Der CryForMe-Virus entfernen

Der CryForMe Ransomware-Virus ist eine In-Dev-Infektion, die derjenigen Kategorie von Samples angehört, die grob auf dem Open Source Hidden-Tear-Projekt basiert. Der Payload der letzteren Infektion heißt CryForMe.exe und daher kommt auch der Name der Infektion. Eine Person namens Marco wird als Autor gehandelt, aber seine wahre Identität ist unbekannt. Unter Berücksichtigung einiger Tipps, die nach einer Analyse dieses Samples entdeckt wurden, haben Sicherheitsanalysten festgestellt, dass der Virus aus Italien verbreitet wurde.

Der Virus enthält auch eine Charakteristik, die von Hackern bevorzugt wird: Ein Countdown, bis wann die Dateien entschlüsselt werden können. In diesem Fall haben sich die Autoren dazu entschieden, den Leuten genau 7 Tage zu geben, um ihre Bezahlungen zu tätigen und eine Chance zur Wiederherstellung ihrer Daten mit einem gegen die Bezahlung enthaltenen Entschlüsseler zu bekommen.

250 US-Dollar werden als Lösegeld angegeben, aber die Summe soll vie das Bitcoin-Zahlungssystem versandt werden. 0.09983 BTC ist die geforderte Summe, aber Sie sollten keine Bitcoins kaufen, um sie zu erbringen. In der Zahlungsbeschreibung werden die Betroffenen dazu aufgefordert, ihre Kontaktinformation zu hinterlassen: Name, PC-Name und eine E-Mail-Adresse. Wir haben aber wenig Vertrauen darin, dass die Hacker ihr Versprechen halten und den Betroffenen ein entsprechendes Entschlüsselungstool senden.

Diese Krypto-Virus fügt eine originale Extension an die verschlüsselten Dateien an, damit man sie von den nicht betroffenen unterscheiden kann. .cmf ist der Zusatz, den die gesperrten Dateien erhalten. Im Moment sollten Sie diese Endung aber noch nicht bemerken können, da die Malware noch nicht vollständig funktionsfähig ist. Sie wird noch entwickelt und könnte in den nächsten Tagen, Wochen oder vielleicht auch gar nicht eingeführt werden. Es ist aber plausibel, dass es ein anderer vergleichbarer Virus schafft, Ihren Computer zu beschädigen. Wenn nicht gerade diese spezifische Variante, gibt es noch viele ähnliche Samples, die im Moment aktiv sind.

Wir können Ihnen einige Empfehlungen geben, damit Sie genau wissen, wie Sie sich auf eine Ransomware-Attacke vorbereiten können. Als Erstes, haben wir absolut keine Zweifel daran, dass es irgendwann nützlich sein wird, seine Daten vorab in Backup-Orten abzuspeichern. Betroffene von Krypto-Viren haben üblicherweise Kopien ihrer Daten nur auf dem Hard-Drive. Wenn diese Samples einmal verschlüsselt werden, hängen diese Betroffenen von den Versuchen von Sicherheits-Forschern ab, einen gratis Entschlüsseler zu entwickeln. Wenn Sie mehrere Quellen für Ihre Dateien haben, werden Sie diese im Notfall wiederherstellen können.

Bevor Sie eine Chance zur Wiederherstellung der Daten haben werden, sollten Sie sich bewusst sein, dass eine Ransomware-Infektion sorgfältig entfernt werden sollte. Sie können dies mit Anti-Malware-Tools wie Spyhunter oder Plumbytes erreichen.

Die Infektion hinterlässt keinerlei .txt oder .html Dateien, sondern präsentiert ihre Lösegeld-Forderung als eine Bildschirmsperre. Das heißt, dass Ihnen vollständiger Zugang zum Betriebssystem verwehrt wird und Sie gezwungen werden, auf den blauen Bildschirm zu schauen, der alle nötigen Informationen über die Infektion enthält. Was auch immer Sie machen, empfehlen wir Ihnen nicht, zu versuchen Ihre Dateien zurückzubekommen, indem Sie die Forderungen der Hacker erfüllen. Mit der Zahlung des Lösegelds erhalten Sie Ihre Dateien nicht zurück: Es ist bekannt, dass Hacker den Betroffenen keine funktionsfähigen Schlüssel zur Entschlüsselung boten, auch wenn das Lösegeld bezahlt wurde.

Da die Ransomware noch nicht vollständig veröffentlicht wurde, können wir die Verteilungsmethoden nur erraten. Zum Beispiel, kann es sein, dass der bösartige Payload via E-Mails als Anhang versandt wird. In manchen Fällen wird Ransomware auch nach dem Öffnen eines schädlichen Links in ein Betriebssystem eingefügt. Es wurde festgestellt, dass Krypto-Viren auch mit sozialen Netzwerken verteilt werden. Wenn Sie in einem bizarren Post markiert werden oder eine komische Nachricht von einem Ihrer Freunde(oder Unbekanntem) erhalten, sollten Sie vorsichtig sein.

Wie entferne ich Der CryForMe-Virus mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.

für Windows 7 / Vista/ XP

• Start → Herunterfahren → Neu starten → OK.
• Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
• Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.

für Windows 8 / 10

• Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
• Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
• Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.

• Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
• Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
• Klicken Sie im nächsten Fenster auf „Weiter“.
• Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem CryForMe-Virus in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
• Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.

Shritt 2. Schließen Sie die Entfernung von Der CryForMe-Virus ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit CryForMe-Virus in Verbindung stehen, zu entfernen.

Shritt 3. Stellen Sie die von Der CryForMe-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht CryForMe-Virus, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.

b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.