Löschen von schädlichen Programmen der Familie Trojan-Ransom.Win32.Xorist
Möchten Sie in Zukunft Infektionen vermeiden? Installieren Sie Kaspersky Internet Security.
Um das Hilfsprogramm XoristDecryptor zur Entschlüsselung von Dateien, die durch schädliche Programme vom Typ Trojan-Ransom.Win32.Xorist und Trojan-Ransom.MSIL.Vandev verschlüsselt wurden, herunterzuladen, klicken Sie auf Herunterladen.
Schädliche Programme der Familie Trojan-Ransom.Win32.Xorist ändern Daten auf dem Computer ohne Einwilligung des Benutzers, sodass er auf sie nicht mehr zugreifen kann oder der Computer gesperrt wird. Nach der Verschlüsselung der Dateien fordert das Programm das Lösegeld. Kriminelle versprechen gegen Lösegeld ein Programm zur Wiederherstellung der Daten oder der normalen Funktion des Computers zu senden.
Infektionszeichen
- Auf dem Bildschirm kann eine Meldung mit der Forderung nach Sendung einer SMS zur Entschlüsselung von Daten angezeigt werden. Unten sehen Sie Beispiele verschiedener Modifikationen schädlicher Programme der Familie Trojan-Ransom.Win32.Xorist:
- Anstatt der Meldung kann eine Textdatei „Lies mich – So entschlüsseln Sie Ihre Daten“ im Stammordner des Datenträgers C erstellt werden.
Die Textdatei kann auch in der englischen Sprache angezeigt werden:
- Im Ordner mit Windows liegt die Datei CryptLogFile.txt.
- Der Trojaner verschlüsselt alle Dateien mit folgenden Erweiterungen:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Dateien entschlüsseln
Um ein befallenes System zu desinfizieren, gehen Sie wie folgt vor:
- Laden Sie die Datei XoristDecryptor.exe herunter und führen Sie sie auf dem betroffenen Computer aus.
- Im Fenster Kaspersky XoristDecryptor klicken Sie auf Start scan.
Zusätzliche Schlüssel für den Start des Hilfsprogramms über die Eingabeaufforderung
-y – das Fenster nach Beenden des Hilfsprogramms schließen
-vandevf <Pfad_zur_Datei> – einen Pfad zur Datei ps.ce für die Entschlüsselung von Vandev anzugeben
-vandevp <Kennwort> – das Kennwort zur Entschlüsselung von Vandev anzugeben.
Vorgehensweise, wenn das Problem weiterhin besteht
Nachdem XoristDecryptor eine schädliche Datei erkannt hat, fordert es den Benutzer dazu auf, diese Datei an stopgpcode@kaspersky.com zu senden. Die Spezialisten von Kaspersky untersuchen die gesendete Datei und aktualisieren die Datenbanken des Hilfsprogramms XoristDecryptor Beim nächsten Start lädt das Hilfsprogramm die Datenbanken herunter und behebt die Infektion.
Indem Sie Informationen über eine schädliche Datei an Kaspersky senden, lösen Sie nicht nur Ihr eigenes Problem sondern sie helfen auch anderen Benutzern, die auf Lösegeld-Trojaner gestoßen haben.
Wenn das Hilfsprogramm XoristDecryptor die betroffenen Dateien nicht entschlüsseln konnte, versuchen Sie es mit den Hilfsprogrammen RectorDecryptor und RakhniDecryptor.
Um die Infektion in Zukunft auszuschließen, installieren Sie Kaspersky Internet Security mit dem Schutz vor Ransomware. Die Anleitung finden Sie im Artikel.