Wana Decrypt0r 2.0 .WNCRY Datei-Virus (Wiederherstellen von Dateien) Update Juni 2017

Wana Decrypt0r 2.0 .WNCRY Datei-Virus (Wiederherstellen von Dateien)

Dieser Artikel wird erstellt, um Ihnen die helfen, zu entfernen .WNCRY Wana Decrypt0r 2.0 Ransomware-Infektion (neue WannaCry Variante) und Wiederherstellen von Dateien mit der verschlüsselten .WNCRY Dateierweiterung.

Eine neue Ransom, namens Wana Decrypt0r 2.0 von Malware Jäger wurde berichtet, Dateien auf den Computern von ihm infiziert verschlüsseln. Der Erpresser-Virus nutzt die .WNCRY Dateierweiterung und es ist im Grunde berichtet eine neue Version der seine WannaCry auch als WCry bekannt Familie von Ransomware Viren. Die Infektion fällt ein Erpresserbrief, genannt @ Please_Read_Me @ .txt und ändert die Tapete sowie fügt Software mit Anweisungen für die Zahlung des Lösegeldes. Falls Sie ein Opfer dieser Ransomware-Infektion geworden, empfehlen wir folgende Artikel stark zu lesen gründlich.

Threat Zusammenfassung

Name

.WNCRY

ArtRansomware
kurze BeschreibungNew Mai 2017 Version der WannaCry Ransomware Viren. Verschlüsselt Dateien und dann verlangt Opfer eine saftige Lösegeld Gebühr zu zahlen, um die verschlüsselten Dateien wiederherstellen.

SymptomeDie Dateien werden verschlüsselt mit der .WNCRY Dateierweiterung zu ihnen hinzugefügt. Zusätzlich zu dieser ein Erpresserbrief angefügt, namens @ Please_Read_Me @ .txt. Auch fügt eine Lockscreen, der Name „Wana Decrypt0r 2.0“.
VerteilungsmethodeÜber ein Exploit-Kit, DLL-Datei Angriff, bösartiger JavaScript oder ein Drive-by-Download der Malware in einer verschleierten Weise.
Detection Tool Prüfen Sie, ob Ihr System von .WNCRY betroffen

Herunterladen

Malware Removal Tool

BenutzererfahrungVerbinden Sie unsere Foren, um diskutieren .WNCRY.
Data Recovery-ToolWindows Data Recovery von Stellar Phoenix Beachten! Dieses Produkt scannt Ihr Laufwerk Sektoren verlorene Dateien wiederherzustellen, und es kann sich nicht erholen 100% der verschlüsselten Dateien, aber nur wenige von ihnen, je nach Situation und ob Sie das Laufwerk neu formatiert haben.

.WNCRY Virus – Wie funktioniert es Verbreiten

Ähnlich wie bei der vorherigen .wcry Variante , diese Ransomware Iteration kann auch die gleichen Methoden verwenden, um zu verbreiten. Sie sind mit der Verwendung von verschiedenen Arten von Tools, die speziell ohne schädliche Dateien und URLs zu verteilen verwendet verbunden sind, erfasst:

  • Die ETERNALBLUE und DOUBLEPULSARE Exploits durch die ShadowBrokers in einem Leck ausgetreten, namens “Lost in Translation” das geschah im April 2017
  • Spamming Software (Spam-Bots, Crawlern, etc)
  • Vorkonfigurierte Liste von E-Mail-Adressen von potentiellen Opfern, an die Spam-Mail verschickt werden kann.
  • Intermediary Malware, die Infektion zu dirigieren.
  • Eine Reihe von C2-Servern und Verteilungsdomänen für die Steuerung und das Herunterladen der Datei .WNCRY Virus’ Nutzlast.

Auch wenn die WanaCrypt0r 2.0 Ransomware kann über Torrent-Websites verbreitet, gefälschtes Updates oder andere gefälschte Setups und ausführbare Dateien auf schattige hots hochgeladen, Der primäre Methode des Virus verbreiten kann über zeugend erstellt E-Mails sein. Solche E-Mails zielen Opfer zu bekommen auf einem schädlichen E-Mail-Anhang klicken und damit mit der infiziert werden .WNCRY Dateivirus.

Die Anlagen können in der Regel Js sein, .exe oder eine andere Art von ausführbaren Dateien, aber in manchen Situationen sind sie auch mit bösartigen Makros verwendet. Diese bösartige Makros kann aktiviert werden, wenn der Benutzer den Inhalt auf einem Dokument ermöglicht. Hier ist, wie diese Infektion Prozess durchgeführt wird,:

Die ersten Infektionen von Wana Decrypt0r 2.0 haben in Deutschland, Russland, Taiwan, Türkei, Kasachstan, Indonesien, Vietnam, Japan, Spanien, Ukraine und den Philippinen. Aber die Länder Zahl kann sehr schnell steigen bald, da dieses Muster zeigt globale Verteilung Kampagne.

.WNCRY Datei-Virus Wie funktioniert es

Die Haupttätigkeit des Wana Decrypt0r 2.0 Ransomware-Virus nach der Infektion ist eine eingebettete Datei in den Ordner fallen, wo die Infektion Datei befindet. Die Datei wird ein Passwort geschützt .zip, genannt wcry.zip. Es hat die folgenden Inhalte:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

Die Wana Decrypt0r 2.0 Ransomware der Infektion Datei wird dann extrahieren, diese ZIP-Dateien in einen Ordner und beginnt mit der Download-Webseite des TOR Web-Browser verbinden. Von dort, die .Wana Decrypt0r 2.0 Virus kann auf mehrere Kommando- und Kontrollserver verbinden:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Dann, Wana Decrypt0r 2.0 bereitet sich auf lebenswichtige Opfer Dateien verschlüsseln. Um dies zu tun, es läuft ein Verwaltungsbefehl in Windows, um Verwaltungsfunktionen zu erhalten:

→ icacls . /Jeder gewähren:F / T / C / Q

Dann, die Wana Decrypt0r 2.0 Virus schließt die folgenden Windows-Systemprozesse aus dem Task-Manager nach unten:

→ mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
Microsoft Exchange

Die Nutzlast kann aus mehreren verschiedenen Arten von Dateien bestehen. Einige dieser Dateien können Sie die Windows-Registrierungs-Editor ändern und zielen auf die folgenden Unterschlüssel:

→ HKCU Software Microsoft Windows Currentversion Run
HKCU Software WanaCrypt0r
HKCU Software WanaCrypt0r wd
HKCU Control Panel Desktop Wallpaper

In diesen Schlüsseln, benutzerdefinierter Wert Strings mit Daten in ihnen kann eingegeben werden, so dass es möglich ist, für die Ransomware beim Systemstart ausgeführt werden und beginnen, Dateien auf Boot-Verschlüsselung.

Neben der Aktivität von WanaCrypt0r .WNCRY Infektion kann die Schattenvolumen Kopien löschen und alle Chancen, das Zurücksetzen von Dateien über Backup auf dem infizierten Computer auszurotten. Dies wird durch Ausführen der folgenden administrativen Windows-Befehle getan:

→ vssadmin Schatten / all / quiet löschen
wmic shadow löschen
bcdedit / set boostatuspolicy ignoreallfailures
bcdedit / set {Standard} recoveryenabled nein & wbadmin Katalog -quiet löschen

Neben dieser Tätigkeit, WannaCry .WNCRY Virus fällt auch ein Programm, genannt @ WanaDecryptor @ .exe dass ein vorhandenen Timer mit erweiterten Anweisungen, wie das Lösegeld zahlen. Dieses Programm wird „Wana Decrypt0r 2.0“ genannt und es ist Nachricht sieht wie folgt aus:

Nachdem der Timer auf dieses Programm läuft, um die Kosten für das Lösegeld Auszahlung verdoppeln, nach den Scareware-Meldungen und der vorherigen Version, auch mit dieser Software.

Eine weitere Aktion das Programm macht, ist, dass es ändert sich auch die Wallpaper auf dem Computer des Opfers mit der folgenden Meldung:

Ooops, Ihre wichtigen Dateien sind verschlüsselt.
Wenn Sie diesen Text sehen,, aber nicht sehen, die „Wana Decrypt0r” Fenster,
dann entfernt Ihr Antivirus die Entschlüsselungs-Software oder Sie es von Ihrem Computer gelöscht.
Wenn Sie Ihre Dateien benötigen, müssen Sie die Entschlüsselungs-Software ausführen.
Bitte finden Sie eine Anwendung Datei mit dem Namen “@ WanaDecryptor @ .exe” in einem beliebigen Ordner oder von den Anti-Virus-Quarantäne wiederherstellen.
Führen und folgen Sie den Anweisungen!

.WNCRY Datei-Virus - Verschlüsselungsprozess

Zwei Verschlüsselungsalgorithmen können für diese spezifische Ransomware-Infektion verwendet werden. Einer von denen ist als AES bekannt (Advanced Encryption Standard) und kann in 128-Bit der Stärke verwendet werden,. Es ist eines der stärksten Verschlüsselungen und kann nicht entschlüsselt werden, wenn die Verbrecher einen Fehler in dem Verschlüsselungscode machen. Es kann einen symmetrischen Schlüssel erzeugen, genannt FEK Schlüssel nach der Verschlüsselung. Dieser Schlüssel kann die einzige Methode sein, um die Dateien zu entschlüsseln, weil mit ihm kann der Prozess umgekehrt werden.

Außerdem, eine andere Chiffre bekannt als Rivers-Shamir-Adleman oder RSA wird auch in Kombination mit dem AES-Chiffre zu erzeugen, um einzigartige öffentliche und private Schlüssel für jede der Dateien verwendet. Dies macht die Entschlüsselung der Dateien getrennt und sehr schwierig und einzigartigen Prozess.

Für die Verschlüsselung, die .WNCRY Virus Ziele Dateien, die häufig verwendet werden. Diese Dateien sind in der Regel die folgenden:

→ .ldf, .sln, .seine, .cpp, .nicht, .asm, .cmd, .Schläger, .vbs, .tauchen, .DCH, .sch, .brd, .jsp, .php, .Klasse, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .Mitte, .djvu, .svg, .psd, .Schiff, .tiff, .tif, .CGM, .roh, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .Sicherungskopie, .Reißverschluss, .rar, .tgz, .nimmt, .hinter, .Tbk, .PAQ, .BOGEN, .aes, .gPG, .VMX, .vmdk, .vdi, .sldm, .sldx, .sti, .sie, .Biese, .cents, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .Computer, .Antworten, .OTP, .sxd, .std, .uop, .Antwort, .otg, .sxm, .MML, .legen, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .mdb, .CIS, .dbf, .odb, .frm, .Welt, .verkauft, .IBD, .MDF, .msg, .ost, .PST, .Wanderwege, .POTX EML, .der, .pfx, .Taste, .CRT, .csr, .pem, .odt, .da, .sxw, .stw, .uot, .max, .Absatz, .ots, .sxc, .stc, .dif, .slk, .Natter, .Java, .PPAM, .ppsx, .PPSM, .pps, .Pot, .pptm, .pptx, .ppt, .xltm, .xltx, .XLC, .XLM, .XLT, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .Punkt, .docm, .docb, .docx, .doc, .Glas

Nachdem die Verschlüsselung erfolgt, das .WNCRY Virus kann den Entschlüsselungsschlüssel für die Cyber-Kriminellen senden, damit sie eine benutzerdefinierte Decrypter für das Opfer schaffen, die ihn zurückgeschickt werden, sobald das Lösegeld bezahlt. Zahlung des Lösegeldes, jedoch ist nicht ratsam.

Die Dateien haben eine zusätzliche .WNCRY Dateierweiterung zu ihnen, die für die Infektion ist einzigartig. Die Dateien können wie die folgenden erscheinen und kann nicht mit Software geöffnet werden:

entfernen WanaCrypt0r 2.0 und Wiederherstellung von verschlüsselten Dateien .WNCRY

Um .WNCRY Ransomware zu entfernen, bitten wir Sie, ein Backup Ihrer Dateien zuerst von Kopien von ihnen zu schaffen und dann mit dem Entfernen fortzufahren. Eine Methode, um sie zu entfernen, wenn Sie die Anweisungen zum Entfernen am Ende dieses Artikels folgen. Sie sind sorgfältig erstellt, um alle Dateien zu helfen, löschen Sie zuerst durch Isolierung des Virus .WNCRY. Wenn Sie möchten, um automatisch und vollständig die WanaCrypt0r entfernen 2.0 Bedrohung, Empfehlungen sind auf das Entfernen der Ransomware Infektion mit Hilfe eines erweiterten Anti-Malware-Tool zu konzentrieren, die sicher, dass der Entfernungsprozess zügig machen ist.

Für die Wiederherstellung Ihrer Dateien, bitten wir Sie, die alternativen Methoden zu versuchen, für verschlüsselte Dateien Wiederherstellen. Sie werden möglicherweise nicht alle Ihre Dateien wiederherstellen können aber die meisten Ihrer verschlüsselten Dateien im rechten Szenario wiederherstellen. Sie können die Methoden In Schritt finden "2. Wiederherstellen von Dateien verschlüsselt durch .WNCRY“ unten.

Löschen Sie manuell .WNCRY von Ihrem Computer

Notiz! Erhebliche Benachrichtigung über die .WNCRY Bedrohung: Manuelle Entfernung von .WNCRY erfordert Eingriffe in Systemdateien und Registrierungsstellen. So, es kann zu Schäden an Ihrem PC führen. Auch wenn Ihr Computer Fähigkeiten nicht auf professionellem Niveau, mach dir keine Sorgen. Sie können die Entfernung selbst nur in zu tun 5 Minuten, Verwendung einer Malware Removal Tool.

1. Starten Sie Ihren PC im abgesicherten Modus zu isolieren und entfernen .WNCRY Dateien und Objekte
2. Finden schädliche Dateien von .WNCRY auf Ihrem PC erstellt

Automatisch entfernen .WNCRY durch eine erweiterte Anti-Malware-Programm herunterzuladen

1. Entfernen .WNCRY mit SpyHunter Anti-Malware-Tool und sichern Sie Ihre Daten
2. Wiederherstellen von Dateien verschlüsselt durch .WNCRY
Fakultativ: Mit Alternative Anti-Malware-Tools

UPDATE MAY 2017 Wir haben mögliche Methoden, mit denen aufsummiert Sie theoretisch könnten versuchen, und Wiederherstellen von Dateien. Wir haben auch neue Informationen darüber, wie funktioniert diese Virusausbreitung. Die Anweisungen sind in der folgende Artikel.

Update Juli 2017! WannaCry hat weiterhin Einrichtungen mit Zielen in Australien und Europa zu infizieren und. Viele Nachahmer des Virus haben herauskam, imitieren es ist Erpresserbrief. Das Virus hat traf auch ein Krankenhaus, eine Operation eines Patienten zu verzögern.

Vencislav Krustev

Ein Netzwerk-Administrator und Malware-Forscher bei SensorsTechForum mit Leidenschaft für die Entdeckung neuer Verschiebungen und Innovationen im Bereich Cyber-Sicherheit. Glaubt fest an die Grundbildung von jedem Benutzer in Richtung Online-Sicherheit.

Mehr Beiträge - Webseite

8 Kommentare

  1. QuatNet

    und VHD und .avhd zu. Container für Hyper-V Server,

    1. Vencislav Krustev

      ja, und ich glaube auch, dass Sie verwendet wird, kann .VHDX, aber ich habe es nicht getestet

  2. Patrick Junge

    Gibt es jemanden, der mir einen Virus Beispiel geben könnte?

    1. sein m

      Wenn Sie benötigt wird, kann ich Ihnen die Datei geben, aber wir müssen eine Lösung finden, um die betroffenen Dateien zu entschlüsseln. Wie in meiner Forschung haben sie alle Dateien auf dem Computer verschlüsselt, die Entfernung des Virus ist einfach, aber die Datei kann wiederhergestellt werden benötigt. fügen Sie Ihre E-Mail hier, damit ich Ihnen die Virus-Datei wird gemeinsam nutzen

  3. Muhammad Bintang Religion

    Ich brauche das Virus auch für Ausbildungszwecke

    1. Vencislav Krustev

      Gut, gegeben, wie weit verbreitet ist, Ich glaube nicht, es wird eine Herausforderung für Sie, um eine Probe zu erhalten,.

  4. Biswas Sea

    Systemwiederherstellung, kann diesen Virus entfernen Hilfe…Mithilfe der Windows-Installations-DVD…

  5. Doomday Joseph

    guter Tag, wenn das Virus kommt meinen PC beeinflussen, es kann die Formatierung der Maschine beseitigen?, Das Virus befällt Linux?

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...
Warten Sie mal...

Abonniere unseren Newsletter

Möchten Sie benachrichtigt werden, wenn unsere Artikel veröffentlicht? Geben Sie einfach Ihre E-Mail-Adresse und den Namen unter den ersten sein, wissen.