XASH-Virus ☣ (.xash-Datei) — WERKZEUG entschlüsseln und ENTFERNEN

by Brendan Smith
Mai 14, 2023

Der Xash-Virus ist eine STOP/DJVU-Familie von Ransomware-artigen Infektionen. Dieser Virus verschlüsselt Ihre Dateien (Videos, Fotos, Dokumente), die durch eine bestimmte „.xash“-Erweiterung verfolgt werden können. Es verwendet eine starke Verschlüsselungsmethode, die es unmöglich macht, den Schlüssel in irgendeiner Weise zu berechnen.

Xash verwendet einen eindeutigen Schlüssel für jedes Opfer, mit einer Ausnahme:

  • Wenn Xash vor Beginn des Verschlüsselungsprozesses keine Verbindung zu seinem Command-and-Control-Server (C&C-Server) herstellen kann, verwendet es den Offline-Schlüssel. Dieser Schlüssel ist für alle Opfer gleich, wodurch es möglich ist, Dateien zu entschlüsseln, die während eines Ransomware-Angriffs verschlüsselt wurden.

Ich habe eine vollständige Sammlung aller möglichen Lösungen, Tipps und Praktiken zur Neutralisierung des Xash-Virus und zur Entschlüsselung von Dateien zusammengestellt. In einigen Fällen ist es einfach, Ihre Dateien wiederherzustellen. Und manchmal ist es einfach unmöglich.

Es gibt mehrere universelle Methoden zur Wiederherstellung verschlüsselter .xash-Dateien, die unten demonstriert werden. Es ist wichtig, die gesamte Bedienungsanleitung sorgfältig zu lesen und sicherzustellen, dass alles verstanden wird. Überspringen Sie keine Schritte. Jeder dieser Schritte ist sehr wichtig und muss von Ihnen durchgeführt werden.

Xash-Virus?

☝️ Xash kann korrekt als STOP/DJVU-Ransomware-Infektion identifiziert werden.

Xash

🤔 Xash-Virus ist Ransomware, die aus der DJVU/STOP-Familie stammt. Sein Hauptzweck besteht darin, Dateien zu verschlüsseln, die für Sie wichtig sind. Danach verlangt der Ransomware-Virus von seinen Opfern eine Lösegeldgebühr ($490 – $980) in BitCoin.

Die Xash-Ransomware ist eine bestimmte Art von Malware, die Ihre Dateien verschlüsselt und Sie dann zwingt, für die Wiederherstellung zu bezahlen. Die Djvu/STOP-Ransomware-Familie wurde erstmals vom Virenanalysten Michael Gillespie aufgedeckt und analysiert.

Der Xash-Virus ähnelt anderer DJVU-Ransomware wie: Gatz, Gash, Qore. Dieser Virus verschlüsselt alle gängigen Dateitypen und fügt allen Dateien seine spezielle Erweiterung „.xash“ hinzu. Beispielsweise wird die Datei „1.jpg“ in „1.jpg.xash“ geändert. Sobald die Verschlüsselung abgeschlossen ist, generiert Virus eine spezielle Nachrichtendatei “_readme.txt” und legt sie in allen Ordnern ab, die die geänderten Dateien enthalten.

Das folgende Bild gibt eine klare Vorstellung davon, wie die Dateien mit der Erweiterung “.xash” aussehen:

Xash Virus - encrypted .xash files

Xash-Datei (STOP/DJVU Ransomware)

Name Xash-Virus
Ransomware-Familie1 DJVU/STOP2 Ransomware
Verlängerung .xash
Ransomware-Hinweis _readme.txt
Geisel Von 490 $ bis 980 $ (in Bitcoins)
Kontakt [email protected], [email protected]
Erkennung Trojan:Win32/Zegost.RC!MTB, Python/Agent.AAC, Win32/Filecoder.Cerber.X
Symptome
  • Verschlüsselt die meisten Ihrer Dateien (Fotos, Videos, Dokumente) und fügt eine bestimmte „.xash“-Erweiterung hinzu;
  • Kann Volumenschattenkopien löschen, um die Versuche des Opfers, Daten wiederherzustellen, unmöglich zu machen;
  • Fügt der HOSTS-Datei eine Liste von Domänen hinzu, um den Zugriff auf bestimmte sicherheitsrelevante Websites zu blockieren;
  • Installiert einen passwortstehlenden Trojaner auf dem System, wie Vidar Stealer oder RedLine-Stealer;
  • Verwaltet die Installation einer SmokeLoader-Hintertür;
Fix-Tool Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren PC:
6-tägige kostenlose Testversion verfügbar.

Dieser Text, der zur Zahlung auffordert, dient dazu, Dateien über den Entschlüsselungsschlüssel zurückzubekommen:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – Die beängstigende Warnung, die von Benutzern verlangt, das Lösegeld zu zahlen, um die verschlüsselten Daten zu entschlüsseln, enthält diese frustrierenden Warnungen

Xash Ransomware kommt als eine Reihe von Prozessen an, die verschiedene Aufgaben auf dem Computer eines Opfers ausführen sollen. Einer der ersten, der gestartet wird, ist winupdate.exe, ein kniffliger Prozess, der während des Angriffs eine gefälschte Windows-Update-Eingabeaufforderung anzeigt. Dies soll das Opfer davon überzeugen, dass eine plötzliche Systemverlangsamung durch ein Windows-Update verursacht wird. Gleichzeitig führt die Ransomware jedoch einen anderen Prozess aus (normalerweise mit vier zufälligen Zeichen benannt), der damit beginnt, das System nach Zieldateien zu durchsuchen und diese zu verschlüsseln. Als nächstes löscht die Ransomware Volumeschattenkopien mit dem folgenden CMD-Befehl vom System:

vssadmin.exe Delete Shadows /All /Quiet

Nach dem Löschen ist es unmöglich, den vorherigen Computerzustand unter Verwendung von Systemwiederherstellungspunkten wiederherzustellen. Die Sache ist die, dass Ransomware-Betreiber alle Windows-basierten Methoden loswerden, die dem Opfer helfen könnten, Dateien kostenlos wiederherzustellen. Darüber hinaus modifizieren die Gauner die Windows HOSTS-Datei, indem sie ihr eine Liste von Domänen hinzufügen und sie der localhost-IP zuordnen. Infolgedessen wird das Opfer beim Zugriff auf eine der blockierten Websites auf einen DNS_PROBE_FINISHED_NXDOMAIN-Fehler stoßen.

Wir haben festgestellt, dass Ransomware versucht, Websites zu blockieren, die verschiedene Anleitungen für Computerbenutzer veröffentlichen. Es ist offensichtlich, dass die Gauner durch die Beschränkung bestimmter Domänen versuchen, das Opfer daran zu hindern, relevante und hilfreiche Informationen zu Ransomware-Angriffen online zu erhalten. Der Virus speichert außerdem zwei Textdateien auf dem Computer des Opfers, die angriffsbezogene Details enthalten – den öffentlichen Verschlüsselungsschlüssel und die persönliche ID des Opfers. Diese beiden Dateien heißen bowsakkdestx.txt und PersonalID.txt.

Xash ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Nach all diesen Modifikationen hört die Malware nicht auf. Varianten von STOP/DJVU tendieren dazu, Vidar-Passwortdiebstahl-Trojaner auf kompromittierten Systemen abzulegen. Diese Bedrohung hat eine lange Liste von Fähigkeiten, wie zum Beispiel:

  • Stehlen von Steam, Telegram, Skype-Login/Passwort;
  • Kryptowährungs-Wallets stehlen;
  • Malware auf den Computer herunterladen und ausführen;
  • Klauen von Browser-Cookies, gespeicherten Passwörtern, Browserverlauf und mehr;
  • Anzeigen und Manipulieren von Dateien auf dem Computer des Opfers;
  • Den Hackern erlauben, andere Aufgaben auf dem Computer des Opfers aus der Ferne auszuführen.

Der von der DJVU/STOP-Ransomware verwendete Kryptografiealgorithmus ist AES-256. Wenn Ihre Dokumente also mit einem Online-Entschlüsselungsschlüssel verschlüsselt wurden, der völlig anders ist. Die traurige Realität ist, dass es unmöglich ist, die Dateien ohne den eindeutigen Schlüssel zu entschlüsseln.

Falls Xash im Online-Modus gearbeitet hat, ist es Ihnen nicht möglich, Zugriff auf den AES-256-Schlüssel zu erhalten. Es wird auf einem Remote-Server gespeichert, der den Betrügern gehört, die den Xash-Virus fördern.

Für den Erhalt des Entschlüsselungsschlüssels sollte die Zahlung 980 $ betragen. Um die Zahlungsdetails zu erhalten, werden die Opfer durch die Nachricht aufgefordert, sich per E-Mail an die Betrüger zu wenden ([email protected]).

Die Nachricht der Ransomware enthält die folgenden Informationen:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Zahlen Sie nicht für Xash!

Bitte versuchen Sie, die verfügbaren Backups oder das Decrypter-Tool zu verwenden

Die Datei _readme.txt gibt außerdem an, dass die Computerbesitzer sich ab dem Zeitpunkt der Verschlüsselung der Dateien 72 Stunden lang mit den Xash-Vertretern in Verbindung setzen müssen. Unter der Bedingung, dass Sie sich innerhalb von 72 Stunden mit uns in Verbindung setzen, erhalten Benutzer einen Rabatt von 50 %. Dadurch wird der Lösegeldbetrag auf 490 $ minimiert). Halten Sie sich jedoch von der Zahlung des Lösegelds fern!

Ich empfehle Ihnen dringend, diese Betrüger nicht zu kontaktieren und nicht zu bezahlen. Die eine der am besten funktionierenden Lösungen zur Wiederherstellung verlorener Daten – verwenden Sie einfach die verfügbaren Backups oder verwenden Sie Decrypter Werkzeug.

Die Besonderheit all dieser Viren wendet eine ähnliche Reihe von Aktionen an, um den eindeutigen Entschlüsselungsschlüssel zu generieren, um die verschlüsselten Daten wiederherzustellen.

Sofern sich die Ransomware nicht noch in der Entwicklungsphase befindet oder einige schwer nachvollziehbare Fehler aufweist, können Sie die verschlüsselten Daten nicht manuell wiederherstellen. Die einzige Lösung, um den Verlust Ihrer wertvollen Daten zu verhindern, besteht darin, regelmäßig Sicherungskopien Ihrer wichtigen Dateien zu erstellen.

Beachten Sie, dass selbst wenn Sie solche Backups regelmäßig pflegen, sie an einem bestimmten Ort abgelegt werden sollten, ohne herumzulungern und nicht mit Ihrer Haupt-Workstation verbunden zu sein.

Zum Beispiel kann die Sicherung auf dem USB-Flash-Laufwerk oder einem alternativen externen Festplattenspeicher aufbewahrt werden. Optional können Sie auf die Hilfe zur Online-(Cloud-)Informationsspeicherung verweisen.

Unnötig zu erwähnen, dass, wenn Sie Ihre Backup-Daten auf Ihrem gemeinsamen Gerät aufbewahren, diese ebenso wie andere Daten ähnlich verschlüsselt sein können.

Aus diesem Grund ist es sicherlich keine gute Idee, das Backup auf Ihrem Haupt-PC zu lokalisieren.

Wie wurde ich infiziert?

Ransomware verfügt über verschiedene Methoden, die in Ihr System integriert werden können. Aber es spielt keine Rolle, welche Methode in Ihrem Fall verwendet wurde.

Xash ransomware attack

Xash-Angriff nach einem erfolgreichen Phishing-Versuch.

Dennoch sind dies die häufigsten Lecks, durch die es in Ihren PC eingeschleust werden kann:
  • versteckte Installation zusammen mit anderen Apps, insbesondere den Dienstprogrammen, die als Freeware oder Shareware funktionieren;
  • Dubioser Link in Spam-E-Mails, der zum Viren-Installer führt
  • kostenlose Online-Hosting-Ressourcen;
  • Verwendung illegaler Peer-to-Peer-Ressourcen (P2P) zum Herunterladen von Raubkopien.

Es gab Fälle, in denen der Xash-Virus als legitimes Tool getarnt war, beispielsweise in den Nachrichten, in denen aufgefordert wurde, unerwünschte Software- oder Browser-Updates zu initiieren. Auf diese Weise zielen einige Online-Betrüger normalerweise darauf ab, Sie zur manuellen Installation der Xash-Ransomware zu zwingen, indem Sie tatsächlich direkt an diesem Prozess teilnehmen.

Sicherlich zeigt die gefälschte Update-Warnung nicht an, dass Sie die Ransomware tatsächlich injizieren werden. Diese Installation wird unter einer Warnung versteckt, in der erwähnt wird, dass Sie angeblich Adobe Flash Player oder ein anderes zweifelhaftes Programm aktualisieren sollten.

Natürlich stellen die gecrackten Apps auch den Schaden dar. Die Nutzung von P2P ist sowohl illegal als auch kann zur Injektion von schwerwiegender Malware führen, einschließlich der Xash-Ransomware.

Was können Sie zusammenfassend tun, um die Injektion der Xash-Ransomware in Ihr Gerät zu vermeiden? Auch wenn es keine 100%ige Garantie gibt, dass Ihr PC nicht beschädigt wird, möchte ich Ihnen einige Tipps geben, um das Eindringen von Xash zu verhindern. Sie müssen heute vorsichtig sein, wenn Sie kostenlose Software installieren.

Stellen Sie sicher, dass Sie immer lesen, was die Installer zusätzlich zum kostenlosen Hauptprogramm anbieten. Vermeiden Sie das Öffnen dubioser E-Mail-Anhänge. Öffnen Sie keine Dateien von unbekannten Adressaten. Natürlich muss Ihr aktuelles Sicherheitsprogramm immer aktualisiert werden.

Die Malware spricht nicht offen über sich. Es wird nicht in der Liste Ihrer verfügbaren Programme aufgeführt. Es wird jedoch unter einem bösartigen Prozess maskiert, der regelmäßig im Hintergrund ausgeführt wird, beginnend mit dem Moment, in dem Sie Ihren PC starten.

Wie entferne ich den Xash-Virus?

Zusätzlich zur Verschlüsselung der Dateien eines Opfers hat der Xash-Virus auch damit begonnen, den Vidar Stealer auf dem Computer zu installieren, um Kontoanmeldeinformationen, Wallets für Kryptowährungen, Desktop-Dateien und mehr zu stehlen.3
Gründe, warum ich GridinSoft4

  1. Run the setup file.

    Run Setup.exe
    GridinSoft Anti-Malware Setup

  2. Drücken Sie die Schaltfläche “Installieren”.

    GridinSoft Anti-Malware Install

  3. Nach der Installation wird Anti-Malware automatisch ausgeführt.

    GridinSoft Anti-Malware Splash-Screen

  4. Warten Sie auf vollständig.

    GridinSoft Anti-Malware Scanning

  5. Klicken Sie auf „Jetzt reinigen“.

    GridinSoft Anti-Malware Scan Result

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment