Eine neue verbesserte Version der Ransomware CryptoWall hat in letzter Zeit begonnen, Computer weltweit anzugreifen. Die neue CryptoWall 3.0 verwendet einen lokalisierten Erpresserbrief und überträgt Datenverkehr auf eine Webseite, wo das Opfer den Schlüssel zur Entschlüsselung bezahlen kann, der für die Entschlüsselung der Dateien notwendig ist, über die anonymen Netze Tor und I2P.
CryptoWall ist eine Bedrohung vom Typ der Dateien verschlüsselnden Gefahren, die, einmal auf der angegriffenen Maschine aktiviert, einige ihrer Dateien verschlüsselt und eine Summe von 500 US-Dollar fordert, um den Schlüssel zur Entschlüsselung zur Verfügung zu stellen. Normalerweise ist das Lösegeld in virtueller Währung (Bitcoins) im Rahmen der ersten 168 Stunden zu bezahlen.
Zusammengefasste Information über die Bedrohung
| Name |
CryptoWall 3.0 |
| Typ | Ransomware, Cryptovirus |
| Kurze Beschreibung | Benutzerdateien sind verschlüsselt und unbrauchbar. |
| Symptome | Dem Opfer wird ein Erpresserbrief gezeigt. |
| Verbreitungswege | Über böswillige Anhänge |
| Erkennungswerkzeug |
Überprüfen Sie, ob Ihr System von Cerber angegriffen worden ist. Download
Werkzeug zum Entfernen von Schadsoftware
|
| Nutzererfahrung | Beteiligen Sie sich an unserem Forum, um über die CryptoWall 3.0 Ransomware zu diskutieren.. |
Die neuen Besonderheiten von CryptoWall 3.0
Neue Tor-to-Web-Gateways werden von der neuen Version von CryptoWall verwendet: torman2.com, torforall.com, torroadsters.com und torwoman.com. Ein davon verweist das Opfer auf dieselbe Webseite, die die Anweisungen zur Bezahlung des Lösegeldes enthält, aber die ID-Codes für die Verfolgung der Zahlungen sind einzigartig.
Der Zeitraum für die Bezahlung dauert von 5 Tagen bis einer Woche, danach wird die Summe auf 1000 US-Dollar erhöht.
Die Betrüger haben zusätzliche Dateien erstellt, die Informationen über die Bezahlung und die Wiederherstellung der verschlüsselten Daten enthalten:
- HELP_DECRYPT.HTML: benutzt Ihren Web-Browser, um Informationen über die Bedrohung, die Verschlüsselung und die Zahlungsarten zu zeigen
- HELP_DECRYPT.PNG: enthält Details über CryptoWall 3.0
- HELP_DECRYPT.TXT: dieselbe wie die vorige Datei, aber in Klartext
- HELP_DECRYPT.URL: u: benutzt Ihren aktuellen Web-Browser, um die Entschlüsselungsdienste von CryptoWall 3.0 zu zeigen, während Windows geladen wird CryptoWall 3.0 zu zeigen, während Windows geladen wird
Der Erpresserbrief von CryptoWall 3.0 enthält:
Was ist mit Ihren Dateien passiert?
Alle Dateien von Ihnen sind mit der starken Verschlüsselung von RSA-2048, die von CryptoWall verwendet wird, geschützt.
Mehr Information über die Schlüssel zur Verschlüsselung, die RSA-2048 verwenden, finden Sie hier: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Was bedeutet das?
Das heißt, dass die Struktur und die Daten in Ihren Dateien unwiderruflich geändert worden sind, Sie können also damit nicht mehr arbeiten, sie nicht lesen oder sehen; Es ist als ob Sie sie für immer verloren haben, aber mit unserer Hilfe werden Sie sie wiederherstellen können.
Wie ist das passiert?
Speziell für Sie wurde auf unserem Server ein geheimes Schlüsselpaar RSA-2048 – ein öffentlicher und ein privater Schlüssel, generiert.
Alle Dateien von Ihnen wurden mit dem öffentlichen Schlüssel verschlüsselt, der zu Ihrem Computer über Internet übertragen wurde.
Die Entschlüsselung Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und des Entschlüsselungsprogramms, das sich auf unserem Server befindet, möglich.
Was können Sie tun?
Falls Sie keine Maßnahmen im Rahmen der angegebenen Zeit ergreifen, werden die Bedingungen für das Erhalten des privaten Schlüssels verändert werden.
Falls Sie Ihre Daten wirklich schätzen, empfehlen wir Ihnen, keine wertvolle Zeit in der Suche nach weiteren Lösungen des Problems zu verlieren, weil es solche nicht gibt.
Nachdem der Prozess der Verschlüsselung der Dateien abgeschlossen ist, sind die Original-Dateien gelöscht. Im Falle, dass Sie keine Sicherungskopie Ihrer Dateien haben, können Sie eine zuverlässige Software benutzen, mit der Sie sie oder einen Teil davon über die Sicherungskopien von Windows wiederherstellen. Unten im Artikel finden Sie detaillierte Anweisungen, die Ihnen dabei helfen werden.
Verbindung zu den I2P-Dateien
Die neue Version von CryptoWall wurde von Sicherheitsexperten in Microsoft, sowie von dem französischen Forscher Kafeine, erkannt, der berichtet hat, dass die Kommunikation mit einem C&C-Server (Command-and-Control) mit einem RC4-Algorithmus verschlüsselt worden ist und sie ein I2P-Protokoll verwendet.
Seitdem Kafeine versucht, die Stichprobe der neuen Bedrohung zu testen, erhält er eine Fehlermeldung jedes Mal, wenn er einen Versuch macht, sich zu den Proxy-Servern zu verbinden. Die Meldung, die der Forscher erhielt, behauptet, dass die I2P-Webseite aus unterschiedlichen Gründen nicht verfügbar ist – Unmöglichkeit, sich zu den Systemen zu verbinden, oder wegen eines überfüllten Netzes. Die Hacker scheinen bereit in solchen Fällen zu sein, das sie detaillierte Anweisungen gegeben haben, wie wir Zugang zu den Entschlüsselungsdiensten des Netzes Tor erlangen können.
Neue Verbreitungswege von Cryptowall 3.0 (den 4. September 2015)
Wie dringt Cryptowall 3.0 ins System ein?
Die Ransomware Cryptowall war da lang genug, um den Forschern die Möglichkeit zu geben, detaillierte Information über seine Methoden zu sammeln. Die Ransomware verbreitet sich vor allem über E-Mails mit .ZIP-Anhängen, die ausführbare Dateien enthalten, maskiert als PDF-Dateien. Diese Dateien können als allerlei Form von Geschäfts-Kommunikation vorgestellt werden:
- Rechnungen
- Bestellungen
- Abrechnungen
- Klagen
Nachdem die böswillige PDF-Datei gestartet worden ist, wird CryptoWall im System installiert. Die böswilligen Dateien werden in einem der beiden Ordner %AppData% oder %Temp% lokalisiert. Danach wird die Bedrohung beginnen, die System-Laufwerke zu scannen, um nach Dateien zum Verschlüsseln zu suchen. Alle Laufwerksbuchstaben, sowie die Wechsellaufwerke, Netzanteile, inklusive der DropBox-Zuordnungen, werden gescannt werden. Jeder Laufwerksbuchstabe des angegriffenen Systems wird auf Dateien mit Daten geprüft werden.
Liste der Speicherorte, wo sich CryptoWall 3.0 befinden kann:
- %Temp%
- C:\[random]\[random].exe
- %AppData%
- %ProgramData%
- %LocalAppData%
Kann ich die Dateien finden, die von CryptoWall 3.0 verschlüsselt worden sind?
Dateien, die von CryptoWall 3.0 verschlüsselt worden sind, werden zusammen mit ihren Pfaden in der Windows-Registrierungsdatenbank gespeichert. Der Ablageort des Unterschlüssels wird im folgenden Format sein:
→HKCU\Software\[unique computer ID]\[random ID]
Ein reelles Beispiel sieht so aus:
→HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF
Der Prozess wird für jede verschlüsselte Datei unter dem erwähnten Schlüssel wiederholt.
ListCwall kann auch verwendet werden. Das ist ein Tool, das von Bleeping Computer entwickelt worden ist, um automatisch die verschlüsselten Dateien zu erkennen und zu exportieren. Das Tool kann auch Sicherungskopien der verschlüsselten Dateien auf einem anderen Speicherort erstellen, im Falle, dass der Benutzer entscheidet, sie zu archivieren und den Computer neu zu formatieren.
Liste der Dateinamenerweiterungen, nach denen CryptoWall 3.0 zum Verschlüsseln sucht:
→ .3dm, .3ds, .3fr, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .accde, .accdr, .accdt, .ach, .acr, .act, .adb
Die ransomware verbreitet und verbreitet bis heute noch. Sei vorsichtig mit dem, was du online machst.
Das Verhalten des Benutzers und der Ransomware. Phishing-Betrüge
Alles, was wir bis jetzt als Verbreitungswege beschrieben haben, kann nur eins bedeuten – Cyber-Kriminelle verlassen sich auf den Umgang des Benutzers mit dem böswilligen Spam. Die Methode ist als Phishing bekannt – eine Form von Social Engineering, für die oft gehalten wird, dass sie Schadsoftwares verbreitet und Benutzer-Dokumente und –Daten sammelt. Das ist eine beispielhafte E-Mail-Nachricht, die den Benutzern zeigt, wie der Betrug aussehen kann:
Image Source: Symantec
Cryptowall-Warnungshinweise
Um den böswilligen Angriffe zu vermeiden, vermeiden Sie das Herunterladen von verschlüsselten Dateien wie.zip, .jar, .tar, .7z, .msi, und ausführbaren Dateien/Textdateien wie .com, .exe, .scr, .bat, .js, .jse, .vb, .vbe, .wsf, .wsh, .cmd. Beachten Sie die Tatsache, dass die reellen Unternehmen es vermeiden würden, Ihnen Dateien von diesem Typ im Internet zu schicken, außer wenn Sie eine vorherige Vereinbarung darüber mit der konkreten Firma haben.
Außerdem können Sie Online-Dienste für Bewertung von Webseiten wie Norton Safe Web benutzen, um festzustellen, ob eine Webseite sicher ist. Was die Dateien verschlüsselnden Bedrohungen betrifft, ist die beste Warnungshinweis sehr simpel – sichern Sie Ihre Dateien. Berücksichtigen Sie das immer, besonders wenn Ihre Daten wertvoll sind und Sie viele Geschäftsdokumente auf Ihrem Computer haben.
CryptoWall 3.0 Entfernen und Verschlüsselte Dateien Wiederherstelle
Befolgen Sie die gegebenen Anweisungen, um alle Spuren von dieser Ransomware zu entfernen. Beachten Sie dabei, dass die beste und die sicherste Methode, das zu tun, die Verwendung eines mächtigen Anti-Schadsoftware-Programms ist.
CryptoWall 3.0 manuell von Ihrem Computer entfernen
Achtung! Wichtige Information über die Bedrohung CryptoWall 3.0:Eingriff in die Systemdateien und Register. So kann Ihr Computer beschädigt werden. Falls Ihre Computerkenntnisse nicht auf professioneller Ebene sind, haben Sie keine Angst. Sie können selbst die Beseitigung nur im Rahmen von 5 Minuten durchführen, mit Hilfe von einem Tool zum Entfernen von Schadsoftware.
1. Starten Sie Ihren Computer im abgesicherten Modus. (Safe Mode)
1.Für Windows 7, XP und Vista.
2. Für Windows 8, 8.1 und 10.
Fix registry entries created by CryptoWall 3.0 on your PC.– für Betriebssysteme WindowsXP, Vista und 7:
1. Werfen Sie alle CDs und DVDs aus, und dann starten Sie Ihren Computer vom Start-Menü neu.
2. Wählen Sie eine der Optionen unten:
– – Für Computer mit einem Betriebssystem:: Drücken Sie mehrfach die Taste “F8” während des Neustarts Ihres Computers, nachdem der erste Ladebildschirm erschienen ist. Im Falle, dass das Windows-Logo auf dem Bildschirm erscheint, müssen Sie dieselben Schritte wiederholen.
– für Computer mit mehreren Betriebssystemen: Die Pfeiltasten werden Ihnen bei der Wahl des Betriebssystems, das Sie in Safe Mode starten möchten, helfen. . Drücken Sie die Taste “F8” wie oben für Computer mit einem Betriebssystem beschrieben.
3. Nachdem der Bildschirm mit “Advanced Boot Options” erschienens ist, wählen Sie die Option Safe Mode die Sie möchten, mit Hilfe der Pfeiltasten. Nachdem Sie Ihre Wahl gemacht haben, drücken Sie “Enter“.
4. Melden Sie sich an, indem Sie Ihr Admin-Konto nutzen.
Während Ihr Computer in Safe Mode ist, werden die Wörter “Safe Mode” in jeder der vier Ecken Ihres Computers erscheinen.
Schritt 1: Öffnen Sie das Start-Menü.
Schritt 2: Halten Sie die Taste Shift klicken Sie auf Power und dann Restart.
Schritt 3: Nach dem Neustart erscheint das unten genannte Menü. Da wählen Sie Troubleshoot.
Schritt 4: Sie werden das Menü Troubleshoot sehen. Da wählen Sie Advanced Options.
Schritt 5: Nachdem das Menü Advanced Options erschienen ist, klicken Sie auf Startup Settings.
Schritt 6: Klicken Sie auf “Restart“.
Schritt 7: Das Neustartmenü wird erscheinen. Wählen Sie Safe Mode by pressing its corresponding number and the machine will restart.
Einige bösartige Skripte können die Registry-Einträge des Computers ändern, um verschiedene Einstellungen zu ändern. Aus diesem Grund manuelle Säuberung von Ihrer Windows-Registry-Datenbank wird dringend empfohlen. Da die Anleitung, wie dies zu tun, ein bisschen lenghty ist, empfehlen wir nach unserer instruktiv Artikel über Registry-Einträge zu fixieren.
Finden schädliche Dateien erstellt von CryptoWall 3.0
1. Für Windows 8, 8.1 und 10. 2. Für Betriebssysteme WindowsXP, Vista und 7.For Newer Windows Operating Systems
Schritt 1:
Auf Ihrer Tastatur drücken + R und schreibe explorer.exe in dem Run Textbox und klicken Sie dann auf die Ok Taste.
Schritt 2:
Klicke auf your PC von der schnellen Zugriffsleiste . Dies ist in der Regel ein Symbol mit einem Monitor und sein Name ist entweder “My Computer”, “My PC” oder “This PC” oder was auch immer Sie haben es benannt.
Schritt 2:
Navigieren Sie zu dem Suchfeld in der oberen rechten Ecke des PC-Bildschirms und der Art “fileextension:” und wonach geben Sie die Dateierweiterung. Wenn Sie sich für böswillige exe-Dateien suchen, kann ein Beispiel sein “fileextension:exe”. Danach werden sie einen Raum verlassen und den Dateinamen, den Sie sich die Malware erstellt hat glauben eingeben. Hier ist, wie es erscheinen kann, wenn Ihre Datei gefunden wurde:
N.B. Wir empfehlen für die grüne Ladebalken im Navigationsfeld zu warten, für den Fall, füllen Sie den PC für die Datei ist auf der Suche und haben sie noch nicht gefunden.
Für Betriebssysteme WindowsXP, Vista und 7:
Bei älteren der sollte herkömmlichen Ansatz des Windows-Betriebssystem sein, das effektiv ein:
Schritt 1:
Klicken Sie auf das Startmenü Symbol (in der Regel auf dem Boden links) und wählen Sie dann die Suchen Präferenz.
Schritt 2:
Nachdem das Suchfenster erscheint, wählen Sie More Advanced Options aus dem Suchassistent Box. Eine andere Möglichkeit ist, indem Sie auf All Files and Folders.
Schritt 3:
Danach geben Sie den Namen der Datei, die Sie suchen, und klicken Sie auf die Schaltfläche Suchen. Dies könnte einige Zeit dauern, nach der Ergebnisse angezeigt. Wenn Sie die bösartige Datei gefunden haben, können Sie seine Position zu kopieren oder zu öffnen, indem Sie Rechtsklick auf sie zu kopieren oder zu öffnen.
Jetzt sollten Sie jede Datei unter Windows entdecken können, solange sie auf der Festplatte ist und nicht über eine spezielle Software verborgen.
Automatisches Entfernen von CryptoWall 3.0 durch eine erweiterte Anti-Malware-Programm herunterzuladen.
Entfernen CryptoWall 3.0 mit SpyHunter Anti-Malware Tool
1. Installieren Sie SpyHunter zu scannen und entfernen CryptoWall 3.0.2. Scannen mit SpyHunter zum Erkennen und Entfernen CryptoWall 3.0.
Sichern Sie Ihre Daten, die sie vor Infektionen und Datei von CryptoWall 3.0 in Zukunft verschlüsseltSpy Hunter ist ein Scanningtool, das die Bedrohung nur erkennen wird. Im Falle, dass Sie die Bedrohung automatisch entfernen lassen möchten, ist es notwendig, dass Sie die volle Version des Anti-Schadsoftware-Tools kaufen. Erfahren Sie mehr über das Anti-Schadsoftware-Tool SpyHunter / SpyHunter deinstallieren
Schritt 2: Führen Sie sich von den Download-Anweisungen für jeden Browser zur Verfügung gestellt.
Schritt 3: Nachdem Sie SpyHunter installiert haben, warten Sie auf automatisch aktualisieren .
Schritt 1: Nach der Update-Vorgang abgeschlossen ist, klicken Sie auf die ‘Scan Computer Now’ Taste.
Schritt 2: Nach SpyHunter hat Ihren PC für alle CryptoWall 3.0 Dateien, finden Sie auf der Seite “Fix Bedrohungen”, um sie automatisch und dauerhaft zu entfernen.
Schritt 3: Sobald die Einbrüche auf Ihrem PC entfernt wurden, ist es sehr zu empfohlen neu starten.
Erstellen Sie Sicherungskopie Ihrer Daten, um sie vor zukünftigen Angriffen und Infektionen zu schützen
WICHTIG! Empfehlen wir Ihnen, automatisch Sicherungskopie Ihrer Daten mit einem Cloud-Dienst zu erstellen und sie gegen allerlei Datenverluste (sogar gegen die schwersten Datenverluste) auf Ihrem Gerät zu sichern. Es ist empfehlenswert, SOS Online Backup .”
Entfernen CryptoWall 3.0 von alternativen Antischadsoftware-Tools
STOPZilla Anti MalwareSchritt 1: Laden Sie hier herunter.
Schritt 2: In dem erschienenen Fenster klicken Sie auf ‘Save File’. Im Falle, dass keine Speicherung erfolgt, klicken Sie auf Download und speichern Sie später.
Schritt 3: ANachdem Sie die Konfiguration heruntergeladen haben, müssen Sie sie öffnen.
Schritt 4: The installer should appear. In dem erschienen Fenster klicken Sie auf ‘Next’.
Schritt 5: Kreuzen Sie ‘I accept the agreement’ an, nachdem Sie den Text gelesen haben und mit den Bedingungen einverstanden sind. Klicken Sie dann wieder auf ‘Next’.
Schritt 6: Prüfen Sie noch einmal ihre Wahl und klicken Sie dann auf ‘Install’.
Schritt 7: Nachdem der Installierungsprozess abgeschlossen ist, klicken Sie auf ‘Finish’.
2.Scannen Sie Ihren Computer mit STOPZilla Anti Malware, zum vollständigen Entfernen aller Dateien, die mit der Schadsoftware CryptoWall 3.0 verbunden sind.
Schritt 1: Starten Sie STOPZilla, falls Sie das nach dem Installierungsprozess noch nicht gemacht haben..
Schritt 2: Warten Sie auf die automatische Aktualisierung der Software und klicken Sie auf ‘Repair Now’. Im Falle, dass kein Scannen automatisch beginnt, klicken Sie auf ‘Scan Now’.
Schritt 3: Nach dem Entfernen aller Bedrohungen und Objekte, die mit der Schadsoftware verbunden sind, wäre es gut, wenn Sie Ihren Computer neustarten.
