FakeCry-Ransomware-Virus Entfernen

 

Auch wenn die meiste Aufmerksamkeit noch auf die massive Petya-Ransomware-Attacke (auch als ExPetr bekannt) richtet, ist bereits eine weitere alarmierende Bedrohung im Anmarsch – FakeCry-Ransomware, die auf die Ukraine abzielt.

Diese Infektion ist mit zwei kürzlich aufgetretenen Viren verwandt – Petya und WannaCry- Ransomware und wir werden Ihnen nun erklären, warum. Die Verbindung mit der Petya-Ransomware ist ziemlich offensichtlich – FakeCry war damit gebündelt. Wie Sie vielleicht wissen, infizierten sich die meisten Petya-Opfer über ein trojanisiertes Update der Software MeDoc, und anscheinend kam auch FakeCry auf diesem Weg. In diesem berüchtigten Update gab es eine Datei namens „ed.exe“. Genau diese Datei leitete die Installation des FakeCry-Ransomware-Virus ein und wurde von einem Eltern-Prozess namens „ezvit.exe“ aufgerufen, der für den Start der Petya-Ransomware verantwortlich ist. Um nun die Verbindung zum WannaCry-Virus aufzudecken, muss man ein kleines bisschen tiefer graben. Dieser Virus basiert auf der .NET-Plattform, und wenn Sie einen Blick darauf werfen, sehen Sie eine Programmzeile namens „WNCRY“.

Warum heißt dieser Schädling „FakeCry“? Weil er eine Programmzeile mit dem aufweist, in der „made in china“ steht – vergleichen Sie das mit dem Verweis auf WannaCry und Sie haben die Nachbildung einer wohlbekannten Infektion.


FakeCry ransomware virus

Wie die meiste Ransomware dieses Typs, versucht FakeCry Dateien zu sperren, indem es sie verschlüsselt und so den Zugriff darauf blockiert. Er kann die meisten der gebräuchlichsten Datei-Typen verschlüsseln. Hier ist eine vollständige Liste von ihnen:

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg,e ml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, sldm,vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, raw, cgm, tiff, nef, psd, ai, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, pl, vb,vbs, ps1, bat, cmd, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sql, sqlitedb, sqlite3, asc,l ay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der

Sehr ungewöhnlich ist das Feature „encryption overtake“ – wenn die Datei bereits von anderen Prozessen benutzt wird, kann FakeCry diesen Prozess abschießen und die Verschlüsselung durchführen.

Der Virus wird außerdem einen eigenen Ordner namens „DEMO_EXTENSIONS“ auf Ihrem Desktop anlegen, der entschlüsselte Bild-Dateien (z. B. jpg oder jpeg) enthält. Das dient als Beweis, dass die Angreifer die Fähigkeit besitzen, verschlüsselte Dateien zu entsperren, nachdem das Lösegeld gezahlt worden ist. Wir empfehlen jedoch nicht, das Lösegeld zu bezahlen. Auch wenn es nur 0,1 BTC (ca. 260 $) beträgt, gibt es keine Garantie, dass diese Dateien jemals entschlüsselt werden. Hinzu kommt, dass Sie durch die Lösegeldzahlung Cyber-Kriminelle unterstützen würden, und das sollte man keinesfalls tun. Laut Berichten wurden bislang sieben Lösegeldzahlungen geleistet.

Leider gibt es im Moment kein funktionierendes Entschlüsselungs-Tool, aber wir halten Sie auf dem Laufenden und werden diese Meldung aktualisieren, sobald eines verfügbar ist. Sie können Ihre Dateien wiederherstellen, wenn Sie eine saubere Kopie Ihrer Festplatte besitzen, die vor der Infektion erstellt wurde. Diese muss sich außerdem auf einem externen Speicher befinden, weil FakeCry auch Bakup-Dateien verschlüsseln kann. Hier ist unser Tutorial, wie man eine System-Wiederherstellung durchführt: http://www.2-viruses.com/how-to-do-a-system-restore. Es ist außerdem ratsam, Ihren Computer mit einer zuverlässigen Anti-Malware-Anwendung zu scannen, z. B. SpyHunter oder Reimage, um zu gewährleisten, dass sich keine anderen Viren auf Ihrem Computer befinden.



Programme zur automatischen Entfernung von FakeCry-Ransomware-Virus

 
 
Hinweis: Reimage findet Parasiten wie FakeCry-Ransomware-Virus und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.  We might be affiliated with some of these programs. Full information is available in disclosure

Wie entferne ich FakeCry-Ransomware-Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem FakeCry-Ransomware-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von FakeCry-Ransomware-Virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit FakeCry-Ransomware-Virus in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von FakeCry-Ransomware-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht FakeCry-Ransomware-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

FakeCry-Ransomware-Virus manuell entfernen

 
Prozesse stoppen:
     
 
 
Juli 28, 2017 08:25, August 9, 2017 13:02
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.