaktieren
Über die Firma Esolutions

Quelle: https://www.2-spyware.com/remove-eking-ransomware.html
Entfernungsanleitungen in anderen Sprachen

Eure Meinung über Eking ransomware