Was ist *HELP_HELP_HELP*.hta? Sollte man es entfernen?

Was bedeutet die Datei *HELP_HELP_HELP*.hta?

In der Datei *HELP_HELP_HELP*.hta findet man einen Erpresserbrief, der von der aktuellsten Version des Erpressungsprogramms Cerber stammt. Der Virus verschlüsselt alle Dateien auf dem System, löscht die von Windows erstellten Schattenkopien und speichert dann diese Datei auf dem Desktop, um das Opfer über die Infizierung aufzuklären. Der Name der Datei variiert, da der Virus für jedes Opfer eine zufällige Zeichenfolge generiert und sie im Namen der Datei einbindet. Das Resultat ist dann der Name: _HELP_HELP_HELP_[zufällige Zeichenfolge].hta. Die Endung HTA steht für HTML Application (HTML-Applikation) und wird folglich mit dem Internet Explorer geöffnet. Sie sind in VBScript oder JScript geschrieben und verhalten sich quasi wie eine EXE-Datei. Sobald die Datei HELP_HELP_HELP.hta geöffnet wird, wird ein Programm namens „CERBER RANSOMWARE: Instructions“ gestartet. Das Programm begrüßt seine Opfer im Anschluss mit der typischen Einleitung von Cerber:

Cannot you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by „Cerber Ransomware“.

In der Mitteilung wird weiterhin erklärt, dass die Dateien von einem Erpressungsprogramm verschlüsselt worden sind und das einzige Tool zum Wiederherstellen der Dateien auf den Servern der Cyberkriminellen liegt. Die Täter informieren, dass sich der Schaden rückgängig machen lässt, aber hierfür eine „spezielle Entschlüsselungssoftware“ namens Cerber Decryptor erworben werden muss. Der Preis des Decodierers ist von der Virenversion abhängig. In der Regel kann man jedoch mit 1 oder mehr Bitcoins rechnen. Die Bitcoins müssen dann zu dem angegebenen Bitcoin-Wallet überwiesen werden, womit den Hackern Anonymität gewährleistet wird.

Im Anschluss der Infiltrierung ändert Cerber außerdem den Desktop-Hintergrund mit _HELP_HELP_HELP_[zufällige Zeichenfolge].jpg, welches eine Kurzversion des Erpresserbriefes ist. Hier wird erklärt, dass die Dateien verschlüsselt worden sind und weitere Informationen in der *HELP_HELP_HELP*.hta-Datei zu finden sind. Erwähnenswert ist, dass diese Version des Virus nicht mehr die Virenversion auf dem Desktop anzeigt. Außerdem gehört sie in die Kategorie von Red Cerber, da der Text nicht mehr in einem hellgrünen Ton, sondern in einem roten Ton dargestellt wird. Der Rest der Mitteilung informiert, dass für das Öffnen der „persönlichen Seite“ mit dem bereitgestellten .onion-Link der Browser Tor installiert werden muss.

Wie vermeidet man ein Auftauchen von *HELP_HELP_HELP*.hta?

Wenn man nicht eines Tages auf dem Computer auf die Datei *HELP_HELP_HELP*.hta treffen möchte, muss man rechtzeitig Vorkehrungen treffen, um das System vor solchen erpresserischen Viren zu schützen. Im Vergleich zu einfacheren Erpressungsprogrammen verlässt sich Cerber bei seiner Verbreitung nicht nur ausschließlich auf Spammails. Cerber ist ein ausgeklügelter Virus, der mit kompromittierten Werbenetzwerken, Webseiten und gefährlichen Exploit-Kits verbreitet wird. Die aktuellste Spammailaktion mit Cerber beinhaltet ZIP-Archive mit einer Word-Datei im Anhang. Das Dokument enthält ein schädliches Skript, welches das Erpressungsprogramm herunterladen und ausführen kann, sobald der Empfänger die Makro-Funktion in Word aktiviert. Das zuverlässigste Tool zum Schutz vor Cerber ist eine aktuelle Anti-Malware. Mit dem regelmäßigen Aktualisieren der Anti-Malware werden die benötigten Virendefinitionen heruntergeladen und die Virendatenbank erweitert. Im Falle einer Infizierung gehen alle Dateien verloren. Back-ups sind daher von großem Belang und sollten regelmäßig angefertigt und extern gespeichert werden.

Wie entfernt man *HELP_HELP_HELP*.hta vom infizierten Computer?

Die Datei *HELP_HELP_HELP*.hta kann man einfach vom System löschen, aber das ist noch lange nicht ausreichend, um die tatsächliche Infizierung zu beseitigen. Die Datei wurde offensichtlich von einem gefährlichen Virus erstellt, der unbedingt entfernt werden muss. Den Virus können Sie mithilfe einer Anti-Malware wie FortectIntego beseitigen, indem Sie damit einen vollständigen Systemscan ausführen.