Wcry ist ein neuer Name zwischen den Ransomware-Viren. Wie es aussieht, hat die Infektion keine außergewöhnlichen Eigenschaften und ist ein typischer Ransomware-Virus. Der Wcry-Virus gefährdet die Betroffenen mit dem AES-128 Verschlüsselungsverfahren. Während dem Verschlüsselungsprozess, generiert der Algorithmus zwei Schlüssel. Einer davon ist öffentlich und für die Verschlüsselung verantwortlich, während der zweite zur Entschlüsselung der Dateien dient. Dieser zweite Schlüssel ist aber privat und ihn kennen nur die Hacker. Deshalb fordern sie von den Betroffenen Geld und geben ihnen sogar eine bestimmte Frist, um das ganze noch stressiger zu gestalten. Die Frist beträgt 5-6 Tage. Danach verdoppelt sich das Lösegeld für die Entschlüsselung. Statt der Forderung von 0.1 BTC, beträgt das Lösegeld dann bereits 0.2 BTC. Es ist aber nicht empfehlenswert, die Hacker zu bezahlen. Man sollte lieber zuverlässige Sicherheitsforscher kontaktieren und sich deren Meinung anhören.
Funktionalität des Wcry Virus
Ihre Dateien wurden also vom Wcry-Virus verschlüsselt. Wie konnte das passieren? Wie konnte die Ransomware in Ihr System gelangen? Dazu waren einige Aktionen nötig. Der Wcry-Virus konzentriert sich stark auf seine Verteilung. Wenn eine bösartige Spam-Kampagne geklappt hat, werden nun die nachfolgenden Aktionen der Ransomware durchgeführt. Eine davon ist die Änderung der Windows Registry Keys. Daraus kann man schließen, dass der Wcry-Virus sich so positionieren will, dass er bei jedem Neustart des Betriebssystem automatisch ausgeführt wird. Der Virus kontaktiert auch seinen C&C-Server, um Informationen über den Betroffenen weiterzuleiten.
Nach Ausführung dieser Änderung führt die Ransomware größere Prozesse durch. Als Erstes, überprüft der Wcry-Virus sorgfältig die auf Ihrem Hard-Drive gespeicherten Dateien und entscheidet, welche davon verschlüsselt werden sollen. Da die Ransomware mit über 150 Dateitypen kompatibel ist, sind wir uns sicher, dass bei diesem Prozess viele zu verschlüsselnden Dateien gefunden werden. Nachdem die Daten ausgewählt wurden, führt der Wcry-Virus die Verschlüsselung durch. Dafür wird das AES-128 Verschlüsselungsverfahren verwendet: Sobald die Dateien verschlüsselt werden, können Sie nicht mehr auf sie zugreifen. Stattdessen wird der Wcry-Virus ein Fenster mit den nötigen Informationen anzeigen, wo steht, dass die mit der .wcry Extension versehenen Dateien an die Betroffenen zurückgegeben werden, nachdem das Lösegeld bezahlt wird.
Der Wcry Virus ruiniert Ihre Dateien: Wie geht die Entschlüsselung?
Im Moment gibt e skein offiziell veröffentlichtes Tool, das 100%-ige Dateiwiederherstellung garantiert. Es ist aber trotzdem nicht empfehlenswert, das Lösegeld zu bezahlen, da es auch andere Methoden für die Wiederherstellung Ihrer Daten gibt. Eine davon ist, zu überprüfen, ob der Wcry-Virus auch die Shadow Volume Copies vernichtet hat. Wenn nicht, können Sie dies zu Ihrem Vorteil nutzen. Eine andere Möglichkeit ist, zu bedenken, dass manche Universaltools funktionieren könnten und die verschlüsselten Dateien wiederherstellen könnten. Wenn Sie Ihre Dateien in Backup-Speichern gespeichert haben, können Sie die Situation extem schnell bewältigen: Alles was Sie tun müssen, ist, die Dateien von den Backup-Speichern herunterzuladen. Vergessen Sie in Zukunft nicht, Ihre Dateien in Backup-Speichern zu speichern, da sich dies im Fall einer Ransomware-Infektion als nützlich herausstellen könnte.
Quellen des Wcry-Virus
Überraschenderweise werden viele Ransomware-Viren sehr gut durch E-Mails verteilt. Bösartige Spam-Kampagnen werden jeden Tag ausgeführt und millionen von Leuten erhalten solche unechten Mails in ihren Postfächern. Mit dem Öffnen einer Mail und dem Download eines bösartigen Executables könnten sie ohne ihre Kenntniss ihr ganzes System gefährden. Überprüfen Sie immer, ob der Absender zuverlässig ist und ob die Mail relevant für Sie ist. Laden Sie NIEMALS Anhänge herunter, wenn Sie nicht 100%-ig sicher sind, dass der Absender zuverlässig ist. Falls Sie ein Microsoft Word Dokument sehen sollten, welches Sie auffordert, bestimmte Makros im Dokument zu aktivieren, sollten Sie diesen Bedingungen auf gar keinen Fall zustimmen. Solche Dateien sollte man gar nicht erst herunterladen.
Spyhunter oder Malwarebytes werden Ihr Gerät gut schützen und Sie über den aktuellen Stand informieren. Wenn Sie mit dem Wcry-Virus infiziert sind, wird dies angezeigt. Zusätzliche Erklärungen über die Entfernung des Virus und die Entschlüsselung von Dateien werden im nächsten Abschnitt diskutiert.
Wcry Virus Schnelle Links
- Funktionalität des Wcry Virus
- Der Wcry Virus ruiniert Ihre Dateien: Wie geht die Entschlüsselung?
- Quellen des Wcry-Virus
- Programme zur automatischen Entfernung von Malware
- Wie entferne ich Wcry-Virus mit einer Systemwiederherstellung?
- Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
- Shritt 2. Schließen Sie die Entfernung von Wcry-Virus ab.
- Shritt 3. Stellen Sie die von Wcry-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Wcry Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Wcry Virus und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,
Wie entferne ich Wcry-Virus mit einer Systemwiederherstellung?
Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.
für Windows 7 / Vista/ XP
- Start → Herunterfahren → Neu starten → OK.
- Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
- Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.
für Windows 8 / 10
- Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
- Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
- Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.
Stellen Sie Ihre Systemdateien und Einstellungen wieder her.
- Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
- Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
- Klicken Sie im nächsten Fenster auf „Weiter“.
- Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Wcry ransomware in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
- Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.
Shritt 2. Schließen Sie die Entfernung von Wcry-Virus ab.
Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Wcry ransomware in Verbindung stehen, zu entfernen.
Shritt 3. Stellen Sie die von Wcry-Virus betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her
Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Wcry ransomware, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.
Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.
a) Windows-VorgängerversionenKlicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.
b) Shadow Explorer
Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.
Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.