Viren

WannaCry Ransomware entfernen – .wncry-Dateien entschlüsseln

WannaCry Ransomware entfernen – .wncry-Dateien entschlüsseln

Eine abgewandelte Ransomware namens WannaCry macht derzeit weltweit große Schlagzeilen. Diese immense Aufmerksamkeit hat berechtigte Gründe. Der Virus hat mehrere große Unternehmen in Europa befallen und verbreitet sich weiter. Der Erpressungs-Trojaner verschlüsselt die Dateien der Zielcomputer und versieht sie mit der .WNCRY-Dateiendung.

Was ist WannaCry?

Der .WNCRY Virus, der auch als Wana Decrypt0r 2.0 existiert, steht für eine relativ neue Generation von Kryptogefahren. Äußerlich ähnelt er seinem Vorgänger WCRY oder auch WannaDecryptor 1.0. Die Urheber des Virus haben nur wenig mehr als einen Monat gebraucht, um eine aktualisierte Version ihrer Schadsoftware herauszubringen. Die neuste Variante präsentiert sich weitaus komplexer und robuster in den Bereichen Verbreitung, Verschlüsselung und bei der gewählten Erpressungsmethode. Die Geschwindigkeit der Verbreitung ist beispiellos: am 12. Mai 2017 befiel der Virus in nur wenigen Stunden 57.000 Computer.

Wana Decrypt0r 2.0

Die Erkennung der Variante ist recht unspektakulär. Nachdem der Trojaner die Schadenskette durchlaufen hat, konfiguriert er das Zielsystem so, dass ein neuer Desktop-Hintergrund erscheint, der einen Warnhinweis zeigt. Darüber hinaus öffnet sich ein Fenster mit dem Titel Wana Decrypt0r 2.0, in dem Details des Vorgangs beschrieben werden und eine Frist angegeben wird, bis zu der das Lösegeld übermittelt sein muss. Zu den Informationen auf diesem Bildschirmfenster gehören auch die Höhe der Lösegeldsumme, die $300 in Bitcoin beträgt, und die Bitcoin-Adresse, an die das digitale Lösegeld geschickt werden soll. Ein weiteres auffälliges Zeichen für den Befall eines Rechners sind die neuen Dateiendungen für die verschlüsselten Dateien. Die Liste der Erweiterungsnamen umfasst: .WNCRY, .WCRY, .WNRY und .WNCRYPT. Die erste .WNCRY ist während der aktuellen Angriffswelle besonders häufig vertreten. Die Dateinamen werden nicht verändert, die Opfer des Trojaners sehen also beispielsweise folgende Veränderung: Chart.xlsx würde zu Chart.xlsx.WNCRY.

@Please_Read_Me@.txt

Die Ransomware WannaCry hinterlässt außerdem eine .txt-Datei, um sicherzustellen, dass das Opfer die Entschlüsselungs-Anleitung der Angreifer nicht übersieht. Sie heißt @Please_Read_Me@.txt. Der Text weicht etwas von dem zuvor erwähnten Warnhinweis ab. Dort steht “What’s wrong with my files? Oooops, your important files are encrypted…” (Dt.: Was ist mit meinen Dateien los? Huch, ihre wichtigen Dateien wurden verschlüsselt….) Kurz gesagt, fordern die Verbrecher von ihren Opfern ein Lösegeld in Höhe von $300 in Bitcoin. Daraufhin soll eine Anwendung namens @wanadecryptor@.exe gestartet werden, die während des Angriffs auf dem Computer installiert wurde.

WannaCry-Virus Desktophintergrunds

Um sich selbst vor Entfernung zu schützen, zeigt der WannaCry-Trojaner ein paar Tipps auf dem Desktop Wallpaper. Sollte ein Antiviren-Programm des Anwenders die Wana Decrypt0r-Anwendung entfernt haben, findet sich dort eine Anleitung, wie das Opfer vorgehen muss. Die Nachricht auf dem Desktop enthält eine Anleitung, um die Schadsoftware neuzustarten, damit die Entschlüsselung nach der Bezahlung weiterhin durchgeführt werden kann. Alles in allem sieht es nach einem gut durchdachten Angriff aus, was darauf hindeutet, dass die Angreifer professionell sind und über erhebliche Erfahrung mit Erpressungssoftware verfügen.

Automatische Entfernung des WannaCry-Erweiterungs-Virus

Die Auslöschung dieser Ransomware kann mit zuverlässiger Sicherheitssoftware effizient erreicht werden. Wenn Sie sich an die automatische Reinigungstechnik halten, stellt das sicher, dass sämtliche Komponenten der Infektion von Ihrem System gründlich ausgelöscht werden.

1. Laden Sie ein empfohlenes Sicherheitsprogramm herunter und lassen Sie Ihren PC auf böswillige Objekte überprüfen durch Auswählen der Computer Jetzt Scannen Option

2. Der Scan wird eine Liste der erkannten Objekte anzeigen. Klicken Sie auf Bedrohungen Beheben, um das Virus und den damit verbundene Infektionen aus Ihrem System zu entfernen. Die Fertigstellung dieser Phase des Säuberungsprozesses wird höchstwahrscheinlich zur vollständigen Beseitigung der eigentlichen Pest führen. Jetzt stehen Sie vor einer größeren Herausforderung – versuchen Sie Ihre Daten zurückzubekommen.

Methoden zum Wiederherstellen von verschlüsselten .WNCRY-Dateien

Problembehebung 1: Verwenden Sie Software zur Datei-Wiederherstellung

Es ist wichtig zu wissen, dass das WannaCry-Virus Kopien Ihrer Dateien erstellt und verschlüsselt. Inzwischen werden die Originaldateien gelöscht. Es gibt Anwendungen, die die entfernten Daten wiederherstellen können. Hierzu können Sie Tools wie Data Recovery Pro nutzen. Die neueste Version der betrachteten Ransomware neigt dazu, eine sichere Löschung mit mehreren Überschreibungen anzuwenden, aber auf jeden Fall ist diese Methode einen Versuch wert.

DownloadLaden Sie Data Recovery Pro herunter

Problembehebung 2: Verwenden Sie Backups

Vor allen andern ist dies eine gute Möglichkeit, Ihre Dateien wiederherzustellen. Es ist jedoch nur anwendbar, wenn Sie die auf Ihrem Computer gespeicherten Informationen gesichert haben. Wenn ja, versäumen Sie nicht, von Ihrer Voraussicht zu profitieren.

Problembehebung 3: Verwenden Sie Shadow Volume Kopien

Falls Sie es nicht wussten, erstellt das Betriebssystem so genannte Shadow Volume Kopien jeder Datei, solange die Systemwiederherstellung auf dem Computer aktiviert ist. Da Wiederherstellungspunkte in bestimmten Intervallen erstellt werden, werden Schnappschüsse von Dateien, die zu diesem Zeitpunkt erscheinen, ebenfalls generiert. Sie sollten aber wissen, dass diese Methode nicht die Wiederherstellung der neuesten Versionen Ihrer Dateien sichert. Es ist aber sicherlich einen Versuch wert. Diese Problemlösung ist auf zwei Arten möglich: manuell und durch die Nutzung einer automatischen Lösung. Werfen wir zunächst einen Blick auf den manuellen Vorgang.

  • Verwenden Sie die Funktion Vorgängerversionen

    Das Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.vorherige-versionen

  • Nutzen Sie das Shadow Explorer-Werkzeug

    Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.shadow-explorer-export

Verifizieren Sie, ob die WannaCry Ransomware vollständig entfernt wurde

Noch einmal, die Entfernung von Malware allein führt nicht zur Entschlüsselung Ihrer persönlichen Dateien. Die oben genannten Methoden zur Datenwiederherstellung können zum gewünschten Ergebnis führen, oder auch nicht, aber die Ransomware selbst gehört nicht auf Ihren Computer. Übrigens ist es oft zusammen gebündelt mit anderen Malware, weshalb es definitiv Sinn ergibt, Ihr System mit automatischer Sicherheits-Software wiederholt zu scannen, um sicherzustellen, dass keine schädlichen Überreste dieses Virus und den damit verbundenen Bedrohungen in der Windows Registrierung und anderen Stellen verbleiben.

Laden Sie WannaCry Scanner und Entferner herunter

Leave a Comment (0) ↓

Leave a Comment