Spora. Richtig entfernen? (Anleitung für die Deinstallation)

von Gabriel E. Hall - - | Virustyp: Ransomware
12

Spora hat russische Computernutzer im Visier

Der Spora-Virus scheint der nächste große Spieler in der Welt der Erpressungsprogramme zu sein. Schadsoftwareanalysten bezeichnen es als „am meisten ausgereiftes Erpressungsprogramm aller Zeit“. Es handelt sich hierbei um einen dateiverschlüsselnden Trojaner, der zum ersten Mal am 10. Januar entdeckt wurde.

Die vom Virus bereitgestellten Informationen sind zwar in Russisch, aber dennoch wird die Schadsoftware weltweit verbreitet. Computernutzer müssen also entsprechende Maßnahmen ergreifen, um dem Computer vor einer Infizierung zu schützen. Das schädliche Programm nutzt überraschenderweise eine komplett andere und sehr komplexe Vorgehensweise bei der Verschlüsselung, welche unschlagbar zu sein scheint.

Der Virus erstellt den Inhalt einer .KEY-Datei, indem er einen RSA-Schlüssel erstellt, ihn mit einem neu generierten AES-Schlüssel verschlüsselt, dann den AES-Schlüssel mit einem öffentlichen Schlüssel, der sich in der Virendatei befindet, verschlüsselt und diese letztlich in der .KEY-Datei speichert. Die Verschlüsselung der Daten ist weniger kompliziert: Die Dateien werden mit dem RSA verschlüsselten AES-Schlüssel verschlüsselt. Außerdem verschlüsselt der Virus derzeit nur 23 verschiedene Dateitypen:

.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.

Dateien dieses Typs werden mit dem langen (öffentlichen) Schlüssel unzugänglich gemacht, während der private Schlüssel an die Remote-Server übertragen wird und dort so lange bleibt bis man das Lösegeld bezahlt. Anweisungen für die Bezahlung befinden sich in der Lösegeldforderung, die der Virus auf dem Computer speichert.

Die Anweisungen führen zu der offiziellen Spora-Bezahlseite, wo weitere Anweisungen zu finden sind. Die Autoren des Erpressungsprogramms demonstrieren auf ihrer Bezahlseite, die unter spora[.]bz zu erreichen ist, exzellente Programmierfertigkeiten.

Die Bezahlseite unterscheidet sich von Webseiten anderer Krypto-Erpressungsprogramme in dem Punkt, dass die Opfer mehrere Optionen haben: Für $20 kann der Spora-Virus entfernt werden, für $30 die Daten wiederhergestellt und für $50 eine Immunität gegen Erpressungsprogramme erkauft werden. Wenn man allerdings das komplette Wiederherstellungspaket in Erwägung zieht, kostet das Ganze $79.

Hier gilt außerdem zu beachten, dass der Virus bei unterschiedlichen Opfern unterschiedliche Preis verlangen kann. Von traditionellen Erpressungsprogrammen wie Cerber, die für ein oder zwei verschlüsselte Dateien das Entschlüsseln anbieten, um die Legitimität zu beweisen, haben Sie wahrscheinlich schon gehört. Dieser Virus jedoch teilt das Lösegeld in Kaufpreise ein, womit unterschiedliche „Dienstleistungen“ erworben werden.

Die Autoren des Virus akzeptieren hierfür jedoch nur Bitcoins. Am 16. Januar wurde die Bezahlseite überarbeitet und eine Hilfe-Rubrik hinzugefügt. Ferner findet man dort ein öffentliches Kommunikationsfenster, eine Tabelle mit bereits getätigten Überweisungen und weitere kleine Details, die die Seite sehr benutzerfreundlich machen.

Dass die Schadsoftware selbst nicht benutzerfreundlich ist, ist offensichtlich, denn sie möchte sich von ihren Opfern Geld erpressen. Für den Entschlüsselungsschlüssel müssen Opfer über die Seite das Lösegeld bezahlen und die .KEY-Datei an die Gauner senden. Wenn Sie sich mit diesem Virus infiziert haben, sollten Sie in umgehend beseitigen. Für eine erfolgreiche Entfernung wird dringendst geraten von Antivirenprogrammen wie Reimage oder Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus Gebrauch zu machen.

Wie infiziert man sich mit Spora?

Spora wird derzeit mit schädlichen E-Mails übertragen, welche infizierende HTA-Dateien befördern und ahnungslose Computernutzer herunterladen. Diese Dateien haben doppelte Endungen, wie bspw. PDF.HTA. Die echte Endung (hier HTA) ist allerdings verborgen.

Der Empfänger würde dann annehmen, dass die Datei eine PDF ist. HTA-Dateien sind quasi ausführbare HTML-Dateien. Wenn man sie anklickt, werden Skripte ausgeführt. In diesem Fall lädt der Virus die Datei close.js in dem Temp-Ordner herunter, wo sich die Infizierung dann selbst aktiviert, indem sie eine ausführbare Datei entpackt und startet.

Die ausführbare Datei ist dann letztlich die Hauptvirendatei, die für die Verschlüsselung verantwortlich ist. Zur gleichen Zeit öffnet die HTA-Datei ein Dokument (DOCX) mit einer Fehlermeldung, dass sie nicht geöffnet werden kann. Während man überrascht den merkwürdigen Fehler begutachtet, verschlüsselt das Erpressungsprogramm die Dateien auf dem System.

Malspam (abgeleitet von Malware und Spam, demzufolge das Verbreiten von Schadsoftware über Spammails) ist bei diesem Virus die Hauptverbreitungsmethode. Allerdings darf man nicht vergessen, dass die Methoden sich ändern können und die Schadsoftware in absehbarer Zukunft auch über Exploit-Kits, Trojaner, Phishing-Seiten usw. unter die Leute gebracht werden kann.

Wir raten daher beim Internetsurfen zur Vorsicht. Wenn Sie nicht dazu überlistet werden möchten bedenkliche Software oder schädliche/gefälschte Updates zu installieren, installieren Sie am besten nichts von Webseiten, die Sie vorher noch nie besucht haben.

Die Entfernung von Spora

Der Spora-Virus lässt sich ziemlich einfach entfernen, wenn man von einer Anti-Malware Gebrauch macht. Es spielt dabei keine Rolle, welche Anti-Malware Sie verwenden. Falls Sie aber noch keine haben, empfehlen wir die Installation von Reimage. Selbst wenn Sie ein anderes Programm nutzen möchten, ist das kein Problem.

Unsere Beurteilungen im Software-Bereich sollten Ihnen die Wahl erleichtern können. Bitte beachten Sie aber, dass manche Viren Antivirenprogramme blockieren können. Um den Systemscan dann ausführen zu können, müssen Sie denn Computer in den abgesicherten Modus mit Netzwerktreibern starten. Eine Anleitung hierfür finden Sie im Folgenden.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um Spora zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von Spora ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des Spora-Virus:

Entfernen Sie Spora mit Safe Mode with Networking

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

Erpresserische Viren sind extrem schwer zu entfernen, weil sie in der Regel die Registrierungsdatenbank modifizieren, das System mit schädlichen Dateien überhäufen und zusätzliche Schadsoftware installieren. Die schädlichen Elemente und Modifizierungen zu identifizieren und manuell zu beseitigen ist dann offensichtlich schwierig, weshalb wir die Verwendung von einer Anti-Malware empfehlen. Mit folgenden Anweisungen sollten Sie das Programm korrekt starten können:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne Spora

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von Spora fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie Spora mit System Restore

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Spora liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von Spora erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen Spora vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Es gibt einige Optionen für die Datenwiederherstellung, die dabei helfen können die verlorenen Dateien zu retten. Eine Beschreibung dieser finden Sie weiter unten.

Wenn Ihre Dateien von Spora verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro

Data Recovery Pro ist ein Programm, um verlorene Dateien wiederherzustellen. Ein Versuch ist es also auf jeden Fall wert.

  • Laden Sie Data Recovery Pro (https://dieviren.de/download/data-recovery-pro-setup.exe) herunter;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von Spora verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Dateien mit ShadowExplorer retten

ShadowExplorer kann Dateien anhand der letzten Speicherkopie wiederherstellen, wenn sie nicht zerstört wurden. Hier eine kurze Anleitung, wie man die früheren Versionen von verschlüsselten Dateien findet:

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Spora und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Gabriel E. Hall
Gabriel E. Hall

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Mehr Informationen über den Autor

Quelle: http://www.2-spyware.com/remove-spora-ransomware-virus.html

Entfernungsanleitungen in anderen Sprachen