SATANA. Richtig entfernen? (Anleitung für die Deinstallation)

von Olivia Morelli - - | Virustyp: Diebstahl-Programme
12

SATANA-Virus: Die Analyse

Wenn Sie Nachrichten im IT-Bereich mitverfolgen, haben Sie wahrscheinlich schon vom SATANA-Virus gehört. Der Virus ist eins von vielen schädlichen Erpressungsprogrammen, die persönlichen Dateien auf dem Computer verschlüsseln können. Im Allgemeinen sind Bedrohungen dieser Kategorie sehr profitabel und relativ einfach zu entwickeln. Im Anbetracht des derzeitigen Trends, dass ständig Viren dieser Art auftauchen, scheint jede Person, die wenigstens ein bisschen vom Programmieren versteht, solch eine dateiverschlüsselnde Bedrohung entwerfen zu können. Hacker nutzen für ihre neuen Veröffentlichungen gewöhnlich andere Erpressungsprogramme als Vorbild. SATANA beispielsweise basiert auf den Viren Petya und Mischa und kann genauso wie diese in den Computer schleichen und Daten verschlüsseln. Natürlich haben Vireninfizierte eine Wahl. Sie können den Virenerstellern ungefähr 0.5 Bitcoins überweisen und bekommen im Gegenzug dafür den Entschlüsselungsschlüssel. Bedauerlicherweise ist die erfolgreiche Datenwiederherstellung selten, wenn man es mit solch schädlichen Programmen zu tun hat. Zurzeit ist die Entfernung von SATANA wahrscheinlich die beste Option. Für die Entfernung des Virus verwenden Sie am besten Reimage oder ein anderes bewährtes Antivirenprogramm.

An image of the SATANA virus ransom note

Im Vergleich zu den „Geschwistern“ – Petya und Mischa – arbeitet SATANA auf zwei verschiedene Weisen. Als Erstes hinterlässt der Virus eine Datei mit einem kleinen Kernel, der als Bootloader agiert. Als Zweites verhält er sich als gewöhnliches Erpressungsprogramm. Dieser zweigleisige Betrieb gibt dem Virus die Möglichkeit dem Betriebssystem einen heftigen Schlag zuzusetzen. Die Entfernung von SATANA kann demzufolge zu einer schwierigen Aufgabe werden. Nachdem der Virus ins System gelangt und aktiv wird, speichert er seine Datei im Ordner %TEMP%. Zu einem späteren Zeitpunkt wird ein Fenster eingeblendet, wo die Installation von ynuthwo.exe erlaubt werden soll. Das Problem ist, dass das Fenster nur mit einem Klick auf „Ja“ weggeht. Letzteres ermöglicht dem Virus seine schädlichen Dateien am Anfang der Festplatte zu schreiben, woraufhin die Schadsoftware beginnt die persönlichen Dateien zu verschlüsseln.

In der Zwischenzeit hinterlegt der Virus in der Registrierungsdatenbank des Betriebssystems die Datei mit den SATANA-Kontaktinformationen. Eine weitere Besonderheit der Bedrohung ist, dass sie keinerlei Fehlermeldungen oder BSODs auslöst und sogar auf einen Systemneustart wartet. Sobald der SATANA-Virus in den Computer eindringt, werden die Namen der infizierten Dateien zu Gricakova@techemail.com_[ursprünglicher Dateiname] umgeändert und sind von da an nicht mehr zugänglich. Ebenfalls wird in den Ordnern mit infizierten Dateien die Datei !satana!.txt gespeichert, worin Anweisungen für die Datenwiederherstellung zu finden sind.

In dem Erpresserbrief wird den Opfern eine Bezahlfrist von sieben Tagen gesetzt. Jeder infizierte Computer hat eine individuelle ID, welche an die angegebene E-Mail-Adresse (banetnatia(@)mail.com) gesendet werden muss, wenn man den Entschlüsselungsschlüssel haben möchte. Ist die Frist verstrichen, drohen die Verbrecher den Entschlüsselungsschlüssel zu löschen, wodurch die Dateien dann für immer verloren sind. Typisch für das Erpressungsprogramm ist auch, dass es sich an die Systemeinstellungen zu schaffen macht. Es ändert Einstellungen am Master Boot Record und modifiziert es so, dass der Virus beim Systemstart geladen wird. Das hat zur Folge, dass wenn man neue Dateien auf der Festplatte erstellt, speichert usw., sie beim nächsten Systemstart verschlüsselt sind.

IT-Spezialisten vermuten nach der Auswertung des erhaltenen Musters, dass die Schadsoftware noch in den ersten Phasen der Entwicklung ist. Da der Dropper in FUD/crypter eingehüllt ist, konnten IT-Experten einen genaueren Blick auf die ausführbare Datei und den Code werfen, wodurch sie die Ziele der Hacker identifizieren konnten. Das erhaltene Muster des Erpressungsprogramms könnte den Experten somit dabei helfen ein Entschlüsselungsprogramm zu entwerfen. Bis dahin sollte man auf jeden Fall noch auf der Hut sein. Sichern Sie Ihr System zum Beispiel mit einer Anti-Spyware. Für die Sicherheit Ihrer zukünftigen Dateien müssen Sie SATANA natürlich vom Computer entfernen.

Wie kann der Virus in den Computer eindringen?

Cybersicherheitsexperten warnen davor, dass man sich praktisch gesehen überall im Internet mit SATANA infizieren kann. Man kann den Virus durch gefälschte Softwareupdates, P2P-Downloads oder durch infizierte E-Mail-Anhänge installieren. Letzteres ist die gängigste Verbreitungsmasche bei Erpressungsprogrammen. Der E-Mail-Anbieter filtert normalerweise schädliche E-Mails und speichert sie im Spamordner. Man sollte diesen Ordner daher selbstverständlich mit Vorsicht genießen. Öffnen Sie die E-Mails nicht, wenn Sie den Absender nicht kennen. Laden Sie insbesondere nicht deren Anhänge herunter. Die Gauner werden versuchen mit Rechnungen, Kaufbestätigungen, Strafzettel usw. zum Öffnen der Anhänge zu bewegen. Vergessen Sie daher nicht die Legitimität solcher E-Mails zu überprüfen, bevor Sie sie öffnen.

SATANA vom Computer entfernen

Wenn Ihr Computer mit dem SATANA-Virus infiziert wurde, sollten Sie nicht zögern und ihn umgehend vom Gerät entfernen. Der Verbleib gefährdet lediglich die zukünftigen Dateien und ist ein Risiko für den Systemzustand. Verwenden Sie für die Entfernung ausschließlich bewährte Antivirenprogramme. Wir möchten Sie an dieser Stelle noch einmal darauf aufmerksam machen, dass die Entfernung von SATANA nicht die betroffenen Dateien entschlüsselt. Sie können dafür von Datenwiederherstellungsprogrammen Gebrauch machen. Wir empfehlen hier PhotoRec, R-Studio und Kaspersky Antiviren-Tools. Die Datenwiederherstellung ist jedoch erfolgreicher, wenn man die Dateien mithilfe von früher angestellten Back-ups wiederherstellt. Wenn Sie keine Sicherheitskopien angefertigt haben, können Sie natürlich die oben genannten Tools ausprobieren. Wenn Sie bei der Entfernung von SATANA Probleme haben, versuchen Sie den Virus mit den unten aufgeführten Anweisungen zu beseitigen.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um SATANA zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von SATANA ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des SATANA-Virus:

Entfernen Sie SATANA mit Safe Mode with Networking

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne SATANA

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von SATANA fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie SATANA mit System Restore

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von SATANA liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von SATANA erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor SATANA und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Olivia Morelli
Olivia Morelli - Schadsoftwareanalystin

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Mehr Informationen über den Autor

Quelle: http://www.2-spyware.com/remove-satana-ransomware-virus.html

Entfernungsanleitungen in anderen Sprachen