Zum Inhalt springen
  • Aktiv
  • Schweregrad: Mittel
  • Viren
  • Windows
  • Geprüft · Apr. 2021

Hades LockerRichtig entfernen?

Eine Schritt-für-Schritt-Entfernungsanleitung für betroffene Geräte. Folgen Sie dem geprüften Verfahren unten — die meisten Leser sind in unter 10 Minuten fertig.

Olivia Morelli · Schadsoftwareanalystin

Hades Locker übertrifft WildFire und überrascht Schadsoftwareforscher

Mit der Veröffentlichung von Hades Locker zeigen die Autoren von WildFire, dass sie sich dazu entschieden haben keine Fehler zu machen und ein hartnäckiges Erpressungsprogramm entwickeln können. In der Vergangenheit konnten die Schadsoftwareforscher WildFire unter Kontrolle bringen, nachdem sie die C&C-Server heruntergeholt haben. Dem Anschein nach haben die Gauner nun mehr Mühe in ihre neue Software gesteckt, denn dieses Mal ist ein Entschlüsseln von Hades Locker wahrscheinlich nicht möglich. Sobald die schädliche Software installiert ist, lädt sie die Seite http://ip-api.com/xml, um Informationen wie den Ländercode, den Bezirk, die Stadt, die Postleitzahl, den Internetanbieter, die IP-Adresse und sogar Koordinaten für den Standort des Computers zu bestimmen. Anschließend sendet es die Informationen an seinen C&C-Server, welcher daraufhin einen einzigartigen Schlüssel für die AES-Verschlüsselung zurückgibt, womit die Dateien gesperrt werden. Während der Verschlüsselung hängt Hades Locker an die Dateien die Endung .~HL, sowie die ersten fünf Zeichen des Verschlüsselungspassworts an. Erwähnenswert ist außerdem, dass das Programm ein breites Spektrum an Dateitypen verschlüsseln kann. Manche Ordner bleiben aber dennoch von dem Virus verschont. Allerdings nur, weil der Computer noch weiterhin laufen soll. Nicht von der Verschlüsselung betroffene Ordner sind:

  • Papierkorb,
  • Windows,
  • Programme,
  • Programme (x86),
  • System Volume Information.

Image of Hade Locker ransomware

Der Virus hinterlegt außerdem überall da, wo er Dateien verschlüsselt hat, einen Erpresserbrief. Der Erpresserbrief wird gewöhnlich in drei verschiedenen Formaten gespeichert:

  • README_RECOVER_FILES_[ID des Opfers].html,
  • README_RECOVER_FILES_[ID des Opfers].png,
  • README_RECOVER_FILES_[ID des Opfers].txt.

Dementsprechend öffnet sich die Datei im Webbrowser, im Media-Viewer oder im Editor. Der Inhalt liefert die gleichen Informationen, wie bei anderen Erpressungsprogrammen: Anweisungen für die Entschlüsselung der Daten. Man wird aufgefordert den Tor-Browser herunterzuladen, auf eine bestimmte Seite zuzugreifen und das Lösegeld zu bezahlen. Hades Locker verlangt entweder 600 USD, 500 EUR oder 400 GBP. Der Betrag soll außerdem in Bitcoins (ungefähr 1 BTC) überwiesen werden. Darüber hinaus sind auf der Bezahlseite von Hades Locker mehrere zusätzliche Seiten zu finden: FAQ, Test decrypt, Decryption Tutorial und Helpdesk. Was wir über diese Seiten erfahren konnten, erläutern wir hier:

  • Die Seite Test Decrypt soll den Opfern die Möglichkeit geben eine Datei testweise zu entschlüsseln. Obwohl dies bei manchen Erpressungsprogrammen schon üblich ist, lässt sich hier allerdings keine Datei hochladen. Jetzt stellt sich dann natürlich die Frage, ob es wirklich ein Entschlüsselungsprogramm gibt.
  • Im Bereich Helpdesk kann man den Entwicklern des Erpressungsprogramms eine Nachricht hinterlassen.
  • Im Decryption Tutorial findet man eine kurze bebilderte Anleitung dafür, wie man die Dateien mit dem Hades Locker Decrypter entschlüsseln kann.
  • Die Seite FAQ listet Antworten zu beliebten Fragen von Opfern auf. Interessanterweise erklären sie dort, warum man sich auf die Verbrecher verlassen und das Lösegeld bezahlen sollte. Laut den Entwicklern würde niemand ein Lösegeld bezahlen, wenn kein funktionierendes Entschlüsselungsprogramm ausgehändigt wird. Schließlich würde es sich schnell herumsprechen, wenn es nicht funktionieren würde.

Wenn Ihre Dateien von Hades Locker verschlüsselt worden sind, nutzen Sie bitte Ihre Sicherheitskopien für die Wiederherstellung der Daten. Wir raten dringendst davon ab das Lösegeld zu bezahlen. Bevor Sie außerdem irgendwelche Maßnahmen für die Entschlüsselung der Daten in Angriff nehmen, müssen Sie Hades Locker mit FortectIntego, SpyHunterCombo Cleaner oder einer anderen starken Anti-Malware entfernen. Sie müssen die Entfernung von Hades Locker abschließen, bevor Sie Ihre Dateien entschlüsseln!

Wie verbreitet sich der Virus?

Der Virus ist noch sehr neu und die Methoden für die Verbreitung sind leider noch nicht bekannt. Wir empfehlen Computernutzern daher folgende Sicherheitsmaßnahmen zu ergreifen:

Öffnen Sie keine suspekten E-Mails von unbekannten Absendern. Erpressungsprogramme verbreiten sich nämlich hauptsächlich via Spammails. Die infizierten E-Mails sind mit Anhängen oder Links versehen, die nach dem Öffnen das Erpressungsprogramm auf dem System laden.
Klicken Sie keine suspekten Anzeigen an, die beim Internetsurfen auf aggressive Weise auftauchen. Wir empfehlen nachdrücklich Anzeigen, die von Glücksspielseiten, Gaming-Seiten oder nicht jugendfreie Seiten stammen, nicht anzuklicken.
Willigen Sie niemals dazu ein, Programme oder Updates von Seiten zu installieren, die absolut nichts mit dem Entwickler der Software zu tun haben. Solche Scheindownloads sind normalerweise mit schädlichen Programmdateien versehen.
Installieren Sie eine Anti-Malware, die vor riskante Webseiten schützt und schädliche Downloads blockiert.

Wie entfernt man Hades Locker?

Erpresserische Viren wie Hades Locker neigen dazu sehr hartnäckig zu sein. Sie stellen natürlich keine Deinstallationsoption bereit, wodurch die Entfernung dementsprechend länger dauert. Mit einer aktuellen Anti-Malware lässt sich Hades Locker und alle dazugehörigen Dateien recht schnell beseitigen. Wenn Sie eine Anti-Malware aus dem Internet herunterladen oder sie verwenden möchten, müssen Sie den Computer in den abgesicherten Modus mit Netzwerktreibern starten. Eine Anleitung dafür im Folgenden:

Schreiben Sie den ersten Kommentar

DieViren
Datenschutzeinstellungen

Wir verwenden Cookies, um Ihr Erlebnis zu verbessern und den Datenverkehr zu analysieren. Manche Cookies ermöglichen eingebettete Inhalte wie Videos und Social-Media-Beiträge. Wählen Sie, was Sie erlauben — Sie können dies jederzeit ändern.