Zum Inhalt springen
  • Aktiv
  • Schweregrad: Mittel
  • Viren
  • Windows
  • Geprüft · Apr. 2021

WannaCryptorRichtig entfernen?

Eine Schritt-für-Schritt-Entfernungsanleitung für betroffene Geräte. Folgen Sie dem geprüften Verfahren unten — die meisten Leser sind in unter 10 Minuten fertig.

Julie Splinters · Expertin im Bereich Schadsoftwareentfernung

Erpressungsprogramm WannaCryptor imitiert Tricks von CryptoLocker

Der WannaCryptor-Virus tauchte zum ersten Mal im Februar 2017 in der Form eines Erpressungsprogramms namens Wcry-Virus (oder auch WannaCry-Erpressungsprogramm) auf. Genau wie sein Vorgänger verschlüsselt WannaCryptor alle Dateien auf dem Computer, um von dem Benutzer Geld erpressen zu können. Während der Verschlüsselung versieht er die korrupten Dateien mit einem .wcry am Ende des Dateinamens. Das schädliche Programm hat es hierbei hauptsächlich auf Windows-Nutzer abgesehen und sobald es Zugriff auf das System bekommt, übernimmt er die Kontrolle über die Daten, indem er sie nach den RSA- und AES-Verschlüsselungsverfahren verschlüsselt. Im Anschluss löscht der Virus umgehend die Schattenkopien vom Computer, um eine Datenwiederherstellung zu verhindern. Zudem ersetzt er den Bildschirmhintergrund durch die Bilddatei !WannaCryptor!.bmp, welche besagt:

Ooops, your important files are encrypted.
If you see this text, but don’t see the “Wanna Decryptor” window, then your antivirus removed the decrypt software, or you deleted it from your computer.”

Der Rest der Mitteilung suggeriert das schädliche Programm !WannaDecryptor!.exe erneut über den angegebenen DropBox-Link herunterzuladen. Dieser Trick ist bei CryptoLocker typisch, wo ebenfalls angeraten wird die Schadsoftware nochmals herunterzuladen, um Anweisungen für die Bezahlung des Lösegelds und die Wiederherstellung der verlorenen Dateien zu bekommen. WannaCryptor speichert seine Informationen über die Datenwiederherstellung in der Datei !Please Read Me!.txt. Wenn man kein Antivirenprogramm auf dem Computer installiert hat, wird das !WannaDecryptor!-Programm geöffnet und ist auf dem Bildschirm zu sehen. Das anfängliche Lösegeld beträgt 300 USD und muss in Bitcoins bezahlt werden. Im Decryptor-Fenster gibt es mehrere Links, die zu Informationen über Bitcoins, deren Kauf und eine „Contact Us“-Seite verweisen, wobei letzteres mit hoher Wahrscheinlichkeit die Kontaktinformationen (wahrscheinlich eine E-Mail-Adresse) enthält.

Wie so üblich, droht das Erpressungsprogramm damit das Lösegeld zu erhöhen, wenn man es nicht in gegebener Zeit überweist. Wenn WannaCryptor Ihre Dateien verschlüsselt hat, wird es auch von Ihnen verlangen das Lösegeld zu bezahlen. Wir raten davon allerdings dringendst ab. Den Forderungen von Verbrechern Folge zu leisten ist keine Lösung, denn es ist nicht immer gesagt, dass sie ihren Part der Vereinbarung erfüllen. Sie könnten am Ende also mit verschlüsselten Daten und ohne Entschlüsselungsschlüssel dastehen. Wir empfehlen daher dringendst den WannaCryptor-Virus zu entfernen. Je eher, desto besser. Für die Entfernung von WannaCryptor empfehlen wir nachdrücklich eine Anti-Malware wie bspw. FortectIntego zu verwenden.

WannaCryptor ransomware virus

Wie konnte das schädliche Programm den Computer infiltrieren?

Es gibt viele verschiedene Wege, wie Erpressungsprogramme unbemerkt in die Computer gelangen können. Typische Übertragungsmedien sind Spammails. Sie laden das schädliche Programm umgehend auf das System, sobald man den darin enthaltenen schädlichen Link oder infizierten Anhang angeklickt hat. Hierbei muss man beachten, dass Böswillige sich als Mitarbeiter von bekannten Firmen ausgeben und um die Prüfung der „angehangenen Dokumente“ mit angeblich sehr wichtigen und relevanten Informationen bitten. Mit dieser Betrugsmasche versucht man natürlich den Computernutzer dazu zu bringen Schadsoftware auf dem Computer zu installieren. Wenn Sie jemand versucht dazu zu bringen einen bestimmten Link oder E-Mail-Anhang zu öffnen, sollten Sie das nicht vergessen. Erpressungsprogramme können außerdem mithilfe von Exploit-Kits und Malvertising verbreitet werden. Diese Methoden werden jedoch in der Regel von Erpressungsprogrammprofis genutzt, die an Projekten wie Cerber oder Spora arbeiten.

Wie kann man WannaCryptor vom System entfernen?

Wenn der Computer mit dem WannaCryptor-Virus infiziert wurde und die Dateien sich mit keinem Programm mehr öffnen lassen, müssen Sie sich für den nächsten Schritt entscheiden. Sie können das Risiko auf einen Geldverlust eingehen und das Lösegeld an die Cyberkriminellen bezahlen oder Sie können den Druck standhalten und das Bezahlen verweigern. Im letzteren Fall sollten Sie WannaCryptor natürlich umgehend entfernen und Datenentschlüsselungs-Tools und -methoden ausprobieren. Wir empfehlen für die Entfernung von WannaCryptor dringendst eine Anti-Malware zu verwenden. Für die Datenwiederherstellung haben wir weiter unten einige Methoden vorbereitet. Zu 100% erfolgreich ist nur die Datenwiederherstellung mit Back-ups. Wenn Sie vor dem Angriff keine Back-ups angefertigt haben, wird die Wiederherstellung leider schwierig.

Schreiben Sie den ersten Kommentar

DieViren
Datenschutzeinstellungen

Wir verwenden Cookies, um Ihr Erlebnis zu verbessern und den Datenverkehr zu analysieren. Manche Cookies ermöglichen eingebettete Inhalte wie Videos und Social-Media-Beiträge. Wählen Sie, was Sie erlauben — Sie können dies jederzeit ändern.