Ransomware

VEHU-Virus (.vehu-Datei) Ransomware

6 vor wenigen Monaten
von Brendan Smith

What kind of malware is Vehu?

Vehu is a ransomware variant from the Djvu family that we discovered during an analysis of samples submitted to VirusTotal. Ransomware ist eine Art von Malware, die Dateien verschlüsselt und eine Zahlung für deren Entschlüsselung verlangt. Zusätzlich zur Verschlüsselung von Dateien, Vehu appends its extension (“.vehu”) auf Dateinamen und stellt eine Lösegeldforderung aus (“_README.txt“).

An example of how files encrypted by Vehu are renamed: “1.jpg” wird geändert in “1.jpg.vehu“, “2.png” Zu “2.png.vehu“, und so weiter. Since Vehu is part of the Djvu family, Es kann zusammen mit Informationsdiebstahlern wie Vidar und RedLine verbreitet werden.

Screenshot of files encrypted by Vehu ransomware:

Infizierter PC: VEHU-Dateien

Infizierter PC: VEHU-Dateien

Vehu ransom note overview

Vehu’s ransom note informs victims that their files are encrypted and that the only way to recover them is to purchase a decryption tool and a unique key. Es heißt auch, dass die Angreifer anbieten, eine Datei zu entschlüsseln (keine wertvollen Informationen enthalten) kostenlos. Die Notiz enthält zwei Kontakt-E-Mails: support@freshingmail.top und datarestorehelpyou@airmail.cc.

Es gibt den Preis für die Entschlüsselung an $999 und sagt, dass es reduziert werden kann auf $499 wenn Opfer mit Bedrohungsakteuren in Kontakt treten 72 Std.. zuletzt, Es gewährleistet den Opfern, dass Daten nicht ohne Bezahlung wiederhergestellt werden können.

Lösegeldforderung: _readme.txt

Lösegeldforderung: _readme.txt

NameVehu Virus
Familie 1STOP/Djvu-Ransomware
Verlängerung.vehu
Hinweis zu Ransomware_readme.txt
LösegeldAus $499 Zu $999 (in Bitcoins)
Kontaktsupport@freshingmail.top, datarestorehelpyou@airmail.cc
Symptome
  • Verschlüsselt die meisten Ihrer Dateien (Fotos, Videos, Unterlagen) und fügt eine Besonderheit hinzu “.vehu” Verlängerung;
  • Löscht Volume-Schattenkopien, um dem Opfer Versuche zur Datenwiederherstellung unmöglich zu machen;
  • Fügt der HOSTS-Datei eine Liste von Domänen hinzu, um den Zugriff auf bestimmte sicherheitsrelevante Websites zu blockieren;
  • Installiert einen Passwort-stehlenden Trojaner auf dem System, wie Vidar Stealer oder RedLine Stealer;
  • Schafft es, a zu installieren SmokeLoader-Hintertür;
ErholungBeginnen Sie die Genesung mit einer umfassenden Antiviren-Scan. Allerdings sind möglicherweise nicht alle Dateien wiederherstellbar, Unser Leitfaden beschreibt mehrere mögliche Methoden, um wieder Zugriff auf verschlüsselte Dateien zu erhalten.

Die Djvu-Ransomware startet ihre Aktivitäten durch die Nutzung mehrstufiger Shellcodes, was zur Dateiverschlüsselung führt. Zusätzlich, Die Malware integriert Schleifen, um ihre Ausführungsdauer zu verlängern, Dadurch wird es für Sicherheitssysteme schwieriger, die Malware zu identifizieren.

Auch, Die Djvu-Ransomware nutzt eine dynamische API-Auflösung, um heimlich auf wichtige Tools zuzugreifen. Später, Es nutzt den Prozess der Aushöhlung, Es wird eine Nachbildung seiner selbst geschaffen, die als ein weiterer Prozess getarnt ist, um seine wahre Absicht zu verbergen.

How Vehu ransomware infect my PC?

Cyberkriminelle verbreiten Ransomware auf verschiedene Weise. Djvu-Ransomware wird häufig über Raubkopien verbreitet (oder Cracking-Tools und Schlüsselgeneratoren) und zwielichtige Seiten, die sich als Plattformen zum Herunterladen von Videos von YouTube ausgeben. Auch E-Mails mit schädlichen Anhängen und Links werden als Verbreitungskanäle für Schadsoftware genutzt.

Zusätzlich, Computerinfektionen können durch Software-Schwachstellen auftreten, böswillige Werbung, kompromittierte Websites, Drive-by-Downloads, kompromittierte USB-Laufwerke, P2P-Netzwerke, inoffizielle Seiten, und ähnliche Kanäle. Gesamt, Die meisten Cyberkriminellen zielen darauf ab, Benutzer dazu zu verleiten, Aktionen auszuführen, die zu Computerinfektionen führen.

Wie zu entfernen?

Remove Vehu Virus with Gridinsoft Anti-Malware

Seitdem nutzen wir diese Software auch auf unseren Systemen, und es war immer erfolgreich bei der Erkennung von Viren. Es hat die gängigste Ransomware blockiert Das haben unsere Tests gezeigt mit der Software, and we assure you that it can remove Vehu Virus as well as other malware hiding on your computer.

Gridinsoft Anti-Malware - Hauptbildschirm

So verwenden Sie Gridinsoft zum Entfernen bösartiger Bedrohungen, folgen Sie den unteren Schritten:

1. Beginnen Sie mit dem Herunterladen von Gridinsoft Anti-Malware, zugänglich über den blauen Button unten oder direkt von der offiziellen Website Gridinsoft.com.

JETZT DOWNLOADEN

2.Einmal die Gridinsoft-Setup-Datei (setup-gridinsoft-fix.exe) wird heruntergeladen, Führen Sie es aus, indem Sie auf die Datei klicken. Follow the installation setup wizard's instructions diligently.

Gridinsoft-Setup-Assistent

3. Greife auf ... zu "Registerkarte „Scannen“." on the application's start screen and launch a comprehensive "Kompletter Suchlauf" um Ihren gesamten Computer zu untersuchen. Dieser umfassende Scan umfasst den Speicher, Startelemente, die Registrierung, Dienstleistungen, Fahrer, und alle Dateien, Es stellt sicher, dass an allen möglichen Orten versteckte Malware erkannt wird.

Scan for Vehu Virus Ransomware

Sei geduldig, as the scan duration depends on the number of files and your computer's hardware capabilities. Nutzen Sie diese Zeit, um sich zu entspannen oder sich anderen Aufgaben zu widmen.

4. Nach Fertigstellung, Anti-Malware erstellt einen detaillierten Bericht mit allen erkannten schädlichen Elementen und Bedrohungen auf Ihrem PC.

The Vehu Virus was Found

5. Wählen Sie alle identifizierten Elemente aus dem Bericht aus und klicken Sie sicher auf "Jetzt säubern" Taste. Durch diese Aktion werden die schädlichen Dateien sicher von Ihrem Computer entfernt, Übertragen Sie sie in die sichere Quarantänezone des Anti-Malware-Programms, um weitere schädliche Aktionen zu verhindern.

The Vehu Virus has been removed

6. Wenn aufgefordert, Starten Sie Ihren Computer neu, um den vollständigen Systemscanvorgang abzuschließen. Dieser Schritt ist entscheidend, um eine gründliche Entfernung aller verbleibenden Bedrohungen sicherzustellen. Nach dem Neustart, Gridinsoft Anti-Malware wird geöffnet und zeigt eine Bestätigungsmeldung an Abschluss des Scans.

Denken Sie daran, dass Gridinsoft eine 6-tägige kostenlose Testversion anbietet. Das bedeutet, dass Sie den Testzeitraum kostenlos nutzen können, um alle Vorteile der Software zu nutzen und zukünftige Malware-Infektionen auf Ihrem System zu verhindern. Embrace this opportunity to fortify your computer's security without any financial commitment.

Videoanleitung

How To Decrypt .vehu Files?

Erste, Versuchen Sie, das zu löschen “.vehu” Erweiterung aus ein paar großen Dateien und öffnen Sie sie dann. Diese Malware hat Probleme mit der Verschlüsselung großer Dateien. Entweder konnte der Virus die Datei beim Zugriff nicht sperren oder es ist ein Fehler aufgetreten und es wurde versäumt, die Dateimarkierung hinzuzufügen. Wenn Ihre Dateien eine Größe von mehr als 2 GB haben, Letzteres Szenario ist wahrscheinlicher.

Kriminelle veröffentlichten die neuesten Erweiterungen etwa Ende August 2019 nach mehreren Änderungen.

Die von den Kriminellen vorgenommenen Änderungen führten dazu, dass STOPDecrypter nicht mehr unterstützt wurde, Dies führte zu seinem Ersatz durch den von Emsisoft entwickelten Emsisoft Decryptor für STOP Djvu Ransomware.

  1. Laden Sie das Entschlüsselungstool herunter und führen Sie es aus: Herunterladen Entschlüsselungstool. Stellen Sie sicher, dass Sie das Entschlüsselungsdienstprogramm als Administrator ausführen und den Lizenzbedingungen zustimmen, die durch Klicken auf angezeigt werden “Ja” Taste. Beim Akzeptieren der Lizenzbedingungen.
  2. Wählen Sie Ordner zur Entschlüsselung aus: Der Entschlüsseler, standardmäßig, wählt automatisch Verzeichnisse auf verbundenen Laufwerken und Netzwerklaufwerken zur Entschlüsselung aus. Benutzen Sie die “Hinzufügen” Klicken Sie auf die Schaltfläche, um weitere Standorte auszuwählen. Abhängig von der Malware-Familie, Entschlüsseler bieten verschiedene Optionen, die Sie auf der Registerkarte „Optionen“ ein- oder ausschalten können. Unten, Sie finden eine detaillierte Liste der aktuell aktiven Optionen.
  3. Starten Sie die Entschlüsselung, indem Sie auf klicken “Entschlüsseln” Taste. Nachdem Sie alle gewünschten Orte zur Liste hinzugefügt haben, drücke den “Entschlüsseln” Klicken Sie auf die Schaltfläche, um den Entschlüsselungsvorgang zu starten. Der Entschlüsseler informiert Sie über den Abschluss des Entschlüsselungsvorgangs. Bei Bedarf zur Dokumentation, Sie können den Bericht speichern, indem Sie auf klicken “Protokoll speichern” Taste. Es ist auch möglich, den Bericht in Ihre Zwischenablage zu kopieren, um ihn in E-Mails oder Nachrichten einzufügen.

How to Restore .vehu Files?

In manchen Fällen, Ransomware kann Ihre Dateien nicht verschlüsseln…

The Vehu ransomware encryption process involves encrypting each file byte-by-byte, ein Duplikat erstellen, und dann löschen (nicht überschreiben) die Originaldatei. Diese Löschung bedeutet, dass die physische Festplatte die Datei nicht mehr in ihrem System auflistet, obwohl die Originaldatei auf dem Laufwerk verbleibt. Der Sektor, in dem sich die Datei befand, könnte sie noch enthalten, aber da das System es nicht auflistet, Neue Daten können es überschreiben. Jedoch, Spezielle Software kann Ihre Dateien wiederherstellen.

Lösung 1Lösung 2
Dieser Virus hat es geschafft, zwei Antivirenprogramme und zwei Malware-Bekämpfer zu umgehen und meinen PC zu infizieren.

Mir wurde klar, dass es sich um einen Online-Algorithmus handelte, Ich wusste, dass es unmöglich war, meine verschlüsselten Dateien wiederherzustellen. Mein Backup-Laufwerk, während der Infektion verbunden, schien ebenfalls infiziert zu sein. Jeder Ordner auf meinem Sicherungslaufwerk schien verschlüsselt zu sein. Trotz dieses, Es gelang mir, mich fast zu erholen 80% meines 2 TB Speichers.

Untersuchen der Ordner, Ich habe in jedem Lösegeldscheine gefunden. Beim Öffnen einiger Dateien stellte sich heraus, dass nur Dateien, die sich nicht in Unterordnern befanden, verschlüsselt waren. Durchsuchen von Unterordnern in anderen Ordnern, Ich habe unverschlüsselte Dateien entdeckt. Im Gegensatz zu meinen Laufwerken C und D, wo jeder Ordner, inklusive Unterordner, wurde verschlüsselt, Die Unterordner meines Backup-Laufwerks wurden gespeichert 80% meiner Daten.

Ich halte es für ein Glücksfall, diese Lücke auf meinem Backup-Laufwerk zu finden. Zusätzlich, Ich habe noch einen gefunden 10% meiner Daten von einer Festplatte auf einem anderen PC. Daher, Mein Rat für die Verwendung eines Backup-Laufwerks ist, Unterordner zu erstellen. Zum Teil war es Glück, aber auch das Unglück, dass der Virus während der Dateiübertragung von meinem Backup aufgefallen ist.

Ich hoffe, dass diese Erfahrung anderen in ähnlichen Schwierigkeiten helfen kann.

Jamie Newland
Here are some tips for Vehu file recovery and repair (anwendbar auf alle STOP/DJVU-Varianten):

  • Überprüfen Sie tiefer verschachtelte Ordner, da einige Stop/Djvu-Varianten diese nicht verschlüsseln können, Sie bleiben unverschlüsselt.
  • Da diese Ransomware verschlüsselte Daten in einer neuen Datei speichert und das Original löscht, Es besteht die Möglichkeit, Teile der gelöschten Datei mithilfe einer Dateiwiederherstellungssoftware wiederherzustellen. Obwohl eine Wiederherstellung der Ordnerstruktur unwahrscheinlich ist, Ein Tool wie PhotoRec könnte gut funktionieren.
  • Die Ransomware verschlüsselt Dateien teilweise (über das Erste 150 KB), Dies ermöglicht die Wiederherstellung des unverschlüsselten Teils je nach Dateigröße und -typ.
    • Joep
    Brendan Smith
    Brendan Smith
    IT-Sicherheitsexperte
    Versuchen Sie, die GridinSoft Anti-Malware zu verwenden
    Vergessen Sie nicht, Ihre Erfahrungen bei der Lösung des Problems mitzuteilen. Bitte hinterlassen Sie hier einen Kommentar! Dies kann anderen Opfern helfen zu verstehen, dass sie nicht allein sind. Und gemeinsam werden wir Wege finden, mit diesem Problem umzugehen.
    Anti-Malware
    JETZT DOWNLOADEN
    Gridinsoft Anti-Malware 6-Tage-Testversion verfügbar.
    EULA | Datenschutzrichtlinie | 10% Rabatt-Gutschein

    Recover Vehu Files with PhotoRec

    PhotoRec, Entwickelt für die Wiederherstellung von Dateien von beschädigten Festplatten oder versehentlichem Löschen, Unterstützt jetzt die Wiederherstellung 400 Datentypen, making it useful after a Vehu attack.

    Erste, Laden Sie PhotoRec herunter. Es ist kostenlos, Der Entwickler bietet jedoch keine Garantie für die Dateiwiederherstellung. PhotoRec wird mit TestDisk geliefert, ein anderes Tool vom gleichen Entwickler, unter dem Namen TestDisk. Jedoch, PhotoRec ist im Archiv enthalten.

    Um PhotoRec zu starten, öffne das “qphotorec_win.exe” Datei. Es ist keine Installation erforderlich, da das Programm alle erforderlichen Dateien enthält, sodass es von einem USB-Laufwerk ausgeführt werden kann.

    1. Meine Dateien werden durch Ransomware verschlüsselt, was sollte ich jetzt tun?

    Sie können auch mögen

    Über den Autor

    Brendan Smith

    I'm Brendan Smith, ein leidenschaftlicher Journalist, Forscher, und Entwickler von Webinhalten. Mit großem Interesse an Computertechnologie und Sicherheit, Ich bin auf die Bereitstellung hochwertiger Inhalte spezialisiert, die den Lesern die Orientierung in der digitalen Landschaft erleichtern und ihnen dabei helfen, sich zurechtzufinden.

    Konzentriert sich auf Computertechnologie und Sicherheit, Ich setze mich dafür ein, mein Wissen und meine Erkenntnisse zu teilen, um Einzelpersonen und Organisationen dabei zu helfen, sich im digitalen Zeitalter zu schützen. Meine Expertise in Cybersicherheitsprinzipien, Datenprivatsphäre, und Best Practices ermöglichen es mir, praktische Tipps und Ratschläge zu geben, die Leser umsetzen können, um ihre Online-Sicherheit zu verbessern.

    Alle Beiträge anzeigen

    Hinterlasse einen Kommentar