HitmanPro.Kickstart

Bedienungsanleitung
HitmanPro.Kickstart – Bedienungsanleitung
Seite 1
Inhaltsverzeichnis
1
Einführung ..................................................................................................................................................................................... 3
2
Übersicht über Ransomware .................................................................................................................................................. 4
3
Verwendung von HitmanPro.Kickstart ............................................................................................................................... 6
4
Erstellen eines USB-Speichersticks mit HitmanPro.Kickstart ..................................................................................... 7
5
Entfernen von Ransomware unter Einsatz des HitmanPro.Kickstart-USB-Speichersticks............................ 11
5.1 Beispiel für die Entfernung von Ransomware ..................................................................................................... 15
6
Aktualisieren der Dateien auf dem USB-Speicherstick .............................................................................................. 20
6.1 Speichern anderer Dateien auf dem Speicherstick ........................................................................................... 20
7
Vergleich ...................................................................................................................................................................................... 21
HitmanPro.Kickstart – Bedienungsanleitung
Seite 2
1 Einführung
In dieser Anleitung wird beschrieben, wie ein von Ransomware befallener PC mithilfe von
HitmanPro.Kickstart bereinigt werden kann. Zielleserschaft der Anleitung sind technisch nicht
bewanderte Endbenutzer, die sich einem nicht zugänglichen Computer gegenübersehen, aber auch
Supportmitarbeiter, die ein Tool zur Beseitigung von Ransomware benötigen.
Die Anleitung enthält Erläuterungen zur Erstellung eines HitmanPro.Kickstart-Speichersticks und zu
dessen Verwendung bei der Bereinigung eines von Ransomware befallenen Computers.
Mithilfe von HitmanPro.Kickstart kann ein Computer über ein USB-Flashlaufwerk zum Entfernen von
Schadsoftware, die eine Sperrung des Computers verursacht, gestartet werden.
HitmanPro ist ein zusätzlicher Virenscanner, der dazu dient, Rechner, die trotz aktueller EchtzeitAntivirensoftware mit Viren, Spyware, Trojanern, Rootkits oder sonstiger Schadsoftware infiziert
wurden, von diesen zu befreien.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 3
2 Übersicht über Ransomware
1
Die folgende Erläuterung des Begriffs „Ransomware“ stammt von der Europol-Website .
Bei einem Ransomware-Angriff erscheint in der Regel ein Popupfenster auf dem Bildschirm,
das angeblich von einem Exekutivorgan stammt und in dem der Benutzer des Besuchs
illegaler Websites beschuldigt wird. Die Anzeige ist gesperrt, und in der Meldung wird
erklärt, dass sie nur nach Zahlung eines Bußgelds wieder entsperrt werde. Die Forderungen
sind häufig landesspezifisch, in der Landessprache des Opfers verfasst und stammen
angeblich von einem in dem jeweiligen Land existierenden Exekutivorgan. Auch nach
Zahlung des Bußgelds wird der Computer jedoch erst dann entsperrt, wenn die
Ransomware erfolgreich beseitigt wurde.
Angriffe dieser Art wurden erstmals 2011 beobachtet, bis dato sind ihnen bereits tausende
unschuldige Bürger zum Opfer gefallen.
Ransomware ist ein großes Geschäft, mit dem organisierte Verbrecherbanden Millionen
Euro erpressen. Das Geld wird häufig zur Finanzierung anderer krimineller Machenschaften
weltweit verwendet. Die Bekämpfung dieser Art Schadsoftware ermöglicht nicht nur den
Bürgern eine gefahrlosere Nutzung des Internets, sie hilft auch beim Kampf gegen das
organisierte Verbrechen.
Wenn ein Computer mit Ransomware infiziert ist, wird also ein angeblich von einer Behörde oder der
Polizei entsandter Bußgeldbescheid angezeigt, und behauptet, dass der Computer erst nach dessen
Zahlung wieder freigegeben wird. In den meisten Fällen ist der Zugriff auf den Desktop gesperrt, und
es kann kein anderes Programm mehr gestartet werden. Abb. 1 zeigt Beispiele der Anzeigen, die bei
einer Infizierung mit Ransomware erscheinen können.
1
https://www.europol.europa.eu/content/news/%EF%BB%BF-europol-hosts-expert-meeting-combat-spread-police-ransomware-1583
HitmanPro.Kickstart – Bedienungsanleitung
Seite 4
Abb. 1: Beispiele für Ransomware
HitmanPro.Kickstart – Bedienungsanleitung
Seite 5
3 Verwendung von HitmanPro.Kickstart
Ist ein Computer mit Ransomware infiziert, wird er bei jedem Startversuch gesperrt, und ein
Popupfenster wird angezeigt. Ein Antivirenprogramm oder ein anderes Programm zur Beseitigung
dieser Schadsoftware kann nicht gestartet werden. Wie wird man die Ransomware nun wieder los?
Es gibt diverse Start-CDs oder Wiederherstellungs-CDs, die man verwenden kann, um eine Beseitigung
der Ransomware zu versuchen. Bei all diesen CDs erfolgt jedoch der Start in eine ungewohnte
Umgebung. Es gibt beispielsweise Wiederherstellungs-CDs für den Start einer Linux-Variante, die
spezielle Tools für einen Festplattenscan bieten. Für die meisten Endbenutzer, die keine tiefgreifenden
Computerkenntnisse besitzen, ist die Verwendung dieser CDs jedoch zu schwierig. Macht der Benutzer
einen Fehler, kann das Windows-System beschädigt werden.
Deshalb wurde HitmanPro.Kickstart entwickelt. Die Anwendung ist auf den einfachen Einsatz durch
Personen ohne besondere Computerkenntnisse zugeschnitten und lässt doch keine der Leistungen der
HitmanPro-Antischadsoftware vermissen. Der Benutzer muss lediglich seinen Computer über den
HitmanPro.Kickstart-USB-Stick starten. Die Programme auf dem Speicherstick gewährleisten, dass ein
Start in das gewohnte Windows-System erfolgt und HitmanPro in diesem gestartet wird. Alle für
Geräte erforderlichen Treiber sowie sämtliche WLAN-Kennwörter (und wer kann sich die schon
merken?) stehen problemlos zur Verfügung. Außerdem muss sich der Benutzer nicht mit den Tools
eines anderen Betriebssystems wie etwa Linux vertraut machen. Manuelle Arbeitsschritte, etwa eine
Bearbeitung der Registrierung, die mit dem Risiko der Beschädigung des Windows-Systems
einhergehen, sind nicht erforderlich. Abschnitt 7 enthält einen detaillierten Vergleich der Funktionen
von HitmanPro.Kickstart und erhältlicher Wiederherstellungs-CDs.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 6
4
Erstellen eines USB-Speichersticks mit HitmanPro.Kickstart
Zur Erstellung eines USB-Speichersticks mit HitmanPro.Kickstart benötigen Sie Zugriff auf einen
Computer, auf dem HitmanPro gestartet werden kann und einen USB-Speicherstick mit einer Kapazität
von mindestens 32 MB. Hinweis: Auf dem Speicherstick vorhandene Dateien werden während der
Erstellung gelöscht.
Starten Sie zunächst HitmanPro. Es wird nun das in Abb. 2 gezeigte Fenster geöffnet.
Abb. 2: Hauptfenster von HitmanPro
Klicken
Sie
auf
das
Kickstart-Symbol.
Daraufhin
wird
das
Fenster
zur
Erstellung
eines
HitmanPro.Kickstart-USB-Speichersticks angezeigt (s. Abb. 3).
Abb. 3: Fenster zur Erstellung eines HitmanPro.Kickstart-USB-Speichersticks
HitmanPro.Kickstart – Bedienungsanleitung
Seite 7
Schließen Sie jetzt den USB-Speicherstick für die Speicherung der HitmanPro.Kickstart-Dateien an.
Sobald der Speicherstick erkannt wird, wird er in dem in Abb. 4 gezeigten Fenster zur Auswahl
angeboten. In diesem Fenster werden alle verfügbaren USB-Speichersticks angezeigt.
Abb. 4: Auswahl des USB-Speichersticks
Wählen Sie den gewünschten USB-Speicherstick aus, und klicken Sie auf „Kickstart installieren“ (s. Abb.
5).
Abb. 5: USB-Speicherstick ausgewählt
HitmanPro.Kickstart – Bedienungsanleitung
Seite 8
Es wird eine Warnmeldung darüber angezeigt, dass sämtliche Daten auf dem ausgewählten
Speicherstick gelöscht werden (s. Abb. 6).
Abb. 6: Warnmeldung vor dem Formatieren des Speichersticks
Wenn Sie hier auf „Ja“ klicken, wird der USB-Speicherstick formatiert. Sämtliche erforderlichen
HitmanPro.Kickstart-Dateien werden dann von den HitmanPro-Servern abgerufen und auf dem Stick
gespeichert. Der Fortschritt dieses Vorgangs wird am Bildschirm angezeigt (s. Abb. 7).
Abb. 7: Fortschrittsanzeige
HitmanPro.Kickstart – Bedienungsanleitung
Seite 9
Sobald der Vorgang abgeschlossen ist, wird das in Abb. 8 dargestellte Fenster angezeigt. Sie können
den USB-Speicherstick jetzt abnehmen und zum Entfernen von Schadsoftware verwenden.
Abb. 8: Erstellung des USB-Speichersticks abgeschlossen
Abb. 9 zeigt den Inhalt des neu erstellten HitmanPro.Kickstart-Speichersticks.
Abb. 9: Inhalt des HitmanPro.Kickstart-USB-Speichersticks
HitmanPro.Kickstart – Bedienungsanleitung
Seite 10
5 Entfernen von Ransomware unter Einsatz des HitmanPro.KickstartUSB-Speichersticks
Ist der HitmanPro.Kickstart-USB-Speicherstick erstellt, kann er jederzeit zur Bereinigung eines von
Ransomware befallenen Computers verwendet werden. Der Computer muss zu Beginn dieses
Vorgangs ausgeschaltet sein.
Schließen Sie den HitmanPro.Kickstart-USB-Speicherstick an einem USB-Anschluss des betroffenen
Computers an, und schalten Sie den Computer ein. Rufen Sie während des Startvorgangs das
Startmenü des BIOS auf, und wählen Sie den HitmanPro.Kickstart-USB-Speicherstick aus. Hinweis: Zum
Aufrufen des Startmenüs muss, je nach Computerhersteller, die Taste F8, F11 oder F12 gedrückt
werden.
Nach Auswahl des Speichersticks und Drücken der Eingabetaste wird folgende Meldung angezeigt:
Abb. 10 : Startmenü von HitmanPro.Kickstart
Drücken Sie die Taste 1 oder 2. Die Standardeinstellung ist 1. Bei dieser Option wird der Master Boot
Record (MBR) der Festplatte beim Starten übersprungen. Wird keine Taste gedrückt, dann wird der
Startvorgang unter Verwendung von Option 1 nach 10 Sekunden fortgesetzt.
Option 2 ist zu verwenden, wenn ein benutzerdefinierter Bootloader, beispielsweise Grub, auf der
Festplatte installiert ist, der sich im MBR befindet.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 11
Wird der Vorgang mit Option 1 fortgesetzt, dann wird die in Abb. 11 gezeigte Meldung angezeigt.
Abb. 11: Standardstartmethode
Nach 3 Sekunden wird der Start von der Festplatte aus fortgesetzt und Windows gestartet.
Wird eine Meldung wie z. B. die in Abb. 12 gezeigte angezeigt, wählen Sie „Windows normal starten“
aus. Diese Meldung kann angezeigt werden, wenn die letzte Windows-Sitzung nicht ordnungsgemäß
beendet wurde. Dies hat keinerlei Auswirkungen auf HitmanPro.Kickstart.
Abb. 12: Meldung „Windows-Fehlerbehebung“
Wenn Windows gestartet wurde, wird entweder ein Fenster zur Anmeldung eingeblendet (s. Abb. 13)
oder der Desktop angezeigt, falls das System für die automatische Anmeldung konfiguriert ist.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 12
Abb. 13: Windows-Anmeldefenster
Wird ein wie in Abb. 13 dargestelltes Anmeldefenster angezeigt, wählen Sie einen Benutzer und eine
Anmeldung aus. Alternativ hierzu warten Sie einfach 15 Sekunden ab, dann wird HitmanPro
automatisch im Anmeldefenster gestartet (s. Abb. 14).
Abb. 14: Start von HitmanPro im Anmeldefenster
HitmanPro.Kickstart – Bedienungsanleitung
Seite 13
Wenn Sie einen Benutzer ausgewählt haben, werden die zu dessen Konto gehörende Umgebung und
in dieser dann HitmanPro gestartet (s. Abb. 15).
Abb. 15: Start von HitmanPro auf dem Desktop des Benutzers
Hinweis: Bei der Entfernung der Ransomware ist es gleichgültig, ob HitmanPro im Anmeldefenster
oder auf dem Desktop eines Benutzers gestartet wurde.
Klicken Sie in HitmanPro auf „Weiter“, um einen Scan auszuführen und evtl. vorhandene Schadsoftware
zu entfernen.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 14
5.1
Beispiel für die Entfernung von Ransomware
Im Folgenden wird die Beseitigung von Ransomware am Beispiel eines mit Moneypack-Ransomware
infizierten Computers (s. Abb. 16) beschrieben.
Abb. 16: Moneypack-Ransomware
Wenn der Computer wie in Abschnitt 5 „Entfernen von Ransomware unter Einsatz des
HitmanPro.Kickstart-USB-Speichersticks“ beschrieben gestartet wurde, wird die Startseite von
HitmanPro (Abb. 14 oder Abb. 15) angezeigt.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 15
Beginnen Sie den Scan auf Schadsoftware nun mit einem Klick auf „Weiter“. Wenn HitmanPro zum
ersten Mal auf dem Computer gestartet wurde, wird das in Abb. 17 gezeigte Fenster angezeigt.
Abb. 17: Fenster „Setup“ von HitmanPro
In diesem Fenster können Sie auswählen, ob Sie HitmanPro auf dem Computer installieren oder den
Scan ohne Installation ausführen möchten (Abb. 18).
Abb. 18: Scan ohne Installation auf der Festplatte
HitmanPro.Kickstart – Bedienungsanleitung
Seite 16
Wenn Sie auf „Weiter“ klicken, beginnt der Scan. Wird Schadsoftware auf dem Computer erkannt, dann
wird eine entsprechende Meldung angezeigt (s. Abb. 19).
Abb. 19: Meldung bei Entdeckung von Schadsoftware
Klicken nun auf „Weiter“, um die Schadsoftware unter Quarantäne zu stellen. Dadurch wird diese in
einen sicheren Speicher verschoben und kann nicht mehr gestartet werden.
Wenn Sie Privatbenutzer sind, auf dem Computer keine gültige Lizenz vorhanden ist, und HitmanPro
auf dem Computer noch nie unter der kostenlosen Testlizenz verwendet wurde, wird das in Abb. 20
gezeigte Fenster aufgerufen. Hier können Sie die 30 Tage lang gültige Testlizenz aktivieren oder den
Produktschlüssel eingeben, wenn Sie die Anwendung gekauft haben.
Abb. 20: Aktivieren der Testversion
HitmanPro.Kickstart – Bedienungsanleitung
Seite 17
Wurde auf dem Computer die kostenlose Lizenz für HitmanPro zuvor schon einmal verwendet und ist
diese abgelaufen, wird das in Abb. 21 gezeigte Fenster aufgerufen. Das gleiche Fenster erscheint auch,
wenn der Computer kommerziell verwendet wird. In diesem Fall kann die Schadsoftware nur entfernt
werden, wenn ein gültiger Produktschlüssel eingegeben wird.
Abb. 21: Testlizenz abgelaufen
Sobald HitmanPro aktiviert wurde, können Sie auf „Weiter“ klicken, um die Entfernung der
Schadsoftware fortzusetzen. Wenn die Schadsoftware vollständig entfernt wurde, wird eine
entsprechende Meldung angezeigt (s. Abb. 22).
Abb. 22: Schadsoftware unter Quarantäne gestellt
HitmanPro.Kickstart – Bedienungsanleitung
Seite 18
Die Schadsoftware ist damit entfernt. Klicken Sie auf „Weiter“, um die Seite mit dem Ergebnis des
Vorgangs (s. Abb. 23) aufzurufen.
Abb. 23: Schadsoftware entfernt, Neustart erforderlich
Nehmen Sie jetzt den USB-Speicherstick ab, und klicken Sie auf „Schließen“ oder „Neustart“. Bei beiden
Optionen wird der Computer neu gestartet.
Der neu gestartete Computer ist jetzt von der Ransomware befreit. Es wird empfohlen, einen weiteren
Scan mit HitmanPro durchzuführen, um sicherzugehen, dass sämtliche Schadsoftware vom Computer
entfernt wurde.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 19
6 Aktualisieren der Dateien auf dem USB-Speicherstick
HitmanPro wird kontinuierlich verbessert, und neue Versionen werden regelmäßig veröffentlicht. Die
neuen Versionen müssen auf dem HitmanPro.Kickstart-USB-Speicherstick gespeichert werden, damit
sie für einen Einsatz zur Verfügung stehen.
Neue Versionen von HitmanPro können von der Website unter www.surfright.com heruntergeladen
und auf den USB-Speicherstick kopiert werden. Der jeweilige Dateiname muss „HitmanPro.exe“ oder
„HitmanPro_x64.exe“ lauten. Abb. 24 zeigt ein Beispiel der Dateinamen auf dem USB-Speicherstick.
Abb. 24: Inhalt des HitmanPro.Kickstart-USB-Speichersticks
Sie können HitmanPro auch auf einem nicht von Schadsoftware befallenen Computer unter Windows
direkt von dem USB-Speicherstick aus starten. Wenn es eine neue Version von HitmanPro gibt, werden
die Dateien auf dem Speicherstick automatisch aktualisiert. Hinweis: Wird HitmanPro.Kickstart zum
Starten eines infizierten Computers verwendet, erfolgt kein Update der Anwendungsdateien auf dem
Speicherstick.
6.1
Speichern anderer Dateien auf dem Speicherstick
Sie können den verbleibenden Speicherplatz auf dem HitmanPro.Kickstart-USB-Speicherstick zum
Speichern Ihrer eigenen Dateien nutzen. Wenn Sie darauf achten, dass die Dateien HitmanPro.exe,
HitmanPro_x64.exe und Kickstarter.exe auf dem Speicherstick verbleiben, hat das Speichern eigener
Dateien keinerlei Auswirkungen auf die Funktionsweise von HitmanPro.Kickstart.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 20
7 Vergleich
Die folgende Tabelle enthält einen Vergleich der Funktionen von HitmanPro.Kickstart und derzeit
verfügbarer Wiederherstellungs-CDs.
Wiederherstellungs-
Funktion
CD
HitmanPro.Kickstart
Kostenloses Produkt
Einfache Verwendung ohne besondere
Computerkenntnisse
Umgehung von MBR-Bootkits (Sektor 0)
Verwendung mehrerer Antivirenprogramme
1
Verhaltensscan zur Ermittlung von Zero-DaySchadsoftware
Aktualisierung von Virendefinitionen nicht erforderlich
Schnellscan (durchschn. unter 5 min)
Zugriff auf Internet ohne Eingabe der WLANAnmeldeinformationen
2
Verwendung hardwarespezifischer Windows-Treiber
auch bei ausgefallenen Konfigurationen
3
Einrichtung von Wiederherstellungspunkten
Ersetzung infizierter Systemdateien durch saubere
Versionen
Erstellung eines Startmediums in Einzelanwendung
integriert
Nachhaltig weil Speichermedium aktualisierbar
Eigenständiges Produkt (kein eingeschränkter
Antiviren-Teilsatz)
1
Einige CDs enthalten mehrere Antivirenprogramme, die meisten jedoch nicht.
2
Über Kickstart wird die Microsoft Windows-Umgebung, die bereits auf das WLAN-Netzwerk zugreifen
kann, gestartet.
3
Eine Linux-Umgebung unterstützt ggf. nicht sämtliche vorhandene Hardware.
HitmanPro.Kickstart – Bedienungsanleitung
Seite 21
Revisionsverlauf
Version
Autor
Anmerkungen
1.0
EE
Erstfreigabe
HitmanPro.Kickstart – Bedienungsanleitung
Seite 22