Infos
Registrieren
Benutzerverwaltung
Gruppenverwaltung
Download
Firmenlizenz
WebServices
Allgemein:
Startseite
AGB
Viren
FAQ
Kontakt
Sitemap
Impressum

Thor-Virus: Wie man .thor Dateien Ransomware entschlüsselt


In diesem Guide finden Sie alle Fakten über die neueste Locky-Variante namens Thor Ransomware und Ratschläge darüber, wie man die Dateien mit der Endung .thor entschlüsseln kann.

Die vorherige Ausgabe der Locky Ransomware, die die Endung .shit an Dateien anhängte, blieb nicht lange bestehen. Die unerwartete Nachricht, die buchstäblich Stunden später Schlagzeilen machte, ist, dass sich für den bösartigen Thron ein neuer Erbe gefunden hat. Der Nachfolger verkettet die .thor Dateiendungen stattdessen und benennt die Dateien in ein Wirrwarr an Nummern und Buchstaben um. Es versteht sich von selbst, dass die wertvollen Dateien der Opfer auch verschlüsselt, und nicht nur umbenannt werden. Infizierte Nutzer werden letztendlich damit konfrontiert, dass beliebige Dokumente in so etwas wie SU8DRICBA-EG3N-Y5GZ-00BA-A085959612E7.thor umgewandelt werden. Natürlich gibt es keine standardmäßige Software, die in der Lage ist, diesen Eintrag zu öffnen. Nur die Locky-Autoren haben das Tool zur Entschlüsselung, das die verzerrten Informationen wiederherstellen kann, aber sie werden es nicht kostenlos zur Verfügung stellen.

Typische Folgen der Thor

Laut der Lösegeldnachrichten namens _WHAT_is.html, __[random number]_WHAT_is.html und _WHAT_is.bmp muss der Nutzer die private Seite der Autoren besuchen, um den Entschlüsselungsservice zu kaufen. Die Thor Ransomware wiederholt die gleichen Empfehlungen auf einem neuen Desktop-Hintergrund, der den ursprünglichen automatisch ersetzt. Die Warnung besagt, dass alle Dateien des Opfers mit RSA-2048 und AES-128 verschlüsselt sind, zwei extrem starke Cryptosysteme, die quasi nicht zu knacken sind, wenn sie korrekt eingesetzt werden. Die schlechte Nachricht für alle Infizierten ist, dass Locky-Entwickler sehr technisch versiert sind, so dass sie den Verschlüsselungsteil des Angriffs fehlerfrei durchführen können.

Die gesamte Interaktionskette mit den Cyberkriminellen findet auf folgende Weise statt: zunächst soll der Nutzer eine der oben genannten _WHAT_is.html Dateien öffnen. Sie zu finden ist ein Kinderspiel, da die Ransomware sie auf dem Desktop ablegt und in allen Ordnern, die zumindest ein verschlüsseltes Element beinhalten. Das Lösegeld-Handbuch hat mehrere, in der Regel zwei, Hyperlinks, die einen auf die Locky Decryptor Seite leiten. Eine bemerkenswerte Nuance ist, dass diese Seite nur über den Tor-Browser zugänglich ist, der sehr auf Anonymität ausgerichtet ist. Die besagte Ressource informiert das Opfer über den Betrag des Lösegelds, der in der Regel 0,5 BTC ($375) beträgt, so wie die Bitcoinadresse, bei der man den Betrag bezahlen soll. Nachdem die Erpresser die Transaktion bestätigt und abgenickt haben, versprechen sie, den automatischen Decryptor zur Verfügung zu stellen. Es gibt allerdings keine Gewissheit, dass die Erpresser ihr Wort halten werden.

Weil es in der eigentlichen Verschlüsselung keine Schwachstellen gibt, kann der .thor Virus eine verheerende Wirkung haben. Angesichts dieser Sachlage ist es sehr empfehlenswert, sich große Mühe zu geben, dieser Ransomware aus dem Weg zu gehen. Die Infektion erfolgt via Phishing, bei dem der Nutzer gefälschte Budgetprognosen, Quittungen oder Rechnungen erhält. Das ZIP-Archiv, das an diese betrügerischen Nachrichten angehängt ist, wird eine .vbs Datei extrahieren, die klammheimlich ein DLL-Installationsprogramm für Thor herunterlädt. Davon ganz abgesehen, ist es eine sehr schlechte Idee, E-Mail Anhänge so zu öffnen. Außerdem sollte es heutzutage für alle zur Gewohnheit geworden sein, regelmäßige Datensicherungen durchzuführen. Wenn diese Locky Variante ihre schmutzige Arbeit schon erledigt hat, dann sollte man mit ein paar forensischen Techniken anfangen, die vielleicht dabei helfen können, die .thor Dateien wiederherzustellen.

Automatische Entfernung der Thor Ransomware

Dank einer Datenbank an Malware Signaturen, die auf dem neuesten Stand ist, und einer intelligenten verhaltensbasierten Erkennung, kann die empfohlene Software schnell die Infektion lokalisieren, sie außer Kraft setzen und beseitigen und alle schädlichen Veränderungen reparieren. Also, legen Sie los und tun Sie Folgendes:

1. Laden Sie das Antimalware-Tool herunter und installieren sie es. Öffnen Sie die Anwendung und lassen Sie sie Ihren PC auf PUPs und andere Arten bösartiger Software überprüfen, indem Sie den Button „Computerscan starten“ anklicken.

Tool zur Virenentfernung für .thor Dateien runterladen

2. Sie können sicher sein, dass der Scan-Bericht alle Elemente auflistet, die Ihrem Betriebssystem schaden könnten. Wählen Sie die gefundenen Einträge aus und klicken Sie auf „Bedrohungen beheben“, um die Fehlerbehebung abzuschließen.

Wege, um die .thor Dateien ohne Lösegeldzahlung wiederzuerlangen

Die von diesem Ransom Trojaner verwendete Crypto zu knacken, ist eher Stoff für einen Science-Fiction Film, als eine realisierbare Lösung für die Massen. Deshalb ist die Fehlerbehebung in dieser Zwangslage eine Frage zwischen zwei Ansätzen: bei der einen bezahlt man das Lösegeld, was für viele Opfer keine Option ist; und bei der anderen wendet man Instrumente an, die mögliche Schwächen der Ransomware ausnutzen. Wenn Letzteres Ihre Wahl ist, dann müssen Sie dem Rat weiter unten folgen.

Backups können Ihnen den Tag rette

Wenn Sie Ihre wichtigsten Dateien gesichert haben, dann sind Sie nicht nur ein Glückspilz, sondern auch ein kluger und umsichtiger Nutzer. Heutzutage muss man nicht unbedingt viel Geld in diese Aktivität investieren – ein paar Anbieter von Online-Diensten bieten sogar einen ausreichend großen Cloud-Speicherplatz kostenlos an, so dass jeder Kunde ganz einfach seine wichtigen Daten hochladen kann, ohne dafür einen Cent zu bezahlen. Wenn Sie die Thor Ransomware entfernt haben, dann müssen Sie also nur Ihre Daten von dem Remote-Server herunterladen oder sie von einem externen Hardware-Gerät importieren, wenn Sie Ihre Dateien dort gespeichert haben.

Wiederherstellen früherer Versionen der verschlüsselten Dateien

Ein positiver Ausgang der Verwendung dieser Technik hängt davon ab, ob die Ransomware die Volume Shadow Kopien der Dateien auf Ihrem PC gelöscht hat oder nicht. Dabei handelt es sich um ein Windows Feature, das automatisch Backups von Datenelementen erstellt und auf der Festplatte speichert, vorausgesetzt die Systemwiederherstellung ist aktiviert. Die betreffende Cryptoware ist so programmiert, dass sie den Volume Shadow Copy Service (VSS) ausschaltet, aber in einigen Fällen hat das Berichten zufolge nicht funktioniert. Man kann seine Optionen bezüglich dieses Problemumgehung auf zwei Wegen überprüfen: mithilfe des Eigenschaften-Menüs jeder Datei, oder indem man das bemerkenswerte Open-Source-Tool namens Shadow Explorer verwendet. Wir empfehlen den softwarebasierten Weg, weil er automatisiert ist und somit schneller und einfacher. Installieren Sie einfach die App und verwenden Sie die intuitiven Steuerelemente, um frühere Versionen der verschlüsselten Objekte wiederherzustellen.

ShadowExplorer

Data Recovery Toolkit im Rettungseinsatz

Einige Virenstämme der Ransomware sind dafür bekannt, die originalen Dateien zu löschen, nachdem die Verschlüsselungsroutine abgeschlossen wurde. So aggressiv diese Aktivität auch erscheinen mag, sie kann einem in die Hände spielen. Es gibt Anwendungen, die dazu designt sind, Informationen wiederherzustellen, die aufgrund einer Fehlfunktion der Hardware oder durch versehentliches Entfernen gelöscht wurden. Das Tool namens Data Recovery Pro von ParetoLogic besitzt diese Fähigkeit und kann dementsprechend bei Lösegeld-Szenarien benutzt werden, um zumindest die wichtigsten Dateien zurück zu bekommen. Laden Sie das Programm also herunter und installieren Sie es, führen Sie einen Scan durch und lassen Sie es seine Arbeit tun.

Laden Sie Data Recovery Pro herunterladen

Überprüfen Sie Ihren Sicherheitsstatus/h2>

Nachträglich zu überprüfen, wie gründlich die Malware tatsächlich entfernt wurde, ist eine gute Angewohnheit, die verhindert, das schädlicher Code oder Replikationen seiner unbehandelten Teile wieder auftauchen. Stellen Sie sicher, dass Sie auf alles vorbereitet sind, indem Sie eine zusätzliche Sicherheitsprüfung durchführen.

.Thor RansomwareRemoval-Tool herunterladen