CryptoWall Virus

Auch bekannt als: CryptoWall ransomware
Verbreitung: Niedrig
Schadenshöhe: Mittel

CryptoWall Virus Entfernungsanweisung

Was ist CryptoWall?

CryptoWall ist ein Erpressersoftware Virus, der das Betriebssystem von Nutzern durch infizierte Email Nachrichten und falsche Downloads infiziert, zum Beispiel falsche Videospieler, oder falsche Flash Updates. Nach erfolgreicher Infiltration verschlüsselt dieses bösartige Programm die Dateien, die auf dem Computer gespeichert sind (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) und verlangt die Zahlung eines Lösegeldes von $500 (in Bitcoins), um die Dateien zu entschlüsseln. Cyberverbrecher, die für die Veröffentlichung dieses falschen Programms verantwortlich sind, haben sichergestellt, dass es sich auf allen Windows Versionen ausführt (Windows XP, Windows Vista, Windows 7 und Windows 8). CryptoWall Erpressersoftware erstellt DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html und DECRYPT_INSTRUCTION.url Dateien in jedem Ordner, der die verschlüsselten Dateien enthält.

Diese Dateien beinhalten Anweisungen, wie Nutzer ihre Datein entschlüsseln könnten und schließen die Nutzung des Tor Browsers (anonymer Webbrowser) ein. Cyberverbrecher benutzen Tor, um ihre Identität zu verstecken. PC Nutzer sollten wissen, dass die Infektion selbst nicht so schwer zu entfernen ist, aber die Verschlüsselung der Dateien (verschlüsselt durch RSA 2048 Verschlüsselung), die von diesem bösartigen Programm betroffen sind, ist ohne die Zahlung des Lösegeldes unmöglich. Während meiner Recherche gab es keine Hilfsmittel, oder Lösungen, die fähig gewesen wären, die von CryptoWall verschlüsselten Dateien zu entschlüsseln. Beachten Sie, dass der private Schlüssel, der benutzt werden kann, um die Dateien zu entschlüsseln, auf CryptoWall Command and Control Servern gespeichert ist, die von Cyberverbrechern verwaltet werden. Die ideale Lösung wäre die Entfernung dieses Erpressersoftware Virus und dann die Wiederherstellung Ihrer Daten von einem Backup.

Bildschirmkopie einer Nachricht, die in DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html und DECRYPT_INSTRUCTION.url Dateien angezeigt wird:

cryptowall decrypt instructions

Erpressersoftware Infektionen wie CryptoWall (zum Beispiel CryptoDefense, CryptorBit und Cryptolocker) sollten ein sehr starkes Argument dafür sein, immer Backups Ihrer gespeicherten Daten zu haben. Beachten Sie, dass die Zahlung des Lösegeldes, nach der Aufforderung durch die Erpressersoftware genauso wäre, als ob man Geld an Cyberverbrecher schickt. Man würde ihr bösartiges Geschäftsmodell unterstützen und außerdem gibt es keine Garantien, dass die Dateien jemals entschlüsselt werden. Um die Infektion des Computers mit solchen Erpressersoftware Infektionen zu vermeiden, sollten Nutzer sehr vorsichtig sein, wenn sie Email Nachrichten öffnen. Cyberverbrecher benutzen verschiedene, attraktive Überschriften, um PC Nutzer dazu zu bringen, die infizierten Email Anhänge zu öffnen, zum Beispiel "UPS Ausnahmebenachrichtigung". Kürzliche Forschung zeigt, dass Cyberverbrecher auch persönliche Netzwerke und falsche Downloads benutzen, die gebündelte Erpressersoftware Infektionen beinhalten, um CryptoWall zu verbreiten.

Nachricht, die in DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html und DECRYPT_INSTRUCTION.url Dateien angezeigt wird:

Was ist mit Ihren Dateien passiert?

 

All Ihre Dateien wurden durch eine starke Verschlüsselung mit RSA-2048 durch CryptoWall geschützt. Weitere Informationen über die Verschlüsselungsschlüssel, die RSA-2048 benutzen, kann man hier sehen: en.wikipedia.org/wiki/RSA_(crypto system)

 

Was bedeutet das?

 

Das bedeutet, dass die Struktur und Daten innerhalb Ihrer Dateien unwiederruflich verändert wurden. Sie werden nicht damit arbeiten können, sie lesen, oder sehen können. Es ist so wie sie für immer verloren sind, aber mit unserer Hilfe können Sie sie wiederbekommen. 

 

 Wie ist das passiert?

 

Speziell für Sie, wurde ein geheimes Schlüsselpaar generiert RSA_2048 - öffentlich und privat. All Ihre Dateien wurden mit dem öffentlichen Schlüssel verschlüsselt, der über das Internet auf Ihren Computer übertragen wurde. Die Entschlüsselung Ihrer Dateien ist nur möglich mit der Hilfe des privaten Schlüssels und Entschlüsselungsprogramms, die auf unserem geheimen Server liegen.

 

Was soll ich tun?

 

Wenn Sie die nötigen Schritte nicht innerhalb der festgelegten Zeit unternehmen, werden sich die Bedingungen für den Erhalt des privaten Schlüssels ändern. Wenn Ihnen Ihre Daten wirklich wichtig sind, schlagen wir vor, dass Sie keine wertvolle Zeit verschwenden, indem Sie nach Lösungen suchen, weil es sie nicht gibt.

Für weitere Informationen, besuchen Sie bitte Ihre persönliche Startseite, wo es ein paar verschiedene Adressen gibt, die auf ihre untenstehnde Seite führen:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Wenn aus irgendeinem Grund die Adressen nicht verfügbar sind, befolgen Sie diese Schritte:

 

1. Laden Sie den Tor Browser herunter und installieren Sie ihn: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Nach erfolgreicher Installation führen Sie den Browser aus und warten Sie auf die Initialisierung.
3. Geben Sie in die Adresszeile ein: kpai7ycr7jxqkilp.onion/3koe
4. Befolgen Sie die Anweisungen auf der Seite.

Bildschirmkopie einer infizierten Email Nachricht, die bei der Verbreitung von CryptoWall benutzt wird:

cryptowall distribution through UPS spam emails

Text, der in den infizierten Email Nachrichten angegeben wird:

Von: UPS Quantum View [auto-notify (at) ups.com]
Betreff: UPS Exception Notification, Tracking Number 1Z522A9A6892487822

Lernen Sie mehr über UPS: Besuchen Sie ups.com
Auf Wunsch des Lieferanten, informieren wir Sie, dass die folgende Lieferung neu terminiert wurde.

Wichtige Lieferinformation

Nachverfolgungsnummer: 1Z522A9A6892487822
Neues Lieferdatum: 14-April-2014
Ausnahmegrund: DER KUNDE WAR BEIM ERSTEN VERSUCH NICHT ERREICHBAR. EIN ZWEITER VERSUCH WIRD UNTERNOMMEN. DAS PAKET WIRD AM NÄCHSTEN ARBEITSTAG GELIEFERT.
Lieferungsinformation: 1Z522A9A6892487822

Bildschirmkope einer CryptoWall Lösegeldzahlungsseite:

cryptowall website captcha protection

cryptowall decrypt pageNachricht, die auf der CryptoWall Lösegeldzahlungsseite angezeigt wird:

Entschlüsselungsdienst
Ihre Dateien sind verschlüsselt.

Um den Schlüssel zu erhalten, um Ihre Dateien zu entschlüsseln, müssen Sie 500 USD/EUR bezahlen. Falls Zahlungen nicht vor [Datum] geleistet werden, werden sich die Entschlüsselungskosten verdoppeln auf 1000 USD/EUR. Zeit bis zur Erhöhung der Summe: [Countdown Zähler]]

 

Wir präsentieren eine spezielle Software: CryptoWall Entschlüsseler - der es erlaubt ist, alle Ihre verschlüsselten Dateien zu entschlüsseln und Ihnen die Kontrolle darüber wiederzugeben. Wie man CryptoWall Entschlüsseler kauft?

 

1. Sie sollten einen Bitcoin Geldbeutel registrieren.
2. Bitcoins kaufen - Obwohl es noch nicht einfach ist Bitcoins zu kaufen, wird es jeden Tag simpler.
3. Senden Sie 1.22 BTC zur Bitcoin Adresse: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Geben Sie die Transkations ID ein und wählen Sie den Betrag.
5. Bitte überprüfen Sie die Zahlungsinformationen und klicken Sie auf "BEZAHLEN".

Beachten Sie, dass während ich diesen Artikel schrieb, keine bekannten Hilfmittel zur Verfügung standen, die die Dateien entschlüsseln konnten, die von CryptoWall verschlüsselt wurden, ohne das Lösegeld zu zahlen.  Indem Sie diesen Entferungsleitfaden befolgen, werden Sie diese Erpressersoftware von Ihrem Computer entfernen können. Die betroffenen Dateien jedoch bleiben verschlüsselt. Wir werden diesen Artikel aktualisieren, sobald es mehr Informationen bezüglich der Entschlüsselung der betroffenen Dateien gibt.

CryptoWall Virus Entfernung:

Sofortige automatische Entfernung von CryptoWall ransomware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Spyhunter ist ein professionelles, automatische Malware-Entfernungstool, das zur Entfernung von CryptoWall ransomware empfohlen wird. Laden Sie es herunter, indem Sie auf die untenstehende Schaltfläche klicken:
▼ LADEN Sie Spyhunter herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um Schadsoftware zu entfernen, müssen Sie die Vollversion von Spyhunter kaufen. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Schritt 1

Windows XP und Windows 7 Nutzer: Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste und drücken Sie dann auf ENTER.

Safe Mode with Networking

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Safe Mode with networking

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 safe mode with networking

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Schritt 2

Melden Sie sich mit dem Konto an, das von dem CryptoWall Virus befallen ist. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware Programm herunter. Aktualisieren Sie die Anti-Spyware Software und führen Sie eine kompletten Systemscan aus. Entfernen Sie alle Einträge, die er entdeckt.

Wenn Sie Ihre Computer nicht im Abgesicherten Modus mit Netzwerktreibern starten können, versuchen Sie eine Systemwiederherstellung.

Das Video zeigt, wie man einen Erpressersoftware Virus mit dem "Abgesicherten Modus mit Eingabeaufforderung" und "Systemwiederherstellung" entfernen kann:

1. Starten Sie Ihren Computer im Abgesicherten Modus mit Eingabeaufforderung. Während Ihr Computer startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals, bis Sie das Windows Erweiterte Optionen Menü sehen, dann wählen Sie Abgesicherter Modus mit Eingabeaufforderung von der Liste und drücken Sie ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Wenn der Eingabeaufforderungsmodus lädt, geben Sie die folgende Zeile ein: cd restore und drücken Sie ENTER.

system restore using command prompt type cd restore

3. Als nächstes geben Sie diese Zeile ein: rstrui.exe und drücken Sie ENTER.

system restore using command prompt rstrui.exe

4. Im geöffenten Fenster klicken Sie auf "Weiter".

restore system files and settings

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte und klicken Sie auf  "Weiter" (dies wird das System Ihres Computers auf eine frühere Zeit und ein früheres Datum zurücksetzen, bevor der CryptoWall Entführersoftware Virus Ihren PC infiltriert hat).

select a restore point

6. Im geöffneten Fenster klicken Sie auf "Ja".

run system restore

7. Nachdem Ihr Computer auf ein früheres Datum zurückgesetzt wurde, scannen Sie Ihren PC mit einer empfohlenen Anti-Spyware Software, damit alle Überreste der CryptoWall Dateien eliminiert werden.

Um die individuellen Dateien, die von dieser Erpressersoftware verschlüsselt wurden wiederherzustellen, sollten PC Nutzer versuchen die Windows Frühere Versionen Funktion zu nutzen. Diese Methode ist nur effektiv, wenn die Systemwiederherstellungsfunktion auf einen infizierten Betriebssystem aktiviert. war. Beachten Sie, dass einige Variationen von CryptoWall auch dafür bekannt sind, Schatten Volumen Kopien dieser Dateien zu entfernen, so dass diese Methode nicht auf allen Computern funktionieren könnte.

Um eine Datei wiederherzustellen, machen Sie einen Rechtsklick auf die Datei, gehen Sie auf Eigenschaften und wählen Sie den Frühere Versionen Reiter. Wenn die gewählte Datei ihren Wiederherstellungspunkt hatte, klicken Sie auf das "Wiederherstellen" Feld.

Restoring files encrypted by CryptoDefense

Wenn Sie Ihren Computer nicht im Abgesicherten Modus mit Netzwerktreibern (oder Eingabeaufforderung) starten können, sollten Sie Ihren Computer mit einer Rescue Diskette starten. Einige Varianten dieser Erpressersoftware deaktivieren den Abgesicherten Modus, wodurch die Entfernung komplizierter wird. Für diesen Schritt brauchen Sie Zugriff auf einen anderen Computer.

Andere Hilfsprogramme, die dafür bekannt sind, die CryptoWall Erpressersoftware zu entfernen:

Quelle: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus