Wie stellt man durch .Kvag-Ransomware verschlüsselte Dateien wieder her?

Frage

Problem: Wie stellt man durch .Kvag-Ransomware verschlüsselte Dateien wieder her?

Bitte helft mir. Ich habe heute herausgefunden, dass ich keine meiner Dateien auf dem PC öffnen kann, auch nicht Fotos, die mir sehr wichtig sind. Es scheint, dass jede Datei durch ein leeres Icon ersetzt und die Dateiendung auf .kvag geändert wurde. Was ist das? Ist ein Wiederherstellen meiner Dateien überhaupt möglich?

Akzeptierte Antwort

Wenn Dateien mit der Erweiterung .kvag versehen wurden, wurde der Computer mit der STOP/Djvu-Ransomware infiziert, einer Erpressersoftware. Ransomware-Viren gehören zu den verheerendsten, da sie alle persönlichen Daten wie Bilder, Videos, Musik, Datenbanken und weitere sperren. Während andere Schadsoftware ohne größere Folgen mit Antivirenprogrammen erfolgreich bekämpft werden kann, bleiben bei einer Infizierung mit einer Ransomware die verschlüsselten Dateien gesperrt.

Die STOP-Ransomware wurde erstmals im Dezember 2017 von unbekannten Cyberkriminellen veröffentlicht und ist seitdem eine der bekanntesten Schadsoftware-Familien der Welt. Zum Zeitpunkt der Erstellung des Artikels existieren über 150 Varianten dieser Ransomware, wobei Kvag eine der neuesten ist.

Die Daten werden mithilfe von AES – einem symmetrischen Verschlüsselungsalgorithmus – gesperrt. Dies bedeutet, dass ein geheimer Schlüssel verwendet wird, um alle Dateien zu sperren und er dann an einen C&C-Server gesendet wird, der sich in der Kontrolle der Kvag-Hacker befindet. Um die Dateien entschlüsseln zu können, benötigt man den geheimen Schlüssel, der in den Händen der Bösewichte liegt, die natürlich nicht bereit sind, ihn kostenlos aufzugeben.

Die Entwickler der Kvag-Ransomware fordern ein Lösegeld in der digitalen Währung Bitcoin – in der Regel 980 Dollar. Um das Vertrauen der Nutzer zu gewinnen, bieten sie jedoch 50% Rabatt, wenn der Kontakt innerhalb der ersten 72 Stunden nach der Infektion erfolgt. Im Folgenden ein Auszug aus der Lösegeldforderung _readme.txt, welche in allen Ordnern abgelegt wird, in denen sich verschlüsselte Dateien befinden:

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e- mail:
[email protected]

Von der Bezahlung des Lösegeldes ist dringendst abzuraten, da die Möglichkeit, betrogen zu werden, nach wie vor hoch ist. Die Gauner müssen den Schlüssel anschließend nicht herausgeben, denn sie haben ja bereits das Geld bekommen. Es empfiehlt sich also stattdessen alternative Lösungen für die Entschlüsselung der Dateien ausprobieren – wir stellen die Möglichkeiten unten vor.

Im Gegensatz zu vielen anderen Arten von Schadprogrammen verbirgt eine Ransomware ihre Präsenz nicht. Ferner lässt sie für das Betriebssystem wichtige Dateien unberührt, da ihr Ziel die Gelderpressung ist und nicht die Beschädigung des Betriebssystems oder Datendiebstahl. Dennoch kann die Kvag-Ransomware andere Module in den PC einspeisen – diese können die Aktivitäten im Webbrowser ausspionieren und sensible Informationen, einschließlich Kreditkartendaten, stehlen.

Das ist jedoch nicht der einzige Faktor, warum die Entfernung von der Kvag-Ransomware so schnell wie möglich erfolgen sollte. Wenn Sie verschlüsselte Dateien wiederherstellen, während die Schadsoftware oder ihre Module noch vorhanden sind, werden die Dateien erneut verschlüsselt, was den Wiederherstellungsprozess nutzlos macht.

Da relativ häufig neue Versionen wie Kvag veröffentlicht werden, werden sie nicht von allen Antivirenprogrammen erkannt. Zurzeit können 50 AV-Engines die Infizierung feststellen und beseitigen. Die Schadsoftware wird dann unter folgenden Namen erkannt:

• Win32:Ramnit-CC [Trj]
• Trojan:Win32/CryptInject.BG!MTB
• Trojan.GenericKD.32452318
• Trojan.Ransom.Stop
• TROJ_GEN.R002C0OIE19
• Trojan.MalPack.GS etc.

Sobald Sie sichergestellt haben, dass der Virus weg ist, können Sie mit der Datenwiederherstellung beginnen. Während die ersten Versionen der STOP-Ransomware mit speziell gefertigten Tools von Sicherheitsexperten relativ schnell entschlüsselt werden konnten, haben sich die späteren Varianten der Kriminellen leider drastisch verbessert. Darüber hinaus kann die Kvag-Ransomware nicht mehr mithilfe von STOPDecrypter entschlüsselt werden – ein Tool, das unter Umständen die gesperrten Dateien zurückholen konnte.

Entfernen Sie die Kvag-Ransomware und Hosts-Datei, bevor Sie mit der Wiederherstellung der Dateien beginnen

Wie bereits erwähnt, müssen Sie die Kvag-Ransomware entfernen, um sicherzustellen, dass die Dateien nicht noch einmal verschlüsselt werden. Wir empfehlen hierfür die Verwendung von Reimage – das Tool kann auch eine durch Schadsoftware veränderte Windows-Registry wiederherstellen.

Die Kvag-Ransomware ist dafür bekannt, ihre Opfer daran zu hindern, Sicherheitswebseiten für Hilfe zu besuchen, indem sie die Hosts-Datei von Windows modifiziert. Außerdem kann sie auch während der Entfernung die Anti-Malware beeinträchtigen. In diesem Fall muss man in den abgesicherten Modus mit Netzwerktreibern wechseln und dort eine vollständige Systemüberprüfung durchführen:

• Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Einstellungen.
• Klicken Sie auf Update und Sicherheit und wählen Sie Wiederherstellung.
• Suchen Sie den Abschnitt Erweiterter Start und klicken Sie dort auf Jetzt neu starten (dies wird den PC sofort neu starten).
• Wählen Sie nach dem Neustart Problembehandlung > Erweiterte Optionen > Starteinstellungen und klicken Sie auf Neu starten.
• Sobald der PC erneut neu gestartet wird, drücken Sie F5 oder 5, um in den abgesicherten Modus mit Netzwerktreibern zu gelangen.

Nachdem Sie den Virus gelöscht haben, sollten Sie noch zum Verzeichnis C:\\Windows\\System32\\drivers\\etc navigieren und die Datei hosts löschen.

Option 1. Die Verwendung von Data Recovery Pro

Data Recovery Pro ist eines der führenden Wiederherstellungsprodukte. Ursprünglich war die Anwendung nicht zur Entschlüsselung von Dateien gedacht, die von Kvag oder einer anderen Ransomware verschlüsselt wurden – sie besitzt einfach keine solche Entschlüsselungsfunktion. Die Software versucht die „Speicherzellen“ zu finden, an dem sich eine Datei befand, bevor sie geändert wurde. Falls die Speicherzelle nicht mit neuen Informationen überschrieben wurde (das hängt davon ab, wie häufig der PC seit der Infizierung genutzt wurde), kann Data Recovery Pro die funktionierende Kopie abrufen. So kann das Programm möglicherweise mindestens einen Teil der Daten wiederherstellen.

• Laden Sie Data Recovery Pro [Download-Link] herunter und starten Sie den Installationsprozess.
• Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation abzuschließen und öffnen Sie anschließend Data Recovery Pro, indem Sie auf die Verknüpfung auf dem Desktop klicken.
• Wählen Sie Full Scan und dann Start Scan (Sie können auch nach einzelnen Dateien anhand von Schlüsselwörtern suchen).
• Sobald der Scan abgeschlossen ist, können Sie eventuell wiederherstellbare Dateien auswählen und auf Recover klicken.

Option 2. ShadowExplorer kann alle Daten wiederherstellen, wenn Kvag nicht die Schattenkopien gelöscht hat

ShadowExplorer ist eine simple Anwendung, die mit Schattenkopien die unbeschadeten Versionen von Dateien wiederherstellen kann, welche durch die Kvag-Ransomware verschlüsselt wurden. Allerdings muss der Schadsoftware bei der Löschung dieser Windows-Backups ein Fehler unterlaufen sein, damit das Programm seine Arbeit verrichten kann:

• Laden Sie ShadowExplorer herunter [Download-Link] und installieren Sie es.
• Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation abzuschließen und klicken Sie auf die Programmverknüpfung, um ShadowExplorer zu starten.
• Wählen Sie das Laufwerk und den Ordner aus, den Sie wiederherstellen möchten.
• Klicken Sie ihn mit der rechten Maustaste an und wählen Sie Export.

Option 3. Das Windows-Feature Vorgängerversionen ist hilfreich, wenn die Systemwiederherstellung aktiviert war

Diese Methode funktioniert nur, wenn Sie die Systemwiederherstellung aktiviert hatten. Beachten Sie, dass Sie bei dieser Methode die verschlüsselten .Kvag-Dateien einzeln wiederherstellen müssen, was eine Weile dauern kann:

• Suchen Sie die Datei, die Sie wiederherstellen möchten.
• Klicken Sie sie mit der rechten Maustaste an und wählen Sie Vorgängerversionen wiederherstellen.
• Klicken Sie auf die vorherige Version und wählen Sie Wiederherstellen.

Option 4. Kontaktieren Sie Dr. Web, wenn Sie bereit sind für die Entschlüsselung zu bezahlen

Dr. Web ist ein russischer Hersteller von Anti-Malware-Software, der sich auf verschiedene Sicherheitslösungen für Privat- und Geschäftskunden spezialisiert hat. Die Firma ist auch bekannt dafür, dass sie an der Entwicklung von Ransomware-Decryptern für verschiedene STOP-Varianten beteiligt war – zu .DATAWAIT, .INFOWAIT und anderen gibt es ein funktionierendes Tool von Dr. Web.

Kvag, zusammen mit anderen neuen Varianten können teilweise von Dr. Web entschlüsselt werden. Allerdings können nur PDF- und MS-Office-Dateien wiederhergestellt werden (keine Bilder oder andere Dateien).

Der Nachteil all dessen ist, dass der Dienst nicht kostenlos ist – das Rescue-Paket kostet 150€. Bei Interesse können Sie hier den Entschlüsselungsdienst anfordern. Der Service ist für Benutzer kostenlos, die bereits vor der Infizierung mit Kvag die Software Dr. Web installiert hatten.

Wenn nichts funktioniert hat…..

Wenn keine der oben genannten Methoden funktionierte, gibt es derzeit keine anderen Möglichkeiten Dateien wiederherzustellen, die durch Kvag verschlüsselt wurden. Der einzige Weg ist dann leider, das Lösegeld an Hacker zu zahlen und zu hoffen, dass sie tatsächlich ein Tool zur Verfügung stellen. Seien Sie jedoch gewarnt, dass man solchen Menschen nicht vertrauen kann – sie könnten Ihnen stattdessen eine bösartige Programmdatei schicken oder Sie einfach nie wieder kontaktieren, wenn Sie das Lösegeld zahlen.

Ab sofort sollten Sie eine Kopie aller verschlüsselten Dateien erstellen und warten bis Sicherheitsforscher Wege finden, mit dem sich die verschlüsselten Dateien wiederherstellen lassen. Das kann allerdings eine Weile dauern.

Stellen Sie Dateien und andere Systemkomponenten automatisch wieder her

Um Ihre Dateien und anderen Systemkomponenten wiederherzustellen, können Sie die kostenlosen Anleitungen von den Experten von sichernpc.de benutzen. Wenn Sie das Gefühl haben, dass Sie nicht genug Erfahrung haben, um den kompletten Prozess selbst durchzuführen, empfehlen wir die unten aufgelisteten Wiederherstellungslösungen zu nutzen. Wir haben jedes Programm getestet und deren Wirksamkeit für Sie geprüft, Sie müssen den Tools also lediglich die Arbeit überlassen.