HELD-Virus ☣ (.held-Datei) — WERKZEUG entschlüsseln und ENTFERNEN

Written by Brendan Smith

Der Held-Virus ist eine STOP/DJVU-Familie von Ransomware-artigen Infektionen. Dieser Virus verschlüsselt Ihre Dateien (Videos, Fotos, Dokumente), die durch eine bestimmte „.held“-Erweiterung verfolgt werden können. Es verwendet eine starke Verschlüsselungsmethode, die es unmöglich macht, den Schlüssel in irgendeiner Weise zu berechnen.

Held verwendet einen eindeutigen Schlüssel für jedes Opfer, mit einer Ausnahme:

  • Wenn Held vor Beginn des Verschlüsselungsprozesses keine Verbindung zu seinem Command-and-Control-Server (C&C-Server) herstellen kann, verwendet es den Offline-Schlüssel. Dieser Schlüssel ist für alle Opfer gleich, wodurch es möglich ist, Dateien zu entschlüsseln, die während eines Ransomware-Angriffs verschlüsselt wurden.
Brendan Smith
Brendan Smith
IT-Sicherheitsexperte
Scannen Sie zuerst Ihren PC mit einem Antivirus-Tool!
Ich werde versuchen, Ihnen beim Held-Virus entfernen zu helfen und Ihnen zeigen, wie Sie entschlüsseln können oder verschlüsselte Dateien wiederherstellen. Es gibt keinen besseren Weg, Ransomware zu erkennen, zu entfernen und zu verhindern, als eine Anti-Malware-Software von GridinSoft zu verwenden.
Anti-Malware
6-tägige Testversion von Anti-Malware verfügbar.
EULA | Datenschutzrichtlinie | 10% Off Coupon
Abonnieren Sie unseren Telegram-Kanal, um als Erster über Neuigkeiten und unsere exklusiven Materialien zur Informationssicherheit informiert zu sein.

Ich habe eine vollständige Sammlung aller möglichen Lösungen, Tipps und Praktiken zur Neutralisierung des Held-Virus und zur Entschlüsselung von Dateien zusammengestellt. In einigen Fällen ist es einfach, Ihre Dateien wiederherzustellen. Und manchmal ist es einfach unmöglich.

Es gibt mehrere universelle Methoden zur Wiederherstellung verschlüsselter .held-Dateien, die unten demonstriert werden. Es ist wichtig, die gesamte Bedienungsanleitung sorgfältig zu lesen und sicherzustellen, dass alles verstanden wird. Überspringen Sie keine Schritte. Jeder dieser Schritte ist sehr wichtig und muss von Ihnen durchgeführt werden.

Held-Virus?

☝️ Held kann korrekt als STOP/DJVU-Ransomware-Infektion identifiziert werden.

Held

🤔 Held-Virus ist Ransomware, die aus der DJVU/STOP-Familie stammt. Sein Hauptzweck besteht darin, Dateien zu verschlüsseln, die für Sie wichtig sind. Danach verlangt der Ransomware-Virus von seinen Opfern eine Lösegeldgebühr ($999 – $1999) in BitCoin.

Die Held-Ransomware ist eine bestimmte Art von Malware, die Ihre Dateien verschlüsselt und Sie dann zwingt, für die Wiederherstellung zu bezahlen. Die Djvu/STOP-Ransomware-Familie wurde erstmals vom Virenanalysten Michael Gillespie aufgedeckt und analysiert.

Der Held-Virus ähnelt anderer DJVU-Ransomware wie: Hlas, Qual, Sarut. Dieser Virus verschlüsselt alle gängigen Dateitypen und fügt allen Dateien seine spezielle Erweiterung „.held“ hinzu. Beispielsweise wird die Datei „1.jpg“ in „1.jpg.held“ geändert. Sobald die Verschlüsselung abgeschlossen ist, generiert Virus eine spezielle Nachrichtendatei “_readme.txt” und legt sie in allen Ordnern ab, die die geänderten Dateien enthalten.

Das folgende Bild gibt eine klare Vorstellung davon, wie die Dateien mit der Erweiterung “.held” aussehen:

Held Virus - encrypted .held files

Held-Datei (STOP/DJVU Ransomware)

NameHeld-Virus
Ransomware-Familie1DJVU/STOP2 Ransomware
Verlängerung.held
Ransomware-Hinweis_readme.txt
GeiselVon $999 bis $1999 (in Bitcoins)
Kontaktsupport@fishmail.top, datarestorehelp@airmail.cc
ErkennungTrojan:Win32/Tnega!MSR Removal, Win32:Adware-DNA [Adw] Virus Removal, Win32:Secat [Trj] Virus Removal
Symptome
  • Verschlüsselt die meisten Ihrer Dateien (Fotos, Videos, Dokumente) und fügt eine bestimmte „.held“-Erweiterung hinzu;
  • Kann Volumenschattenkopien löschen, um die Versuche des Opfers, Daten wiederherzustellen, unmöglich zu machen;
  • Fügt der HOSTS-Datei eine Liste von Domänen hinzu, um den Zugriff auf bestimmte sicherheitsrelevante Websites zu blockieren;
  • Installiert einen passwortstehlenden Trojaner auf dem System, wie Vidar Stealer oder RedLine-Stealer;
  • Verwaltet die Installation einer SmokeLoader-Hintertür;
Fix-Tool Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren PC:


6-tägige kostenlose Testversion verfügbar.

Dieser Text, der zur Zahlung auffordert, dient dazu, Dateien über den Entschlüsselungsschlüssel zurückzubekommen:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – Die beängstigende Warnung, die von Benutzern verlangt, das Lösegeld zu zahlen, um die verschlüsselten Daten zu entschlüsseln, enthält diese frustrierenden Warnungen

Held Ransomware kommt als eine Reihe von Prozessen an, die verschiedene Aufgaben auf dem Computer eines Opfers ausführen sollen. Einer der ersten, der gestartet wird, ist winupdate.exe, ein kniffliger Prozess, der während des Angriffs eine gefälschte Windows-Update-Eingabeaufforderung anzeigt. Dies soll das Opfer davon überzeugen, dass eine plötzliche Systemverlangsamung durch ein Windows-Update verursacht wird. Gleichzeitig führt die Ransomware jedoch einen anderen Prozess aus (normalerweise mit vier zufälligen Zeichen benannt), der damit beginnt, das System nach Zieldateien zu durchsuchen und diese zu verschlüsseln. Als nächstes löscht die Ransomware Volumeschattenkopien mit dem folgenden CMD-Befehl vom System:

vssadmin.exe Delete Shadows /All /Quiet

Nach dem Löschen ist es unmöglich, den vorherigen Computerzustand unter Verwendung von Systemwiederherstellungspunkten wiederherzustellen. Die Sache ist die, dass Ransomware-Betreiber alle Windows-basierten Methoden loswerden, die dem Opfer helfen könnten, Dateien kostenlos wiederherzustellen. Darüber hinaus modifizieren die Gauner die Windows HOSTS-Datei, indem sie ihr eine Liste von Domänen hinzufügen und sie der localhost-IP zuordnen. Infolgedessen wird das Opfer beim Zugriff auf eine der blockierten Websites auf einen DNS_PROBE_FINISHED_NXDOMAIN-Fehler stoßen.

Wir haben festgestellt, dass Ransomware versucht, Websites zu blockieren, die verschiedene Anleitungen für Computerbenutzer veröffentlichen. Es ist offensichtlich, dass die Gauner durch die Beschränkung bestimmter Domänen versuchen, das Opfer daran zu hindern, relevante und hilfreiche Informationen zu Ransomware-Angriffen online zu erhalten. Der Virus speichert außerdem zwei Textdateien auf dem Computer des Opfers, die angriffsbezogene Details enthalten – den öffentlichen Verschlüsselungsschlüssel und die persönliche ID des Opfers. Diese beiden Dateien heißen bowsakkdestx.txt und PersonalID.txt.

Held ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Nach all diesen Modifikationen hört die Malware nicht auf. Varianten von STOP/DJVU tendieren dazu, Vidar-Passwortdiebstahl-Trojaner auf kompromittierten Systemen abzulegen. Diese Bedrohung hat eine lange Liste von Fähigkeiten, wie zum Beispiel:

  • Stehlen von Steam, Telegram, Skype-Login/Passwort;
  • Kryptowährungs-Wallets stehlen;
  • Malware auf den Computer herunterladen und ausführen;
  • Klauen von Browser-Cookies, gespeicherten Passwörtern, Browserverlauf und mehr;
  • Anzeigen und Manipulieren von Dateien auf dem Computer des Opfers;
  • Den Hackern erlauben, andere Aufgaben auf dem Computer des Opfers aus der Ferne auszuführen.

Der von der DJVU/STOP-Ransomware verwendete Kryptografiealgorithmus ist AES-256. Wenn Ihre Dokumente also mit einem Online-Entschlüsselungsschlüssel verschlüsselt wurden, der völlig anders ist. Die traurige Realität ist, dass es unmöglich ist, die Dateien ohne den eindeutigen Schlüssel zu entschlüsseln.

Falls Held im Online-Modus gearbeitet hat, ist es Ihnen nicht möglich, Zugriff auf den AES-256-Schlüssel zu erhalten. Es wird auf einem Remote-Server gespeichert, der den Betrügern gehört, die den Held-Virus fördern.

Für den Erhalt des Entschlüsselungsschlüssels sollte die Zahlung $1999 betragen. Um die Zahlungsdetails zu erhalten, werden die Opfer durch die Nachricht aufgefordert, sich per E-Mail an die Betrüger zu wenden (support@fishmail.top).

Zahlen Sie nicht für Held!

Bitte versuchen Sie, die verfügbaren Backups oder das Decrypter-Tool zu verwenden

Die Datei _readme.txt gibt außerdem an, dass die Computerbesitzer sich ab dem Zeitpunkt der Verschlüsselung der Dateien 72 Stunden lang mit den Held-Vertretern in Verbindung setzen müssen. Unter der Bedingung, dass Sie sich innerhalb von 72 Stunden mit uns in Verbindung setzen, erhalten Benutzer einen Rabatt von 50 %. Dadurch wird der Lösegeldbetrag auf 490 $ minimiert). Halten Sie sich jedoch von der Zahlung des Lösegelds fern!

Ich empfehle Ihnen dringend, diese Betrüger nicht zu kontaktieren und nicht zu bezahlen. Die eine der am besten funktionierenden Lösungen zur Wiederherstellung verlorener Daten – verwenden Sie einfach die verfügbaren Backups oder verwenden Sie Decrypter Werkzeug.

Die Besonderheit all dieser Viren wendet eine ähnliche Reihe von Aktionen an, um den eindeutigen Entschlüsselungsschlüssel zu generieren, um die verschlüsselten Daten wiederherzustellen.

Sofern sich die Ransomware nicht noch in der Entwicklungsphase befindet oder einige schwer nachvollziehbare Fehler aufweist, können Sie die verschlüsselten Daten nicht manuell wiederherstellen. Die einzige Lösung, um den Verlust Ihrer wertvollen Daten zu verhindern, besteht darin, regelmäßig Sicherungskopien Ihrer wichtigen Dateien zu erstellen.

Beachten Sie, dass selbst wenn Sie solche Backups regelmäßig pflegen, sie an einem bestimmten Ort abgelegt werden sollten, ohne herumzulungern und nicht mit Ihrer Haupt-Workstation verbunden zu sein.

Zum Beispiel kann die Sicherung auf dem USB-Flash-Laufwerk oder einem alternativen externen Festplattenspeicher aufbewahrt werden. Optional können Sie auf die Hilfe zur Online-(Cloud-)Informationsspeicherung verweisen.

Unnötig zu erwähnen, dass, wenn Sie Ihre Backup-Daten auf Ihrem gemeinsamen Gerät aufbewahren, diese ebenso wie andere Daten ähnlich verschlüsselt sein können.

Aus diesem Grund ist es sicherlich keine gute Idee, das Backup auf Ihrem Haupt-PC zu lokalisieren.

Wie wurde ich infiziert?

Ransomware verfügt über verschiedene Methoden, die in Ihr System integriert werden können. Aber es spielt keine Rolle, welche Methode in Ihrem Fall verwendet wurde.

Held ransomware attack

Held-Angriff nach einem erfolgreichen Phishing-Versuch.

Dennoch sind dies die häufigsten Lecks, durch die es in Ihren PC eingeschleust werden kann:

  • versteckte Installation zusammen mit anderen Apps, insbesondere den Dienstprogrammen, die als Freeware oder Shareware funktionieren;
  • Dubioser Link in Spam-E-Mails, der zum Viren-Installer führt
  • kostenlose Online-Hosting-Ressourcen;
  • Verwendung illegaler Peer-to-Peer-Ressourcen (P2P) zum Herunterladen von Raubkopien.

Es gab Fälle, in denen der Held-Virus als legitimes Tool getarnt war, beispielsweise in den Nachrichten, in denen aufgefordert wurde, unerwünschte Software- oder Browser-Updates zu initiieren. Auf diese Weise zielen einige Online-Betrüger normalerweise darauf ab, Sie zur manuellen Installation der Held-Ransomware zu zwingen, indem Sie tatsächlich direkt an diesem Prozess teilnehmen.

Sicherlich zeigt die gefälschte Update-Warnung nicht an, dass Sie die Ransomware tatsächlich injizieren werden. Diese Installation wird unter einer Warnung versteckt, in der erwähnt wird, dass Sie angeblich Adobe Flash Player oder ein anderes zweifelhaftes Programm aktualisieren sollten.

Natürlich stellen die gecrackten Apps auch den Schaden dar. Die Nutzung von P2P ist sowohl illegal als auch kann zur Injektion von schwerwiegender Malware führen, einschließlich der Held-Ransomware.

Was können Sie zusammenfassend tun, um die Injektion der Held-Ransomware in Ihr Gerät zu vermeiden? Auch wenn es keine 100%ige Garantie gibt, dass Ihr PC nicht beschädigt wird, möchte ich Ihnen einige Tipps geben, um das Eindringen von Held zu verhindern. Sie müssen heute vorsichtig sein, wenn Sie kostenlose Software installieren.

Stellen Sie sicher, dass Sie immer lesen, was die Installer zusätzlich zum kostenlosen Hauptprogramm anbieten. Vermeiden Sie das Öffnen dubioser E-Mail-Anhänge. Öffnen Sie keine Dateien von unbekannten Adressaten. Natürlich muss Ihr aktuelles Sicherheitsprogramm immer aktualisiert werden.

Die Malware spricht nicht offen über sich. Es wird nicht in der Liste Ihrer verfügbaren Programme aufgeführt. Es wird jedoch unter einem bösartigen Prozess maskiert, der regelmäßig im Hintergrund ausgeführt wird, beginnend mit dem Moment, in dem Sie Ihren PC starten.

Wie entferne ich den Held-Virus?

Zusätzlich zur Verschlüsselung der Dateien eines Opfers hat der Held-Virus auch damit begonnen, den Vidar Stealer auf dem Computer zu installieren, um Kontoanmeldeinformationen, Wallets für Kryptowährungen, Desktop-Dateien und mehr zu stehlen.3
Gründe, warum ich GridinSoft4

Es gibt keinen besseren Weg, Ransomware zu erkennen, zu entfernen und zu verhindern, als eine Anti-Malware-Software von GridinSoft zu verwenden.5.

  1. Laden Sie das Tool zum Entfernen herunter.

    Sie können GridinSoft Anti-Malware herunterladen, indem Sie auf die Schaltfläche unten klicken:

  2. Run the setup file.

    Wenn der Download der Setup-Datei abgeschlossen ist, doppelklicken Sie auf die Datei setup-antimalware-fix.exe, um GridinSoft Anti-Malware auf Ihrem System zu installieren.

    Run Setup.exe

    Eine User Account Control, die Sie fragt, ob Sie GridinSoft Anti-Malware erlauben möchten, Änderungen an Ihrem Gerät vorzunehmen. Sie sollten also auf „Ja“ klicken, um mit der Installation fortzufahren.

    GridinSoft Anti-Malware Setup

  3. Drücken Sie die Schaltfläche “Installieren”.

    GridinSoft Anti-Malware Install

  4. Nach der Installation wird Anti-Malware automatisch ausgeführt.

    GridinSoft Anti-Malware Splash-Screen

  5. Warten Sie auf vollständig.

    GridinSoft Anti-Malware scannt Ihren Computer automatisch auf Held-Infektionen und andere bösartige Programme. Dieser Vorgang kann 20-30 Minuten dauern, daher schlage ich vor, dass Sie den Status des Scanvorgangs regelmäßig überprüfen.

    GridinSoft Anti-Malware Scanning

  6. Klicken Sie auf „Jetzt reinigen“.

    Wenn der Scan abgeschlossen ist, sehen Sie die Liste der Infektionen, die GridinSoft Anti-Malware erkannt hat. Um sie zu entfernen, klicken Sie auf die Schaltfläche „Jetzt reinigen“ in der rechten Ecke.

    GridinSoft Anti-Malware Scan Result
  7. Video-Leitfaden

  8. Trojan Killer für besondere Fälle

    In einigen bestimmten Fällen kann die Held-Ransomware die Ausführung von Setup-Dateien verschiedener Anti-Malware-Programme blockieren. In dieser Situation müssen Sie das Wechsellaufwerk mit einem vorinstallierten Antiviren-Tool verwenden.

    Es gibt eine wirklich kleine Anzahl von Sicherheitstools, die auf den USB-Laufwerken eingerichtet werden können, und Antivirenprogramme, die dies tun können, erfordern in den meisten Fällen den Erwerb einer recht teuren Lizenz. Für diesen Fall kann ich Ihnen empfehlen, eine andere Lösung von GridinSoft zu verwenden – Trojan Killer Portable. Es verfügt über einen 14-tägigen kostenlosen Testmodus, der alle Funktionen der kostenpflichtigen Version bietet 6. Dieser Begriff wird definitiv zu 100% ausreichen, um Malware auszulöschen.

Wie entschlüsselt man .held-Dateien?

Wiederherstellungslösung für große “.held-Dateien

Versuchen Sie, die .held-Erweiterung von einigen GROSSEN Dateien zu entfernen und sie zu öffnen. Entweder hat die Held-Ransomware die Datei gelesen und nicht verschlüsselt, oder sie hat einen Fehler verursacht und den Dateimarker nicht hinzugefügt. Wenn Ihre Dateien sehr groß sind (2 GB+), ist letzteres am wahrscheinlichsten. Bitte lassen Sie mich in den Kommentaren wissen, ob das für Sie funktioniert.

Die neuesten Erweiterungen wurden Ende August 2019 veröffentlicht, nachdem die Kriminellen Änderungen vorgenommen hatten. Dazu gehören Watz, Waqa, Veza, etc.

Aufgrund der von den Kriminellen vorgenommenen Änderungen wird STOPDecrypter nicht mehr unterstützt. Es wurde entfernt und durch den von Emsisoft und Michael Gillespie.

Sie können das kostenlose Entschlüsselungstool hier herunterladen: Entschlüsseler für STOP Djvu.

  1. Laden Sie das Entschlüsselungstool herunter und führen Sie es aus.

    Beginnen Sie mit dem Herunterladen des Entschlüsselungstools.

    Stellen Sie sicher, dass Sie das Entschlüsselungsprogramm als Administrator starten. Sie müssen den erscheinenden Lizenzbedingungen zustimmen. Klicken Sie dazu auf die Schaltfläche “Ja“:

    Emsisoft Decryptor - license terms

    Sobald Sie die Lizenzbedingungen akzeptieren, erscheint die Hauptbenutzeroberfläche des Decryptors:

    Emsisoft Decryptor - user interface

  2. Wählen Sie Ordner für die Entschlüsselung aus.

    Basierend auf den Standardeinstellungen füllt der Entschlüsseler automatisch die verfügbaren Speicherorte aus, um die derzeit verfügbaren Laufwerke (die verbundenen), einschließlich der Netzlaufwerke, zu entschlüsseln. Zusätzliche (optionale) Standorte können mit Hilfe der Schaltfläche “Hinzufügen” ausgewählt werden.

    Entschlüsseler schlagen normalerweise mehrere Optionen unter Berücksichtigung der spezifischen Malware-Familie vor. Die aktuell möglichen Optionen werden im Reiter Optionen dargestellt und können dort aktiviert bzw. deaktiviert werden. Unten finden Sie eine detaillierte Liste der derzeit aktiven Optionen.

  3. Klicken Sie auf die Schaltfläche „Entschlüsseln“.

    Sobald Sie alle gewünschten Orte zur Entschlüsselung in die Liste aufgenommen haben, klicken Sie auf die Schaltfläche „Entschlüsseln“, um den Entschlüsselungsvorgang einzuleiten.

    Beachten Sie, dass der Hauptbildschirm Sie möglicherweise zu einer Statusansicht führt, die Sie über den aktiven Prozess und die Entschlüsselungsstatistik Ihrer Daten informiert:

    Emsisoft Decryptor - the decryption statistics

    Der Entschlüsseler benachrichtigt Sie, sobald der Entschlüsselungsvorgang abgeschlossen ist. Wenn Sie den Bericht für Ihre persönlichen Unterlagen benötigen, können Sie ihn über die Schaltfläche „Protokoll speichern“ speichern. Beachten Sie, dass es auch möglich ist, es direkt in Ihre Zwischenablage zu kopieren und es hier in E-Mails oder Nachrichten einzufügen, wenn Sie dies benötigen.

Der Emsisoft Decryptor zeigt nach einem fehlgeschlagenen Versuch, Ihre held-Dateien wiederherzustellen, möglicherweise andere Meldungen an:

✓ Error: Unable to decrypt file with ID: [your ID]
Es gibt keinen entsprechenden Entschlüsselungsschlüssel in der Datenbank des Emsisoft-Entschlüsselers.
✓ No key for New Variant online ID: [your ID]
Hinweis: Diese ID scheint eine Online-ID zu sein, eine Entschlüsselung ist nicht möglich
Ihre Originaldateien wurden mit einem Online-Schlüssel verschlüsselt. Niemand sonst hat also das gleiche Verschlüsselungs-/Entschlüsselungsschlüsselpaar. Die Wiederherstellung von held-Dateien ohne Bezahlung der Kriminellen ist unmöglich. 🙁
✓ Result: No key for new variant offline ID: [example ID]
Diese ID scheint eine Offline-ID zu sein. Eine Entschlüsselung kann in Zukunft möglich sein.
Ein Offline-Schlüssel wurde verwendet, aber Dateien konnten nicht wiederhergestellt werden (der Offline-Entschlüsselungsschlüssel ist noch nicht verfügbar). Der Erhalt dieser Nachricht ist jedoch eine gute Nachricht für Sie, da es möglich sein könnte, Ihre held-Dateien in Zukunft wiederherzustellen. 🙂
Es kann einige Wochen oder Monate dauern, bis der Entschlüsselungsschlüssel gefunden und in den Entschlüsseler hochgeladen wird. Bitte folgen Sie den Aktualisierungen bezüglich der entschlüsselbaren DJVU-Versionen hier.
✓ Remote name could not be resolved
Dies ist ein Hinweis auf ein DNS-Problem auf Ihrem PC. Unsere erste Empfehlung ist, Ihre HOSTS-Datei auf die Standardeinstellungen zurückzusetzen.

Wie stellt man .held-Dateien wieder her?

In einigen Fällen ist die Held-Ransomware Ihren Dateien nicht zum Verhängnis…

Als nächstes kommt die Funktion des Held-Ransomware-Verschlüsselungsmechanismus: Sie verschlüsselt jede Datei Byte für Byte, speichert dann eine Dateikopie und löscht (und nicht überschreibt!) die Originaldatei. Daher gehen die Informationen zum Dateispeicherort auf der physischen Festplatte verloren, aber die Originaldatei wird nicht von der physischen Festplatte gelöscht. Die Zelle oder der Sektor, in dem diese Datei gespeichert wurde, kann diese Datei noch enthalten, sie wird jedoch nicht vom Dateisystem aufgelistet und kann durch Daten überschrieben werden, die nach dem Löschen auf diese Platte geladen wurden. Daher ist es möglich, Ihre Dateien mit spezieller Software wiederherzustellen.

Mein PC wurde vor kurzem vom Held-Virus infiziert. Er schaffte es, 2 Antivirenprogramme und 2 Malware-Bekämpfungstools zu umgehen.

Wie dem auch sei, nachdem mir klar wurde, dass es sich um einen Online-Algorithmus handelt, ist es unmöglich, meine verschlüsselten Dateien wiederherzustellen. Zum Zeitpunkt des Virus hatte ich auch meine Backup-Festplatte angeschlossen, und auch diese war infiziert, oder so dachte ich. Jeder Ordner auf meiner Backup-Festplatte wurde infiziert und verschlüsselt. Trotzdem habe ich fast 80% meiner 2 TB Speicherplatz wiederhergestellt, obwohl ich einige wichtige Dateien verloren habe.

Als ich die Ordner durchging, bemerkte ich in jedem Ordner die readme.txt Lösegeldnotiz. Ich öffnete einige der Ordner und stellte fest, dass alle Dateien, die sich nicht in einem Unterordner befanden, verschlüsselt worden waren. Allerdings entdeckte ich einen Fehler und einen kleinen Hoffnungsschimmer, als ich in die Unterordner in anderen Ordnern ging und feststellte, dass diese Dateien nicht verschlüsselt worden waren. Jeder Ordner auf meinen Laufwerken C und D, einschließlich der Unterordner, wurde verschlüsselt, aber dies war nicht der Fall bei der Backup-Festplatte. Das Erstellen von Unterordnern innerhalb eines Ordners hat 80% meiner Daten gerettet.

Wie gesagt, ich glaube, dass dies nur eine kleine Schwachstelle auf einer Backup-Festplatte ist. Seitdem habe ich weitere 10 % meiner Daten auf einer anderen Festplatte auf einem anderen PC gefunden. Mein Rat ist also, wenn Sie eine Backup-Festplatte verwenden, erstellen Sie Unterordner. Ich hatte Glück, nehme ich an. Aber ich hatte auch Pech, dass der Virus zuschlug, als ich einige Dateien von meinem Backup übertrug.

Hoffentlich kann dies einigen anderen Menschen in meiner Situation helfen.

Jamie Newland
Hier sind einige Hinweise zur Wiederherstellung und Reparatur von Held-Dateien (gilt für alle STOP/DJVU-Varianten):

  • Ich habe gesehen, dass Held-Varianten Probleme haben, tiefer verschachtelte Ordner zu verschlüsseln, daher können Sie das überprüfen. Möglicherweise sind diese nicht verschlüsselt.
  • Dieser Ransomware-Typ speichert verschlüsselte Daten in einer neuen Datei und löscht das Original. Es besteht also eine geringe Chance, dass Teile der gelöschten Datei mit Hilfe einer Dateiwiederherstellungssoftware wiederhergestellt werden können. Die Wiederherstellung der Ordnerstruktur ist jedoch unwahrscheinlich, daher könnte ein kostenloses Tool wie PhotoRec genauso gut sein wie andere.
  • Diese Ransomware verschlüsselt nur teilweise (ungefähr die ersten 150 KB), je nach Dateigröße und Art der Daten könnte der nicht verschlüsselte Teil wiederherstellbar sein.
  • Joep

    Wiederherstellen Ihrer Dateien mit PhotoRec

    PhotoRec ist ein Open-Source-Programm, das ursprünglich für die Wiederherstellung von Dateien von beschädigten Datenträgern oder für die Wiederherstellung von Dateien erstellt wurde, falls sie gelöscht wurden. Im Laufe der Zeit konnte dieses Programm jedoch die Dateien von 400 verschiedenen Erweiterungen wiederherstellen. Daher kann es nach dem Ransomware-Angriff zur Datenwiederherstellung verwendet werden.

    Zuerst müssen Sie diese App herunterladen. Es ist 100% kostenlos, aber der Entwickler gibt an, dass es keine Garantie dafür gibt, dass Ihre Dateien wiederhergestellt werden. PhotoRec wird in einem Paket mit anderen Dienstprogrammen desselben Entwicklers vertrieben – TestDisk. Das heruntergeladene Archiv trägt den Namen TestDisk, aber keine Sorge. PhotoRec-Dateien sind direkt darin enthalten.

    Um PhotoRec zu öffnen, müssen Sie die Datei “qphotorec_win.exe” finden und öffnen. Es ist keine Installation erforderlich – dieses Programm hat alle benötigten Dateien im Archiv, daher können Sie es auf Ihr USB-Laufwerk stecken und versuchen, Ihren Freunden/Eltern/allen zu helfen, die von DJVU/STOP-Ransomware.

    PhotoRec file in the folder

    Nach dem Start sehen Sie den Bildschirm, der Ihnen die vollständige Liste Ihrer Festplattenplätze zeigt. Diese Information ist jedoch wahrscheinlich nutzlos, da das erforderliche Menü etwas höher platziert ist. Klicken Sie auf diese Leiste und wählen Sie dann die Festplatte aus, die von Ransomware angegriffen wurde.

    Choose the disc in PhotoRec

    Nachdem Sie die Festplatte ausgewählt haben, müssen Sie den Zielordner für die wiederhergestellten Dateien auswählen. Dieses Menü befindet sich im unteren Teil des PhotoRec-Fensters. Am besten exportieren Sie sie auf ein USB-Laufwerk oder einen anderen Wechseldatenträger.

    Choosing the destination folder of recovery

    Dann müssen Sie die Dateiformate angeben. Diese Option befindet sich ebenfalls ganz unten. Wie bereits erwähnt, kann PhotoRec Dateien in etwa 400 verschiedenen Formaten wiederherstellen.

    Choose the file format

    Schließlich können Sie die Dateiwiederherstellung starten, indem Sie auf die Schaltfläche „Suchen“ klicken. Sie sehen den Bildschirm, auf dem die Ergebnisse des Scans und der Wiederherstellung angezeigt werden.

    Recovery process

    Anleitung zur Wiederherstellung von Held-Dateien


    Frequently Asked Questions

    🤔 Wie kann ich “.held“-Dateien öffnen?

    Auf keinen Fall. Diese Dateien werden durch Ransomware verschlüsselt. Der Inhalt von .held-Dateien ist erst verfügbar, nachdem sie entschlüsselt wurden.

    🤔 Held-Dateien enthalten wichtige Informationen. Wie kann ich sie dringend entschlüsseln?

    Wenn Ihre in den .held-Dateien verbliebenen Daten sehr wertvoll sind, haben Sie höchstwahrscheinlich eine Sicherungskopie erstellt.
    Wenn nicht, können Sie versuchen, sie über die Systemfunktion wiederherzustellen – Restore Point.
    Alle anderen Methoden erfordern Geduld.

    🤔 Sie haben empfohlen, GridinSoft Anti-Malware zu verwenden, um Held zu entfernen. Bedeutet dies, dass das Programm meine verschlüsselten Dateien löscht?

    Natürlich nicht. Ihre verschlüsselten Dateien stellen keine Bedrohung für den Computer dar. Was passiert ist, ist bereits passiert.

    Sie benötigen GridinSoft Anti-Malware, um aktive Systeminfektionen zu entfernen. Der Virus, der Ihre Dateien verschlüsselt hat, ist höchstwahrscheinlich noch aktiv und führt regelmäßig einen Test durch, um noch mehr Dateien zu verschlüsseln. Außerdem installieren diese Viren häufig Keylogger und Hintertüren für weitere böswillige Aktionen (z. B. Diebstahl von Passwörtern, Kreditkarten).

    🤔 Der Held-Virus hat den infizierten PC blockiert: Ich kann den Aktivierungscode nicht abrufen.

    In dieser Situation müssen Sie den Memory Stick mit einem vorinstallierten Trojan Killer vorbereiten.

    🤔 Decryptor hat nicht alle meine Dateien entschlüsselt, oder es wurden nicht alle entschlüsselt. Was soll ich tun?

    Hab Geduld. Sie sind mit der neuen Version der STOP/DJVU-Ransomware infiziert, und die Entschlüsselungsschlüssel wurden noch nicht veröffentlicht. Verfolgen Sie die Neuigkeiten auf unserer Website.

    Wir halten Sie auf dem Laufenden, wenn neue Held-Schlüssel oder neue Entschlüsselungsprogramme erscheinen.

    🤔 Was kann ich jetzt tun?

    Die Held-Ransomware verschlüsselt nur die ersten 150 KB der Dateien. MP3-Dateien sind also ziemlich groß, einige Mediaplayer (z. B. Winamp) können die Dateien möglicherweise abspielen, aber – die ersten 3-5 Sekunden (der verschlüsselte Teil) fehlen.

    Sie können versuchen, eine Kopie einer verschlüsselten Originaldatei zu finden:

    • Dateien, die Sie aus dem Internet heruntergeladen haben und die verschlüsselt wurden und die Sie erneut herunterladen können, um das Original zu erhalten.
    • Bilder, die Sie mit Familie und Freunden geteilt haben, die sie Ihnen einfach zurücksenden können.
    • Fotos, die Sie in soziale Medien oder Cloud-Dienste wie Carbonite, OneDrive, iDrive, Google Drive usw. hochgeladen haben
    • Anhänge in E-Mails, die Sie gesendet oder empfangen und gespeichert haben.
    • Dateien auf einem älteren Computer, Flash-Laufwerk, externen Laufwerk, einer Kamera-Speicherkarte oder einem iPhone, von dem Sie Daten auf den infizierten Computer übertragen haben.

    Ich brauche Ihre Hilfe, um diesen Artikel zu teilen.

    Du bist an der Reihe, anderen Menschen zu helfen. Ich habe diesen Artikel geschrieben, um Menschen wie Ihnen zu helfen. Sie können die folgenden Schaltflächen verwenden, um dies auf Ihren bevorzugten sozialen Medien Facebook, Twitter oder Reddit zu teilen.
    Brendan Smith
    Sending
    User Review
    0 (0 votes)
    Comments Rating 0 (0 reviews)

    References

    1. Meine Dateien werden durch Ransomware verschlüsselt, was soll ich jetzt tun?
    2. Über DJVU (STOP) Ransomware.
    3. Sicherheitslücke in Windows-Passwörtern (Mimikatz HackTool): https://howtofix.guide/mimikatz-hacktool/
    4. GridinSoft Anti-Malware Review von der HowToFix-Website empfehlen würde: https://howtofix.guide/gridinsoft-anti-malware/
    5. Weitere Informationen zu GridinSoft-Produkten: https://gridinsoft.com/products/
    6. Überprüfung des Trojaner-Killers: https://howtofix.guide/trojan-killer-2020-review/

    Englisch Japanisch Spanisch Portugiesisch, Brasilien Französisch Türkisch Traditionelles Chinesisch Koreanisch Indonesisch Hindi Italienisch

    About the author

    Brendan Smith

    I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

    With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

    Leave a Reply

    Sending