Schweregradskala:  
  (97/100)

Sigma-Erpressersoftware. Richtig entfernen? (Anleitung für die Deinstallation)

von Julie Splinters - - | Virustyp: Ransomware

Sigma: Erpressersoftware breitet sich auch in 2018 weiter aus und verschlüsselt Dateien

The screenshot of Sigma malware

Sigma ist eine Cyberbedrohung der Kategorie Ransomware, die anvisierte Dateien nach RSA-2048 verschlüsselt und sie mit einer beliebigen vierstelligen Endung versieht. Nach der Verschlüsselung hinterlegt sie die Datei ReadMe.html oder ReadMe.txt, wo auf die Lösegeldzahlungsseite verwiesen wird. Am häufigsten infiziert man sich mit dieser Schadsoftware durch das Öffnen von schädlichen E-Mail-Anhängen. Sicherheitsexperten warnen jedoch, dass im März 2018 neue Malspam-Aktionen gesichtet worden sind.

Überblick
Name Sigma
Typ Ransomware/Erpressersoftware
Erkannt als Trojan.Agent.CPOW, Trojan.Ransom.Shade!1.A988 (CLASSIC), Trojan.Generic.bcnxb
Gefährlichkeitsgrad Hoch. Erpressersoftware beeinträchtigt wichtige Windows-Prozesse, installiert schädliche Komponenten und verschlüsselt Dateien
Symptome Dateien lassen sich aufgrund neuer, unbekannter Endung nicht öffnen und nutzen
Dateiendung Vierstellig, beliebig
Erpresserbrief ReadMe.html, ReadMe.txt
Zur Erpressersoftware gehörende Dateien GUID.exe, GUID.txt, Automated Universal MultiBoot UFD Creation Tool.exe,

Der Sigma-Virus hat eine geringe Entdeckungsquote. Er verbreitet sich getarnt als Automated Universal MultiBoot UFD Creation Tool.exe oder Guid.exe.bin und wird als Trojan.Agent.CPOW,, Trojan.Ransom.Shade!1.A988 (CLASSIC) usw. erkannt. Das erste Exemplar wird nur von einem Sicherheitstool als Trojan.Generic.bcnxb entdeckt. Der Trojanername Trojan.Ransomware.Shade!1.A988 (CLASSIC) und das Design lässt vermuten, dass eine Verbindung zu der Shade-Schadsoftware besteht.

Darüber hinaus liest der Virus technische Computerdaten aus, im Einzelnen RDP-Protokolldaten, und erstellt gefälschte Systemprozesse, um seine Aktivitäten zu verschleiern. Interessanterweise hat die Schadsoftware noch Anti-Sandboxing-Funktionen, womit ihre Erkennung verhindert wird. Wenn das besetzte System eine normale Betriebssystemumgebung ist und keine virtuelle Maschine, dann verbindet sich die Schadsoftware mit http://ip.api/json.txt und überträgt Informationen über den geografischen Standort ihres Opfers. Die Entfernung von Sigma ist zur Behebung des Schadens notwendig.

Die Hauptaufgabe der Erpressersoftware ist allerdings Dateien auf dem betroffenen Computer zu verschlüsseln. Während des Prozesses speichert sie die Datei ReadMe.html, worin Opfer zu einer Bezahlseite geführt werden. Ferner informiert sie kurz über die verschlüsselten Daten und weist den Download vom Tor-Browser an, damit auf die Onion-Seite zugegriffen werden kann. Die Onion-Seite trägt den Titel “Sigma Ransomware” und fragt nach der Geräte-GUID. Ebenfalls wird ein Link für den Download vom GUID Helper bereitgestellt.

Sigma wallpaper

Ist die Verschlüsselung fertiggestellt, ändert die Schadsoftware den Desktop-Hintergrund. Die darin enthaltene Nachricht drängt Opfer dazu die ReadMe-Datei zu öffnen und den Onion-Link zu besuchen und dort eine persönliche ID einzugeben, welche im Erpresserbrief zu finden ist. Auf dem Desktop hinterlegt Sigma außerdem die Dateien GUID.exe und GUID.txt.

Die Bezahlseite besteht aus mehreren Seiten, eine davon zeigt die exakte Zeit an, wann die Dateien verschlüsselt worden sind. Für die Entschlüsselungssoftware wird 1000 USD verlangt. Wenn das Lösegeld nicht innerhalb von 7 Tagen bezahlt wird, verdoppelt sich die Summe. Auf der gleichen Onion-Seite werden Opfer noch dazu angehalten ein Bitcoin-Wallet zu erstellen.

Sigma payment website

Die Untersuchung von Sigma hat gezeigt, dass im Vergleich zu gewöhnlichen Erpressungsprogrammen keine E-Mail-Adresse zur Kontaktaufnahme angegeben wird, sondern stattdessen die Nutzung von Xamp vorgeschlagen wird. Selbst ein Link für eine Installationsanleitung für Pidgin wird bereitgestellt. Die Angreifer können danach über Sigmaxxx@jabb.im kontaktiert werden.

Statt den Forderungen Folge zu leisten, entfernen Sie die Erpressersoftware. Sie können dies mithilfe von Reimage oder Malwarebytes Anti Malware bewerkstelligen. Möglicherweise müssen Sie hierfür den Computer in den abgesicherten Modus mit Netzwerktreibern starten. Weitere Anweisungen finden Sie unten. Bedauerlicherweise steht noch kein Entschlüsselungsprogramm für Sigma zur Verfügung. Sie können aber gerne alternative Wiederherstellungsmethoden, die wir am Ende des Artikels aufführen, ausprobieren.

Sigma verbreitende Craigslist-E-Mails seit März 2018 im Umlauf

Die Autoren des Sigma-Virus starteten für die Verbreitung der Schadsoftware eine neue Malspam-Kampagne. Dieses Mal verschickten die Gauner gefälschte E-Mails von Craigslist, die passwortgeschützte Word- oder RTF-Dokumente enthielten. Die Dokumente beinhalten natürlich die Ransomware-Programmdatei.

Sigma ransomware is spread via malicious emails

Empfänger, die eine infizierte E-Mail öffnen und das Passwort eingeben, werden darum gebeten den Inhalt des Dokuments zu aktivieren. Direkt im Anschluss wird ein schädliches VBA-Skript ausgeführt. Nach dem Klick auf „Inhalt aktivieren“ wird eine passwortgeschützte RAR heruntergeladen und im Verzeichnis %Temp% entpackt. Dieser Ordner enthält die Datei svchost.exe, welche die Ransomware ausführt.

Sigma is downloaded from Word document

Angeblich gescannte Dokumente überraschen mit Schadsoftware

Während die Schadsoftware eine detaillierte grafische Benutzeroberfläche und Zahlungsseiten zur Schau stellt, ist die Verbreitungskampagne gegenüber anderer Kryptoschadsoftware nicht besonders ausgeprägt. Die Sigma-Schadsoftware wird wie üblich in Spammailanhängen überliefert, in diesem Fall mit der Datei “Scan_[number].doc”.

In der Nachricht wird der Empfänger in kurzer Form darüber in Kenntnis gesetzt, dass [Geldsumme] von der persönlichen Mastercard gebucht wird. Um hiergegen anzugehen, sollte man den Anhang prüfen. Ein Passwort ist ebenfalls angegeben. Gibt man den Code jedoch ein, infiltriert Sigma das System. Obwohl die Schadsoftware in Englisch verfasst wurde, wurde sie überraschenderweise auf griechischen Domains gefunden.

Allerdings ist nicht nur bei Spammails Vorsicht angesagt, sondern auch beim Herunterladen von Anwendungen. Achten Sie darauf, woher Sie Ihre Anwendungen herunterladen und ob die Quellen zertifiziert sind. Kontrollieren Sie außerdem jeden Installationsschritt, um optionale und unnötige Add-ons abwählen zu können. Im Folgenden besprechen wir die Entfernung von Sigma.

Anleitung für die Entfernung der Sigma-Ransomware

Die Entfernung von Sigma ist ein absolutes Muss, um den Computer zu bereinigen und ihn wieder normal verwenden zu können. Bedauerlicherweise hilft die Entfernung des Virus nicht die verschlüsselten Dateien zu entschlüsseln. Sie können jedoch Drittsoftware ausprobieren oder von Ihren Back-ups Gebrauch machen, sobald der Computer frei von Schadsoftware ist.

Benutzen Sie für die Entfernung von Sigma Schadsoftware-Entferner wie Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware. Wenn Sie keine Sicherheitsanwendungen starten können, empfiehlt es sich den Computer in den abgesicherten Modus zu starten oder eine Systemwiederherstellung auszuführen. Nur nachdem Sie die Schadsoftware beseitigt haben, sollten Sie die Datenwiederherstellung angehen.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um Sigma-Erpressersoftware zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von Sigma-Erpressersoftware ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.
Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des Sigma-Virus:

Entfernen Sie Sigma mit Safe Mode with Networking

Befolgen Sie diese Schritte, um den Computer in den abgesicherten Modus mit Netzwerktreibern zu starten:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne Sigma

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von Sigma fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie Sigma mit System Restore

Diese Methode hilft Sigma zu deaktivieren und die automatische Entfernung zu starten:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Sigma liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von Sigma erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen Sigma vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Wenn Ihre Dateien von Sigma verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro hilfreich bei Datenwiederherstellung

Obwohl die Software entwickelt wurde, um Dateien nach einem Systemabsturz wiederherzustellen, kann es sich auch in diesem Fall als nützlich erweisen.

  • Laden Sie Data Recovery Pro (https://dieviren.de/download/data-recovery-pro-setup.exe) herunter;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von Sigma verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Die Vorteile von ShadowExplorer

Es gab noch keine Meldungen darüber, dass Sigma Schattenkopien löscht. ShadowExplorer sollte also mit den Schattenkopien die Dateien wiederherstellen können.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Sigma Decryptor

Es wurde noch keine kostenlose Entschlüsselungssoftware für diese Variante veröffentlicht. Von der Nutzung des Decryptors der Schadsoftware-Entwickler wird abgeraten, da dies lediglich weitere Infizierungen begünstigt.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Sigma und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Julie Splinters
Julie Splinters - Expertin im Bereich Schadsoftwareentfernung

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Julie Splinters kontaktieren
Über die Firma Esolutions

Entfernungsanleitungen in anderen Sprachen