WannaCryptor Ransomware entfernen - wie man es los wird

 
UAB DIGIMA

Die letzten Märztage 2017 werden gewiss wegen des gehäuften Auftretens von Krypto-Viren in Erinnerung bleiben. Infektionen mit der auch als WannaCry bekannten Ransomware WannaCryptor traten zum Monatsende hin erstmals auf, ungefähr um den 26. März herum. Ein weiteres Produkt der Hacker, die diesen Virus entworfen haben, konnte aufgespürt werden. Der Vorgänger Wcry ebnete den Weg für WannaCryptor. Beide sind neueren Ursprungs (Wcry trat erstmals im Februar 2017 auf) und ihr oberstes Ziel ist klar: Schädliche Taktiken anwenden, um Geld von den Opfern zu erpressen. Interessanterweise hinterlässt der WannaCryptor-Virus einen Dropbox-Link, der zu einem Dechiffrierungsprogramm führt. Natürlich ist es in Wahrheit nicht ganz so einfach. Wenn Benutzer die ausführbare Datei herunterladen, dann wird sie in einem “Wanna”-Fenster darauf hinweisen, dass das Lösegeld 300 Dollar beträgt, damit die Datenrettungs-Software funktioniert. Die Summe entspricht etwa 0,28798 Bitcoins, also der von den Hackern geforderten Währung.

Analyse der WannaCryptor-Ransomware

Im Unterschied zum Vorgänger Wcry, der nur AES genutzt hat, kombiniert WannaCryptor AES- und RSA-Verschlüsselungen. Es scheint so, als ob die Hacker einen Schritt vorwärts machen wollten mit einer ausgefeilteren Ransomware, die noch mehr Furcht einflößen soll. Die Lösegeldforderung mit dem Titel !Please the Read Me.txt! liefert eine kurze Erklärung der Situation und bietet den Opfern an, eine Software zur Dechiffrierung herunterzuladen. Weitere Informationen stehen nicht in der Lösegeldforderung, aber selbstverständlich muss es weitere Details geben.

Offensichtlich handelt es sich bei der Wanna-Entschlüsselungs-Software um mehr als eine informative Quelle. An dem Fenster, das sich öffnet, nachdem die Opfer die Datei aus der Dropbox heruntergeladen haben, werden sie schnell merken, dass der Entschlüssler nicht funktioniert. Sobald man das Datei-Wiederherstellungs-Tool aufgerufen hat, beginnt eine Uhr rückwärts zu ticken. Nach einer gewissen Zeitspanne steigt das Lösegeld für die Entschlüsselung an. Nutzer können aus mehreren Abschnitten wie „About bitcoin“ (Über Bitcoin), „How to buy bitcoins“ (Wie man Bitcoins kauft) oder „Contact us“ (Kontakt) auswählen. Letzteres wird vermutlich irgendeine Art von Adresse liefern, die dabei hilft, mit den Autoren des WannaCryptor-Virus in Kontakt zu treten.

Zusätzlich verfügt die Software über eine Bitcoin-Wallet, die vermutlich dazu gedacht ist, das Lösegeld in Empfang zu nehmen. Wenn das Opfer zahlt, muss er oder sie auf „Check Payment“ (Zahlung überprüfen) klicken, um festzustellen, ob die Zahlung ihr Ziel erreicht hat. Jedoch ist das keine Garantie, dass die Erpresser ihren Teil der Abmachung tatsächlich erfüllen. Möglicherweise taugt der Entschlüssler gar nicht dazu, um alle von der Ransomware beschädigten Daten wiederherzustellen. In diesem Fall hat man 300 Dollar oder mehr völlig umsonst ausgegeben. Es gibt keine Meldungen, dass etwas an die verschlüsselten Daten angefügt worden wäre.

Hilfe bei der Daten-Wiederherstellung: WannaCrypt-Ransomware-Edition

Wir empfehlen nicht, für das Entschlüsselungs-Tool zu bezahlen, das die Autoren des WannaCryptor-Virus entworfen haben. Es könnte von Haus aus ohne Funktion sein und Ihr Geld wird daran nichts ändern. Hinzu kommt, dass Hacker normalerweise nicht gerade aufrichtig sind. Aus diesem Grunde interessieren sie sich wenig für ihre Opfer, sondern nur für deren Geld. Opfer der WannaCryptor-Ransomware werden auf einen Großteil ihrer Daten nicht mehr zugreifen können, aber haben Sie keine Angst: Sie können versuchen, Ihre Daten kostenlos retten. Dazu sollten Sie die folgenden Abschnitte lesen und sich mit Volumenschattenkopien und universellen Werkzeugen zur Datenrettung vertraut machen. Es gibt jedoch keinen Grund zu schwitzen, wenn Ihre Backup-Speicher voll mit Ihren wertvollen Daten sind. In diesem Fall genügt es, den WannaCryptor-Virus zu entfernen und mit der Entschlüsselung der übrigen Dateien weiterzumachen.

Wie greift die WannaCyryptor-Ransomware Geräte an?

Zwei der beliebtesten Angriffsvektoren zur Verteilung von Ransomware sind schädliche E-Mails und Infektionen durch Exploit-Kits. Ihr E-Mail-Eingang kann das Ziel von Ransomware-Programmierern sein. Diese werden Erpresserbriefe an Ihren Account senden. Es ist durchaus möglich, dass Sie bizarre E-Mails erhalten, die Sie über angeblich einzigartige Angebote informieren wollen oder Sie ermutigen, einen vermeintlichen großen Gewinn abzuholen. Klicken Sie keinesfalls auf die Links, die in solchen Schreiben zu finden sind. Ergänzend kommt hinzu, dass die üblichen Anhänge solcher Nachrichten alles andere als harmlose Dateien sind. Tatsächlich haben sie eine Ransomware als verborgene Nutzlast.

Opfer sollten mit der Ransomware sehr vorsichtig umgehen. Manuelles Entfernen ist möglich, aber das könnte eine Weile dauern. Anti-Malware-Tools wie Reimage, Spyhunter oder Malwarebytes verhelfen Benutzern zu einer schnelleren Lösung ihres Problems. Natürlich werden sie nicht beim Datenrettungsprozess behilflich sein, aber sie werden jede Spur von WannaCryptor beseitigen, sodass nichts mehr von ihm übrig bleibt.

Update vom 15. Mai 2017. Vermutlich haben Sie schon davon gehört, dass sich WannaCry wie ein Lauffeuer verbreitet hat. Nutzer rund um den Globus wurden infiziert. Das wiederum hat, wenig überraschend, das Interesse der Medien in aller Welt erregt. Selbst Großkonzerne waren von dieser erstaunlicherweise unerwarteten und massiven Ransomware-Attacke betroffen. WannaCry schaffte es in kürzester Zeit, sehr viele Rechner mit Windows-Betriebssystemen zu infizieren. Zum Glück konnte die weitere Ausbreitung der Infektion verhindert werden, aber Nutzer und Sicherheitsforscher empfehlen, dass die Leute die Warnungen ernst nehmen sollen. Es wurden bereits WannaCry-Nachahmer gesichtet. Manche davon sind noch in der Entwicklung. Der beste Weg, um sich abzusichern, ist es wichtige Updates einzuspielen, die Microsoft veröffentlicht hat. Zusätzlich sollten Sie Ihre digitalen Daten auf Backup-Speichern sichern.

Wie entferne ich WannaCryptor Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem WannaCryptor ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von WannaCrypt virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit WanaCrypt0r in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von WannaCry virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht WannaCry ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

Programme zur automatischen Entfernung von WannaCryptor Ransomware

 

Andere Werkzeuge

 
  0   0
    Malwarebytes Anti-Malware
 
Hinweis: Reimage findet Parasiten wie WannaCryptor ransomware und hilft Ihnen dabei, diese kostenlos zu entfernen.Sie können die entdeckten Dateien, Prozesse und Registry-Einträge selbst entfernen oder die Vollversion des Programms kaufen.  We might be affiliated with some of these programs. Full information is available in disclosure 

WannaCryptor Ransomware Bildschirmfotos

 
         
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.