Schweregradskala:  
  (99/100)

NotPetya-Erpressersoftware. Richtig entfernen? (Anleitung für die Deinstallation)

von Julie Splinters - - | Virustyp: Ransomware
12

Schadsoftware namens virus NotPetya sorgt für globales Chaos

Abbildung NotPetya-Virus

Der NotPetya-Virus ist ein neu identifiziertes Erpressungsprogramm, das auf der ganzen Welt diverse Windows-Systeme beeinträchtigt hat. Unter den betroffenen Ländern gehören die Vereinigten Staaten, das Vereinigte Königreich, Spanien und natürlich auch die Ukraine.
Durch den Angriff mussten mehrere Flüge aufgeschoben werden und selbst Tankstellen hatten Probleme mit ihrer täglichen Arbeit. Darüber hinaus griff der Virus das Kraftwerk in Chernobyl an, wodurch die Mitarbeiter das Strahlungsniveau manuell regulieren mussten. Bisher ist bekannt, dass der Virus:

  • die MBR-Einstellungen modifiziert und einzelne Muster Dateien verschlüsseln.
  • ein Lösegeld in Höhe von 300 USD verlangt.
  • Sicherheitslücken im Betriebssystem Windows ausnutzt.
  • als Kontaktmöglichkeit die E-Mail-Adresse wowsmith123456@posteo.net angibt.
  • sich als Petya tarnt, aber tatsächlich eine eigenständige Schadsoftware ist.
  • die Vereinigten Staaten, Europa und insbesondere die Ukraine im Visier hat.

Die Bedrohung modifiziert die Boot-Einstellungen, um das System daran zu hindern normal zu starten. Zu diesem Zeitpunkt scheint sie die Dateien nicht mit einer besonderen Dateiendung zu versehen, da sie nicht verschlüsselt werden. Stattdessen wird ein Systemfehler verursacht. Laut dem Erpresserbrief fordert die Bedrohung 300$ und weist an den Betrag an wowsmith123456@posteo.net zu überweisen.

Der IT Experte Amit Serper hat glücklicherweise eine Möglichkeit gefunden, um den Angriff der Schadsoftware abzuwehren. Nicht nur Firmen sind von der Erpressersoftware betroffen, sondern auch Individuen. Wenn Sie ebenfalls zu den Opfern gehören, sollten Sie NotPetya unbedingt mit einer Anti-Malware, wie bspw. Reimage oder Malwarebytes Anti Malware entfernen.

Petya oder NotPetya?

Die Schadsoftware beginnt mit der gleichen Bemerkung wie bei der Bedrohung WannaCry:

Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your
files, but don’t waste your time. Nobody can recover your files without our
decryption service.
We guarantee that you can recover all your files safely and easily. All you
need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
1. Send $300 worth of Bitcoin to the following address:
lflz7153HHuxXTuR2R1t78mGSdzafithBUX
2. Send your Bitcoin wallet ID and personal installation key to e-mail
wowsmith123456@posteo.net. 
If you already purchased your key, please enter it below.

Zu Anfang ging man noch davon aus, dass es sich bei der Schadsoftware um Petya handelte, da sie ebenfalls in die MBR-Einstellungen eingreift, um Einfluss auf den Computerstart auszuüben. Mittlerweile teilen IT-Experten mit, dass sich die Infizierung lediglich hinter dem Namen versteckt, aber es in Wahrheit eine andere Schadsoftware ist. Der Virus trägt daher zurzeit den Namen NotPetya.

Es scheint, dass die Angreifer aus den Fehlern von den WannaCry-Entwicklern gelernt haben und für die NotPetya-Schadsoftware ebenfalls die Windows-Sicherheitslücke nutzen.

Trotz der Warnungen von Cybersicherheitskräften hat es die Schadsoftware geschafft Chaos anzurichten. Internationale Einrichtungen, wie Flughäfen, haben darauf verzichtet ihre Systeme rechtzeitig zu aktualisieren, was katastrophale Folgen hatte.

Interessanterweise fand der erste Ausbruch der Bedrohung in der Ukraine statt. Das Land scheint für Hacker quasi ein „Versuchskaninchen“ zu sein. WannaCry hat in der Ukraine nämlich als Erstes seine Macht bewiesen und direkt im Anschluss wurde das Land erneut mit dem XData-Virus auf die Probe gestellt.

NotPetya profitiert von NSA-Hacking-Tools

Den Cyberkriminellen ist das zuvor geleakte Hacking-Tool der NSA zugutegekommen. Eine Infizierung mit NotPetya ist am wahrscheinlichsten, wenn das Betriebssystem veraltet ist. Am meisten hat Windows 7 unter die Attacke gelitten. Es ist aber auch wahrscheinlich, dass die Schadsoftware andere Verbreitungsmethoden nutzt, wie bspw. Spammails und Exploit-Kits.

Glücklicherweise wurde bereits ein “Gegenmittel” gefunden. Man muss einfach nur im Windows-Ordner (C:\Windows) eine Textdatei namens perfc erstellen.  Nun aber zu der Entfernung von NotPetya.

Erpressersoftware NotPetya endgültig entfernen

Unabhängig von der Art der Erpressersoftware sollte die Entfernung immer die oberste Priorität haben. Eine zügige Entfernung ist folglich ratsam. Erfreulicherweise wird die Schadsoftware von allen gängigen Antivirenprogrammen erkannt und kann demzufolge auf einfache Weise entfernt werden.

Da der Boot-Prozess vom Virus modifiziert wird, ist es möglich, dass man nicht auf die Sicherheitssoftware zugreifen kann. In diesem Fall sollte die unten aufgeführte Anleitung hilfreich sein. Wenn Sie mit einer datenverschlüsselnden Version von NotPetya infiziert worden sind, sollten Sie bis es einen offiziellen NotPetya-Decrypter gibt die Dateien mit alternativen Programmen versuchen zu entschlüsseln.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um NotPetya-Erpressersoftware zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von NotPetya-Erpressersoftware ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des NotPetya-Virus:

Entfernen Sie NotPetya mit Safe Mode with Networking

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

Um den NotPetya-Virus entfernen zu können, müssen Sie den Computer in den abgesicherten Modus starten. Hiermit bekommen sie Zugriff auf die Grundfunktionen und können somit wieder auf das Sicherheitsprogramm zugreifen. Die Entfernung von NotPetya sollte dann nicht mehr lange dauern.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne NotPetya

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von NotPetya fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie NotPetya mit System Restore

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von NotPetya liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von NotPetya erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen NotPetya vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Wenn Ihre Dateien von NotPetya verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro

Die Software ist bei der Wiederherstellung von beschädigten und verlorenen Dateien behilflich.

  • Laden Sie Data Recovery Pro (https://dieviren.de/download/data-recovery-pro-setup.exe) herunter;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von NotPetya verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Dateien mit ShadowExplorer entschlüsseln

Die Schadsoftware kann zurzeit noch keine Schattenkopien löschen. Die Wiederherstellung der Dateien sollte daher mit ShadowExplorer erfolgreich verlaufen.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor NotPetya und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Julie Splinters - Expertin im Bereich Schadsoftwareentfernung

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Quelle: https://www.2-spyware.com/remove-notpetya-ransomware-virus.html

Entfernungsanleitungen in anderen Sprachen