WCrypt. Richtig entfernen? (Anleitung für die Deinstallation)

von Olivia Morelli - - | Virustyp: Ransomware
12

Wissenswertes, wenn WCrypt den Computer angegriffen hat

Der WCrypt-Virus ist ein Erpressungsprogramm, das alle Dateien mit einer Verschlüsselung sperrt und anschließend für deren Wiederherstellung ein Lösegeld verlangt. Die erste Version des Erpressungsprogramms tauchte im Februar 2017 auf und mittlerweile ist es unter vielen verschiedenen Namen bekannt, wie unter anderem WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 und sogar DarkoderCrypt0r. Sobald sich das gefährliche Programm in den Computer schleicht, zerstört es die Daten innerhalb von Sekunden. Während dieser Prozedur versieht der Virus die betroffenen Dateien möglicherweise mit einer Endung wie .wcrypt. Andere Versionen des Virus sind dafür bekannt sie mit .wcry oder .wncry zu markieren. Das Ziel der Verschlüsselung ist die Daten nutzlos zu machen und ein Lösegeld für sie zu fordern. Opfer können die Forderungen des Erpressungsprogramms bedenkenlos ignorieren, wenn sie Sicherheitskopien von ihren Daten angerfertigt haben. Bedauerlicherweise ist es meistens der Fall, dass Computernutzer vergessen sie rechtzeitig anzufertigen. Die verschlüsselten Dateien lassen sich in diesem Fall nur wiederherstellen, wenn man die Cyberkriminellen bezahlt, wovon wir allerdings dringendst abraten. Man darf nicht vergessen, dass die Erpresser in der Regel kein Interesse daran haben sich mit ihren Opfern auseinanderzusetzen, nachdem sie das Geld erhalten haben. Wir empfehlen daher das Erpressungsprogramm wie in der Anleitung unten beschrieben mit einer Anti-Malware (z.B. Reimage oder Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus) zu entfernen.

Wcrypt ransomwareNachdem alle Dateien auf dem Zielsystem verschlüsselt sind, ändert der Virus den Bildschirmhintergrund. Das neue schwarze Bild mit der Nachricht der Erpresser informiert, dass die auf dem Computer befindlichen Daten verschlüsselt worden sind. Es wird außerdem wie bei den neueren Versionen von CryptoLocker erklärt, wie man die Datei @WanaDecryptor@.exe wiederherstellt, falls sie vom Antivirenprogramm in Quarantäne gestellt wurde. Das schädliche Programm startet dann ein Programm mit der Nachricht “Ooops, your files have been encrypted!”, worin ebenfalls die Bitcoin-Adresse, die Höhe des Lösegelds (ab 300 USD) und eine Anleitung für den Kauf von Bitcoins angegeben werden. Der Virus akzeptiert Lösegelder nur in der Kryptowährung Bitcoins. Zudem hat man nach der Infizierung nur drei Tage Zeit, um es zu bezahlen. Der Virus droht außerdem damit alle verschlüsselten Dateien endgültig zu löschen, wenn die Überweisung nicht innerhalb einer Woche getätigt wird. Wir empfehlen WCrypt so schnell wie möglich zu beseitigen, um eine endgültige Zerstörung der Daten zu verhindern.

Die Verbreitung von WCrypt

WCrypt, auch bekannt als WannaCry, sorgte am 12. Mai 2017 für große Aufregung in der virtuellen Community. An diesem Tag wurden massive Cyberattacken gegen Windows-Nutzer durchgeführt. Die Angreifer verwendeten für die Infizierung von Computersystemen den Exploit EternalBlue. Das Erpressungsprogramm ist einem Computerwurm ähnlich und sucht im Netzwerk nach weiteren Computern, um sich zu replizieren. Obwohl es zurzeit den Anschein hat, dass das Erpressungsprogramm keine neuen Computernutzer angreift (Sicherheitsforscher konnten den Angriff mehr oder weniger versehentlich stoppen), raten Experten sich nicht zu früh zu freuen. Die Autoren der Schadsoftware könnten noch weitere Tricks für ihre Verbreitung parat haben, weshalb man alle möglichen Vorkehrungsmaßnahmen ergreifen sollte, um den Computer vor solchen Cyberattacken zu schützen. Wir empfehlen zwar immer wieder die Installation von Anti-Malware und das regelmäßige Aktualisieren von Programmen auf dem Computer, aber wir möchten wohl darauf hinweisen, dass Back-ups wahrscheinlich die einzig wahre Lösung für ein Verhindern von Datenverlust sind. Wenn Sie noch keine Back-ups gemacht haben, sollten Sie sie so schnell wie möglich erstellen. Kopieren Sie einfach Ihre wichtigen Dateien und speichern Sie die Kopien auf einem externen Speichergerät und trennen Sie es vom Computer. Weitere interessante Tipps finden Sie in dem Artikel: Wie man einen Angriff von WCrypt übersteht.

Die Entfernung von WCrypt erklärt

Wie in den vorherigen Abschnitten erwähnt muss der WCrypt-Virus aus mehreren Gründen so schnell wie möglich entfernt werden. Ein Verbleib der Infizierung ist gefährlich, weil sie sich replizieren kann und sich auf Computern und tragbaren Geräten, die mit dem Computer verbunden werden, kopiert. Der sicherste Weg für die Entfernung von WCrypt ist ein vollständiger Systemscan mit einer Anti-Malware. Bevor man die Sicherheitsanwendung allerdings starten kann, muss der Computer entsprechend vorbereitet werden. Mit der unten aufgeführten Anleitung können Sie den Virus restlos beseitigen.

Wir können mit jedem Produkt, dass wir auf unserer Seite empfehlen, affiliiert sein. Weitere Auskunft in unsern Nutzungsbedingungen. Mit dem Herunterladen einer vorausgesetzten Anti-spyware Software, um WCrypt zu entfernen, stimmen sie unserer Datenschutz und Nutzungsbedingungen.
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel mit OS X kompatibel
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie die Infizierung nicht mit Reimage beseitigen konnten, kontaktieren Sie unser Support-Team unter Frage stellen und geben Sie so viele Informationen wie möglich.
Für die Deinstallation von WCrypt ist Reimage empfehlenswert. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.

Weitere Informationen über das Programm können Sie in der Beurteilung von Reimage finden.
Pressebeiträge auf Reimage
Pressebeiträge auf Reimage

Anleitung für die manuelle Entfernung des WCrypt-Virus:

Entfernen Sie WCrypt mit Safe Mode with Networking

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne WCrypt

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von WCrypt fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie WCrypt mit System Restore

Reimage ist ein Programm zum Erkennen von Schadsoftware.
Für die Beseitigung von Infizierungen ist die Vollversion notwendig.
Weitere Informationen über Reimage.

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von WCrypt liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von WCrypt erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen WCrypt vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Wenn Sie keine Back-ups haben und Ihre Dateien wiederherstellen möchten, können Sie folgende Methoden ausprobieren. Vergessen Sie aber nicht, dass die Methoden nicht speziell auf WannaCry ausgerichtet sind. Es schadet jedoch nicht jede Option auszuprobieren.

Wenn Ihre Dateien von WCrypt verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Data Recovery Pro verwenden

Data Recovery Pro ist ein Tool, das gelöschte und korrupte Dateien ausfindig macht und sie wiederherstellt. Bei einer Infizierung mit einem Erpressungsprogramm ist das Tool also auf jeden Fall einen Versuch wert. Im Folgenden eine Anleitung für die Anwendung:

  • Laden Sie Data Recovery Pro (https://dieviren.de/download/data-recovery-pro-setup.exe) herunter;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von WCrypt verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

ShadowExplorer zur Hilfe

Wenn der Prozess des Erpressungsprogramms gestoppt wurde, bevor es die Schattenkopien gelöscht hat, empfehlen wir dringendst von ShadowExplorer Gebrauch zu machen. Das Tool macht die VSS-Dateien (Schattenkopien) ausfindig und kann damit die Dateien wiederherstellen.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Zurzeit gibt es noch keinen WCrypt-Decrypter

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor WCrypt und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus oder Malwarebytes Anti Malware, nutzen.

Über den Autor

Olivia Morelli
Olivia Morelli - Schadsoftwareanalystin

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Mehr Informationen über den Autor

Quelle: http://www.2-spyware.com/remove-wcrypt-ransomware-virus.html

Entfernungsanleitungen in anderen Sprachen