Wie man .WLU Dateien entschlüsselt – die neue Jaff Ransomware Erweiterung
Eine neue Version der Jaff Ransomware ist erschienen, die die .wlu Erweiterung an die entschlüsselten Dateien koppelt und sich als JaffDecryptor tarnt. Sie verwendet neue Erpressungs-Mitteilungen.
Die Macher der Jaff Datei-Verschlüsselungs-Viren haben weniger als zwei Wochen gebraucht, um eine neue Ausgabe ihres Malware-Programms zu entwickeln und herauszubringen. Die schlechte Nachricht ist, dass dieses Upgrade deutliche Veränderungen des Erscheinungsbilds des Virus mit sich gebracht hat. Was die Funktionalität betrifft, ist die betreffende Ransomware genau wie der Vorgänger immer noch nicht zu knacken. Schauen wir erst einmal, was sich verändert hat. Zunächst werden die Opfer-Dateien jetzt mit einer .wlu Endung versehen, die den bisherigen .jaff Strings ersetzen. Auch wurden die Erklärungen, die das Programm zur Erpressung verwendet, und die den Weg zur Daten Recovery weisen, verändert und mit README_TO_DECRYPT.html, README_TO_DECRYPTl.txt, und README_TO_DECRYPTl.bmp benannt. Bei der letzteren Version ersetzt jetzt eine Bilddatei den Desktop-Hintergrund mit einer Warnung, auf die Entschlüsselungs-Anweisungen folgen.
Eines der Kennzeichen, die beide Jaff Editoren verbindet, ist der Distributions-Vektor. Der Befall entsteht immer noch durch bösartige Spam-Mails, die mit viel Social Engineering auf das Opfer abgestimmt sind. Die Angreifer nutzen offensichtlich ein Botnet, meist ein großes mit Namen Necurs, das tausende gefährliche E-Mails zeitgleich versendet. Diese Trick-E-Mails sind normalerweise als Rechnungen eines existierenden Unternehmens und dessen Kundenservice getarnt. Wenn der Empfänger versucht, den allgemein benannten PDF- Anhang zu öffnen, erscheint ein Dialogfenster, das empfiehlt, Microsoft Word für das weitere Procedere zu verwenden. Dann stellt sich die Pseudo-Rechnung als .docm File heraus und enthält keinerlei Text, weil es behauptet, verschlüsselt zu sein. Um es zu lesen, wird der ahnungslose Nutzer gebeten, einen “Enable Content / Inhalt ausführen” oder “zulassen” in der Sicherheitswarnung oben im Fenster anzuklicken. Dieser einzelne Klick aktiviert ein VBA Macro Script, das sofort JaffDecryptor auf dem PC installiert.
Sobald der Code im Zielsystem abgelegt wurde, beginnt der Virus sein falsches Spiel mit einem unmerklichen Scan von hunderten unterschiedlicher Dateien, die Ziel der Verschlüsselung sind. Dabei nutzt es den AES Cipher, um persönliche Dokumente auf dem befallenen PC zu verschlüsseln. Dieses symmetrische Kryptosystem, der Advanced Encryption Standand, ist nicht der bestmögliche. Doch gleichwohl wird er zu einem unüberwindbaren Hindernis, wenn er erst einmal professionell installiert wurde – was im Fall des Jaff Virus leider der Fall ist. Das Opfer wird nun merken, dass seine persönlichen Dateien außerhalb seiner Reichweite sind. Der Nebeneffekt besteht darin, dass Dateien die .wlu – Endung erhalten, während der ursprüngliche Dateiname sich nicht ändert.
Wenn der Nutzer sich nun zu dem Tor Gateway navigiert, dessen Adresse im README_TO_DECRYPT.html oder README_TO_DECRYPTl.txt/bmp File zu finden ist, dann wird ihm eine Sperrseiten- ähnliche Seite mit Namen “JaffDecryptor System” angezeigt, die zur Zahlung einer Lösegeldsumme auffordert. Man findet einen Hinweis, wie man Bitcoins kaufen kann. Gefordert wird meist eine bestimmte Summe, die oft zwischen 0.35 Bitcoins und 2 Bitcoins liegt. Diese Attacke ist eine ernste Bedrohung und fordert schnelles Handeln. Da es noch keine effektive kostenlose Methode der Entschlüsselung der .wlu Version der Jaff Ransomware gibt, ist es umso wichtiger, den schädlichen Code richtig loszuwerden. Weiterhin sind die folgenden Datenrettungs-Methoden hilfreich, weil sie Dateien, die nicht vollständig von dem Virus verschlüsselt wurden, möglicherweise wiederherstellen können.
.wlu Erweiterung Virus automatische Entfernung
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
.WLU Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen verschlüsselter .wlu-Dateien
Es wurde bereits erwähnt, dass .WLU eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass .WLU die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von .WLU verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Überprüfen Sie, ob Jaff Ransomware vollständig entfernt wurde
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den .WLU Ransomware Scanner und Entferner herunter