CrY-TrOwX-Ransomware Entfernen

-
 0
Typ: Erpressersoftware(Ransomware)
 

Beim Ransomware-Virus CrY-TrOwX handelt es sich um eine Variante des vielfach genutzten quelloffenen Codes von Hidden Tear. Deshalb zählt er zu den auf Hidden Tear basierenden Schädlingen wie Katafrack und WanaDie. Der CrY-TrOwX-Virus lässt sich wegen seiner Payload CrY.exe auch als CrY abkürzen. Es ist nicht schwierig, ihn zu identifizieren, da Sicherheits-Tools bereits ihre Signaturen entsprechend aktualisiert haben. Folgende Labels stehen für diesen Erpressungstrojaner: Gen:Heur.Ransom.HiddenTears.1, FileRepMetagen [Malware], Win32.Trojan.WisdomEyes.16070401.9500.9905 und so weiter. Mehr oder weniger alle Antivirenprogramme stufen ihn als bösartig ein.

Der Kryptovirus CrY-TrOwX basiert auf dem Hidden-Tear-Projekt und fügt die Endung .locked an

Selbst ohne eingehendere Analyse der Krypto-Malware CrY-TrOwX gehen wir davon aus, dass es sich nicht um einen besonders ausgefeilten Erpressungstrojaner handelt. Ein untrügliches Zeichen dafür ist, dass er auf Hidden Tear basiert. Das ist aber noch nicht alles, was für Pfusch spricht. Anscheinend steht das Simple Mail Transfer Protokoll (SMTP) der Hacker offen wie ein Scheunentor. Sicherheitsforscher können es nicht fassen, dass die Gauner ihre öffentliche E-Mail-Adresse im Code hinterlassen haben. Das ist sehr schlampig. Wollten hier Amateure etwa Erpresser spielen? Falls ja, sind sie auf ganzer Linie gescheitert.


CrY-TrOwX virus

Beim Autor des Kryptovirus CrY-TrOwX handelt es sich offenbar um eine Person mit dem Nickname „ismail“. Die Erweiterung, mit der die verschlüsselten Dateien versehen werden, lautet .locked. Dieses Feature ist Standard be einer langen Reihe von Erpressungstrojanern, die ebenfalls diese Endung nutzen: Cyber Police Locker, jCandy und RedBoot.

Die Lösegeldforderung dieses Virus nennt sich READ_AND_CRY.txt. Der Text ist sehr kurz, und die Opfer erhalten sehr wenig Information über den geforderten Betrag zum Entschlüsseln. Sie werden aufgefordert, sich über die E-Mail-Adresse kaya.kyasor99@yandex.com an die Hacker zu wenden. Wenn Sie das tun, werden die Gauner Ihnen vermutlich die Höhe des Lösegelds und die Bitcoin-Wallet dafür nennen (Bitcoins strategic place in ransomware). Was immer Sie auch unternehmen, zahlen Sie keinesfalls das Lösegeld. Das zeigt den Hackern nur, dass Sie weiterhin Erpresser spielen und Geld von unschuldigen Opfern fordern können.

Mögliche Methoden, um .locked Dateien zu entschlüsseln

Wenn der Krypto-Virus CrY-TrOwX Ihr System kompromittiert hat, raten wir Ihnen, Ruhe zu bewahren. Haben Sie von den soeben verschlüsselten Dateien noch Sicherheitskopien? Haben Sie diese vorher auf einem USB-Stick oder einem Online-Speicher gesichert? Falls ja, zögern Sie nicht, die Infektion zu entfernen und alle verlorenen Dateien wiederherzustellen. Wenn Ihnen diese Option jedoch nicht zur Verfügung steht, wird es schwierig.

Es gibt keinen offiziellen Dekryptor für diese Ransomware. Sie können es aber mit einem der universalen Tools zur Datenrettung probieren, die wir Ihnen am Ende dieses Artikels empfehlen. Sie sollten auch überprüfen, ob die Hacker die Volumenschattenkopien entfernt haben: Falls diese noch vorhanden sein sollten, werden Sie mühelos Ihre Dateien wiederherstellen können. IN Zukunft sollten Sie aber Back-ups Ihrer Dateien anlegen. Angesichts der steigenden Anzahl von Erpressungstrojanern ist das unserer Meinung nach entscheidend für Ihre Sicherheit.

Wie man Erpressungstrojanern wie der CrY-TrOwX-Malware vorbeugt

Der Kryptovirus CrY-TrOwX könnte über gefälschte E-Mails verbreitet worden sein. Wenn Sie bemerken, dass Sie von Unbekannten kontaktiert wurden, laden Sie bitte keine Anhänge herunter und klicken nicht auf Links. Wenn Sie das dennoch machen, könnte bösartige Software sehr leicht in Ihr System eindringen und enormen Schaden anrichten. Außerdem ist es sehr wichtig, dass Sie sich von unbekannten Webseiten fernhalten und nicht mit Pop-ups interagieren. Sonst könnte bösartige Software leichtes Spiel mit Ihrem Gerät haben.

Um ein Betriebssystem virenfrei zu halten, empfehlen wir Ihnen, ein Anti-Malware-Tool zu installieren, das Sie unter allen Umständen beschützt. Reimage ist ein zuverlässiges Programm, das Ihr Gerät bestimmt vor bösartiger Software schützt. Installieren Sie es, lassen Sie regelmäßige Scans laufen und Sie können ein unbeschwertes Surferlebnis genießen. Das Programm wird auch gegenüber Parasiten keine Gnade zeigen, die es schaffen, in Ihren Computer einzudringen.

Wie entferne ich CrY-TrOwX-Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.


für Windows 7 / Vista/ XP
  • Start → Herunterfahren → Neu starten → OK.
  • Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
  • Wählen Sie den abgesicherten Modus mit Eingabeaufforderung. Windows 7 enter safe mode

für Windows 8 / 10
  • Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten. Windows 8-10 restart to safe mode
  • Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
  • Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung. Windows 8-10 enter safe mode

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
  • Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
  • Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter. CMD commands
  • Klicken Sie im nächsten Fenster auf „Weiter“. Restore point img1
  • Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem CrY-TrOwX-Ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“Restore point img2
  • Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“. Restore point img3

Shritt 2. Schließen Sie die Entfernung von CrY-TrOwX-Ransomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Reimage, Spyhunter, zu scannen und alle betrügerischen Dateien, die mit CrY-TrOwX-Ransomware in Verbindung stehen, zu entfernen.


Shritt 3. Stellen Sie die von CrY-TrOwX-Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht CrY-TrOwX-Ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.


Previous version
b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Data Recovery Pro

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

     
 
 
Januar 8, 2018 13:47, Januar 8, 2018 13:47
 
   
 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.