Wana Crypt0r Ransomware

Die äußerst aggressive ransomwareartige Infektion Wana Crypt0r Ransomware (auch bekannt als WanaCry Ransomware, WannaCry Ransomware, WanaDecryptor Ransomware und WanaDecrypt0r Ransomware) wurde kürzlich von Experten, die auf dem Gebiet der Cybersicherheit arbeiten, entdeckt. Sie hat bereits mehr als 200.000 Computer in 150 Ländern befallen und ein Ende scheint nicht in Sicht zu sein, d. h. die Anzahl von infizierten Computern wird noch weiter steigen. Forscher haben keine Zweifel, dass diese Schadanwendung aufgrund ihrer speziellen Natur so viele Benutzer in Mitleidenschaft ziehen konnte – sie ist sowohl eine Ransomware-Infektion als auch ein Wurm. Genauer gesagt verbreitet sie sich wie ein Wurm, indem sie Netzwerk-Exploits verwendet, agiert aber wie eine Ransomware-Infektion, d. h. sie verschlüsselt die persönlichen Dateien von Benutzern, nachdem sie ihre Computer erfolgreich infiltriert hat. Es gibt einen Grund, aus dem sie sich so verhält – Cyberkriminelle haben sie derart entwickelt, dass sie problemlos Tausende von Computern infizieren und dann ein Lösegeld von deren Benutzern verlangen kann. Ja, ihr Hauptziel besteht darin, den Benutzern Geld aus der Tasche zu ziehen. An Ihrer Stelle würden wir den Cyberkriminellen keinen Cent schicken, weil die Entwickler der WanaCrypt0r Ransomware Ihr Geld zwar nehmen, Ihnen aber womöglich den versprochenen „Entschlüsselungsdienst“ nicht zur Verfügung stellen werden.

Wenn das System mit der Wana Crypt0r Ransomware infiziert wird, extrahiert das Installationsprogramm dieser Schadanwendung eine eingebettete Datei in denselben Ordner, in dem sie sich befindet. Diese „eingebettete Datei“ ist ein passwortgeschütztes .ZIP-Archiv, das alle Komponente enthält, die von der Ransomware-Infektion verwendet werden. Der Inhalt dieses Archivs wird extrahiert, einige Autostart-Aufgaben werden durchgeführt und der TOR-Client wird von https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip heruntergeladen (er wird benötigt, um mit dem C&C-Server zu kommunizieren). Danach wird der Befehl icacls . /grant Everyone:F /T /C /Q ausgeführt und bestimmte Prozesse werden beendet. Sobald die Infektion damit fertig ist, scannt sie alle Speicherplatten und findet eine Reihe von Dateien mit Erweiterungen wie .bat, .dotm, .dot, .docb, .odt, .sxc, .frm, .myd, .xls, .xlsm, .java, .jpg, .jpeg, .mkv, .zip, .rar und andere. Sie findet also zweifellos die wertvollsten Dateien und verschlüsselt sie dann allesamt, indem sie ihnen die folgende neue Dateinamenerweiterung anhängt: .WNCRYT oder .WNCRY. Zusätzlich dazu speichert sie in jeden Ordner, der verschlüsselte Dateien enthält, noch eine Ausführungsdatei, die ein Fenster mit einer Lösegeldforderung öffnet, sowie eine Textdatei mit FAQ.

Benutzer, die eine dieser Dateien öffnen, erkennen sofort, warum sie auf eine Reihe ihrer Dateien nicht zugreifen können und warum diese neue Erweiterungen besitzen – sie wurden alle von der Wana Crypt0r Ransomware verschlüsselt. Wie oben erwähnt, versucht diese Ransomware-Infektion den Benutzern Geld aus der Tasche zu ziehen, sodass es nicht verwunderlich ist, dass ihre Lösegeldforderung Benutzern am Anfang sagt, dass die einzige Methode, die Dateien wiederzuerlangen, darin besteht, ein Lösegeld zu bezahlen. Dies muss innerhalb von 7 Tagen geschehen; Benutzer, die jedoch entscheiden, das Risiko einzugehen und den Cyberkriminellen Geld zu senden, sollten innerhalb von 3 Tagen bezahlen, weil der Preis erhöht wird, wenn das Lösegeld später überwiesen wird (Sie können auf der linken Seite des Fensters, das durch einen Doppelklick auf @WanaDecryptor@.exe geöffnet werden kann, sehen, wie viele Tage noch übrig sind). Zum Zeitpunkt dieses Schreibens wurden Benutzer aufgefordert, 300 USD in der digitalen Währung Bitcoin zu überweisen; aber, um ehrlich zu sein, ist davon abzuraten, weil es keine Garantie gibt, dass die Dateien auch entschlüsselt werden, nachdem das Geld überwiesen wurde. Leider muss gesagt werden, dass das Zahlen des Lösegelds der einzige Weg ist, die Dateien zurückzuerhalten, weil die Wana Crypt0r Ransomware auch die Schattenkopien löscht, was bedeutet, dass kein kostenloses Daten-Wiederherstellungstool Ihnen helfen könnte. Natürlich bedeutet dies nicht, dass wir Ihnen nahe legen, den Cyberkriminellen zu geben, was sie von Ihnen verlangen.

Die Wana Crypt0r Ransomware wird nicht nur wegen ihrer Verhaltensweise auf betroffenen Computern als ausgeklügelte Crypto-Bedrohung bezeichnet, sondern auch, weil sie mithilfe des Exploits ETERNALBLUE verbreitet wird. Es sollte vor allem darauf hingewiesen werden, dass sie durch eine Wurm-Ausführungsdatei verbreitet wird. Sobald dieser Wurm sich im Computer befindet, überprüft er, ob er eine Verbindung zur Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com eine Verbindung herstellen kann. Falls dies der Fall ist, legt er keine Ransomware ab und wird beendet. Ansonsten extrahiert er ein .ZIP-Archiv in seinen eigenen Ordner, wenn er nicht in der Lage ist, eine Verbindung zur oben genannten Domain herzustellen. Wie bereits in diesem Artikel erwähnt, enthält das .ZIP-Archiv die Ransomware-Infektion. Zweifellos ist die Methode, die für die Verbreitung dieser Infektion verwendet wird, einzigartig, sodass es nicht verwunderlich ist, dass schon so viele Benutzer in so kurzer Zeit davon betroffen wurden.

Löschen Sie die Wana Crypt0r Ransomware so schnell wie möglich, wenn Sie für die Entschlüsselung der Dateien nicht bezahlen wollen. Tatsächlich ist es nicht sehr wahrscheinlich, dass diese Bedrohung automatisch aus Ihrem Computer verschwinden wird, selbst wenn Sie das Lösegeld bezahlen. Leider wird es nicht einfach sein, sie zu löschen, weil Sie alle ihre Komponenten einzeln löschen müssen. Dies könnte eine Herausforderung darstellen, also haben Experten, die bei entfernenspyware.de arbeiten, Anweisungen (siehe unten) für Sie bereitgestellt. Wenn Sie diese Infektion schneller entfernt haben wollen, scannen Sie Ihren Computer mit einem seriösen Malware-Entferner.

Manuelles Löschen der Wana Crypt0r Ransomware

  1. Löschen Sie @WanaDecryptor@.exe und @Please_Read_Me@.txt aus allen Ordnern, die verschlüsselte Dateien enthalten.
  2. Öffnen Sie den Windows-Explorer (drücken Sie Win-E).
  3. Öffnen Sie C:\Windows und finden Sie die Datei tasksche.exe.
  4. Löschen Sie sie.
  5. Gehen Sie zu C:\ProgramData und suchen Sie nach einem Ordner mit einem zufallsgenerierten Namen (z. B. cyyrgpdxins781).
  6. Wenn es Ihnen gelungen ist, ihn zu finden und er tasksche.exe enthält, löschen Sie den gesamten Ordner.
  7. Entfernen Sie alle kürzlich heruntergeladene Dateien.
  8. Leeren Sie den Papierkorb.
  9. Scannen Sie Ihren PC mit einem seriösen automatischen Scanner, um sicherzustellen, dass Sie keine einzige Komponente dieser Infektion übrig gelassen haben.

Antwort schreiben