Zum Inhalt springen
  • Aktiv
  • Schweregrad: Mittel
  • Viren
  • Windows
  • Geprüft · Apr. 2021

Nemucod-AES-ErpressersoftwareRichtig entfernen?

Eine Schritt-für-Schritt-Entfernungsanleitung für betroffene Geräte. Folgen Sie dem geprüften Verfahren unten — die meisten Leser sind in unter 10 Minuten fertig.

Jake Doevan · Das Leben ist zu kurz, um die Zeit mit Viren zu verschwenden.

Erpressersoftware Nemucod-AES nimmt Benutzerdateien als Geisel, um Lösegeld zu fordern

Nemucod-AES virus

Die Erpressersoftware Nemucod-AES ist ein datenverschlüsselnder Virus. Er infiltriert heimlich den Computer und macht die Dateien unzugänglich, indem er sie nach den Verschlüsselungsalgorithmen AES-128 und RSA-2048 verschlüsselt. Anschließend verlangt der Virus für die Entschlüsselung der Dateien ein Lösegeld in Höhe von 0,11471 Bitcoins.

Die Verbrecher wählen bewusst die Kryptowährung als Zahlungsmittel, weil sie auf diese Weise die Anonymität der Überweisung garantieren können, wodurch es möglich ist einer Strafverfolgung zu entgehen.

Die Hacker könnten sich demzufolge ohne Konsequenzen mit dem überwiesenen Geld aus dem Staub machen. Dies sollte hoffentlich Grund genug für eine Entfernung von Nemucod-AES sein, statt mit Kriminellen ins Geschäft zu treten.

Wie bei den meisten Erpressungsprogrammen typisch, hinterlassen die Virenentwickler bei Nemucod-AES einen Erpresserbrief auf dem Computer. Im Erpresserbrief listen sie all ihre Bedingungen auf und informieren ihre Opfer darüber, wo sie die Bitcoins erwerben und wohin überweisen sollen. Im Folgenden eine Abschrift des Erpresserbriefes, der in der Datei Decrypt.hta zu finden ist:

ATTENTION!
All your documents, photos, databases and other important personal files were encrypted using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.11471 bitcoins here:
https://localbitcoins.com/buy_bitcoins
3. Send 0.11471 bitcoins to this address:

4. Open one of the following links in your browser:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Download and run decryptor to restore your files.
You can find this instruction in „DECRYPT“ file on your desktop.

Erpresserbriefe sagen oftmals viel über die Entwickler, deren Zielgruppe und die wahren Absichten aus. In diesem Fall müssen wir zugeben, dass die Mitteilung professionell und ausführlich ist. Man kann darüber spekulieren, ob die Muttersprache der Hacker Englisch ist. Sie meinen es sogar so ernst, dass sie Rechtschreib- oder Grammatikfehler vermeiden.

Das Ziel sind aller Wahrscheinlichkeit nach englischsprachige Nutzer. Das hält den Virus trotzdem nicht davon ab Computernutzer in anderen Ländern anzugreifen, wie bspw. Deutschland oder Schweden.

Unabhängig davon, wo der Virus zuschlägt, ist im Falle einer Infizierung die Entfernung von Nemucod-AES oberste Priorität.

Von Nemucod-AES verschlüsselte Dateien kostenlos entschlüsseln

Opfer von der Erpressersoftware können von den kostenlosen NemucodAES Decrypter Gebrauch machen, um alle Daten wiederherzustellen. Der Decrypter wurde am 12. Juli 2017 von den Forschern bei Emsisoft veröffentlicht.

Wenn Ihr Computer mit der hier besprochenen Erpressersoftware infiziert ist und Sie Bedenken haben das Lösegeld zu bezahlen, brauchen Sie sich darum keine Gedanken mehr machen. Sie können die Dateien wiederherstellen, ohne einen einzigen Cent zu bezahlen. Am Ende des Artikels finden Sie eine Anleitung für die Entschlüsselung.

Das Allerwichtigste ist jedoch zuerst den Virus zu beseitigen und daran zu hindern das System weiter zu beschädigen. Nutzen Sie den Decrypter daher erst nachdem Sie den Virus vom Computer gelöscht haben.

Illustration of Nemucod-AES ransomware virus

Erpressersoftware wird über falsche UPS-Spammails verbreitet

Nemucod-AES kann im Internet auf verschiedene Weise verbreitet werden. Hauptüberträger können bspw. folgende sein:

  • Kompromittierte Downloads,
  • gefälschte Softwareupdates,
  • betrügerische Anzeigen,
  • Exploit-Kits.

Eine Methode fällt bei Nemucod-AES allerdings besonders auf, und zwar die Verbreitung über Spammails, die sich als Nachrichten von UPS ausgeben. In den zwei untersuchten Spammailmustern fanden Experten im Anhang die Dateien UPS ground-Delivery-005156577.doc.js und UPS ground-Receipt-4424638.doc.js, welche beide den schädlichen JavaScript-Code verschleiern, indem sie die Dateien als Word-Dokumente tarnen.

Bitte vergessen Sie diese Verbreitungsmethode nicht, wenn Sie das nächste Mal Ihre E-Mails kontrollieren. Laden Sie den Anhang nicht herunter und öffnen Sie ihn nicht, wenn er von unbekannten Absendern stammt. Ansonsten könnte es sehr schnell passieren, dass Sie eine bösartige Erpressersoftware ins System lassen.

Hinweise für die Entfernung von Nemucod-AES

Wenn Sie festgestellt haben, dass Sie nicht mehr auf Ihre Dateien zugreifen können und Sie einen Erpresserbrief sehen, der für die Wiederherstellung Geld verlangt, sollten Sie nicht lange warten und Nemucod-AES direkt entfernen. Wir empfehlen hierfür von speziellen Tools wie FortectIntego oder MalwarebytesMalwarebytes Gebrauch zu machen, um das Gerät automatisch zu scannen und alle bösartigen Komponenten auf dem System ausfindig zu machen.

Die automatische Entfernung dauert nur wenige Minuten, wenn das Erpressungsprogramm nicht die Ausführung und damit die Entfernung verhindert.

Aber selbst wenn es die Sicherheitsanwendungen blockiert, können Sie mithilfe der unten aufgeführten Anweisungen den Nemucod-AES-Virus vom Computer entfernen.

Schreiben Sie den ersten Kommentar

DieViren
Privacy preferences

We use cookies to improve your experience and analyze traffic. Some cookies enable embedded content like videos and social posts. Choose what you allow — you can change this anytime.