CryptoWall-Virus

So entfernen Sie CryptoWall Virus - Schritte zum Entfernen von Viren (aktualisiert)

Anweisungen zum Entfernen des CryptoWall-Virus

Was ist CryptoWall?

Der CryptoWall-Ransomware-Virus infiltriert die Betriebssysteme der Benutzer über infizierte E-Mail-Nachrichten und gefälschte Downloads (z. B. unerwünschte Videoplayer oder gefälschte Flash-Updates). Nach erfolgreicher Infiltration verschlüsselt dieses Schadprogramm Dateien, die auf den Computern der Benutzer gespeichert sind (* .doc, * .docx, * .xls, * .ppt, * .psd, * .pdf, * .eps, * .ai, * .cdr , * .jpg usw.) und verlangt die Zahlung eines Lösegelds von 500 USD (in Bitcoins), um sie zu entschlüsseln. Cyberkriminelle, die für die Veröffentlichung dieses betrügerischen Programms verantwortlich sind, stellen sicher, dass es unter allen Windows-Versionen (Windows XP, Windows Vista, Windows 7 und Windows 8) ausgeführt wird. CryptoWall Ransomware erstellt in jedem Ordner, der die verschlüsselten Dateien enthält, die Dateien HELP_RECOVER_INSTRUCTIONS.PNG, HELP_RECOVER_INSTRUCTIONS.HTML und HELP_RECOVER_INSTRUCTIONS.TXT.



Diese Dateien enthalten Anweisungen, wie Benutzer ihre Dateien entschlüsseln können und wie der Tor-Browser (ein anonymer Webbrowser) verwendet wird. Cyberkriminelle benutzen Tor, um ihre Identität zu verbergen. PC-Benutzer sollten sich darüber im Klaren sein, dass die Entschlüsselung von Dateien (verschlüsselt mit RSA 2048-Verschlüsselung), die von diesem Schadprogramm betroffen sind, ohne Zahlung des Lösegelds nicht kompliziert ist. Zum Zeitpunkt der Recherche gab es keine Tools oder Lösungen, mit denen von CryptoWall verschlüsselte Dateien entschlüsselt werden konnten. Beachten Sie, dass der zum Entschlüsseln der Dateien erforderliche private Schlüssel von den CryptoWall-Befehls- und Kontrollservern gespeichert wird, die von Cyberkriminellen verwaltet werden. Daher ist die ideale Lösung, diesen Ransomware-Virus zu entfernen und dann Ihre Daten aus einer Sicherung wiederherzustellen.



CryptoWall-Ransomware greift den Computer des Opfers an:

kann nicht mit integriertem Administrator geöffnet werden

Cryptowall infizierte PC-Probe



Screenshot einer Nachricht in den Dateien HELP_RECOVER_INSTRUCTIONS.PNG, HELP_RECOVER_INSTRUCTIONS.HTML und HELP_RECOVER_INSTRUCTIONS.TXT:

Anweisungen zum Entschlüsseln der Kryptowand

CryptoWall 3.0 HELP_DECRYPT.PNG-, HELP_DECRYPT.HTML- und HELP_DECRYPT.TXT-Screenshots:



Cryptowall 3.0 Hauptbildschirm cryptowall 3.0 hilft beim Entschlüsseln von HTML-Dateien cryptowall 3.0 hilft beim Entschlüsseln von PNG-Dateien cryptowall 3.0 hilft beim Entschlüsseln der txt-Datei

Ransomware-Infektionen wie CryptoWall (einschließlich CryptoDefense , CryptorBit , und Cryptolocker ) präsentieren ein starkes Argument, um regelmäßige Sicherungen Ihrer gespeicherten Daten aufrechtzuerhalten. Beachten Sie, dass das Bezahlen des Lösegelds, wie es von dieser Ransomware verlangt wird, dem Senden Ihres Geldes an Cyberkriminelle entspricht. Sie unterstützen deren böswilliges Geschäftsmodell und es gibt keine Garantie dafür, dass Ihre Dateien jemals entschlüsselt werden. Um eine Computerinfektion mit solchen Ransomware-Infektionen zu vermeiden, sollten Sie beim Öffnen von E-Mail-Nachrichten Vorsicht walten lassen, da Cyberkriminelle verschiedene eingängige Titel verwenden, um PC-Benutzer zum Öffnen infizierter E-Mail-Anhänge zu verleiten (z. B. 'UPS Exception Notification'). Untersuchungen zeigen, dass Cyberkriminelle auch P2P-Netzwerke und gefälschte Downloads verwenden, die gebündelte Ransomware-Infektionen enthalten, um CryptoWall zu verbreiten.

Nachricht in den Dateien HELP_RECOVER_INSTRUCTIONS.PNG, HELP_RECOVER_INSTRUCTIONS.HTML und HELP_RECOVER_INSTRUCTIONS.TXT:

Was ist mit Ihren Dateien passiert?
Alle Ihre Dateien wurden durch eine starke Verschlüsselung mit RSA-2048 unter Verwendung von CryptoWall 3.0 geschützt. Weitere Informationen zu den Verschlüsselungsschlüsseln mit RSA-2048 finden Sie hier: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Was bedeutet das ?
Dies bedeutet, dass die Struktur und die Daten in Ihren Dateien unwiderruflich geändert wurden. Sie können nicht mit ihnen arbeiten, sie lesen oder sehen. Es ist dasselbe, als würden Sie sie für immer verlieren, aber mit unserer Hilfe können Sie sie wiederherstellen .

Wie ist es passiert ?
Speziell für Sie wurde auf unserem Server das geheime Schlüsselpaar RSA-2048 generiert - öffentlich und privat. Alle Ihre Dateien wurden mit dem öffentlichen Schlüssel verschlüsselt, der über das Internet auf Ihren Computer übertragen wurde. Das Entschlüsseln Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und des Entschlüsselungsprogramms möglich, das sich auf unserem geheimen Server befindet.

Was kann ich tun ?
Wenn Sie für die angegebene Zeit nicht die erforderlichen Maßnahmen ergreifen, werden die Bedingungen für den Erhalt des privaten Schlüssels geändert. Wenn Sie Ihre Daten wirklich schätzen, empfehlen wir Ihnen, keine wertvolle Zeit mit der Suche nach anderen Lösungen zu verschwenden, da diese nicht vorhanden sind.

Für genauere Anweisungen besuchen Sie bitte Ihre persönliche Homepage. Es gibt einige verschiedene Adressen, die auf Ihre Seite unten verweisen:

1. hxxps: //kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps: //kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps: //kpai7ycr7jxqkilp.onion.to/3koe

Wenn die Adressen aus bestimmten Gründen nicht verfügbar sind, gehen Sie folgendermaßen vor:

1. Laden Sie den tor-browser herunter und installieren Sie ihn: hxxp: //www.torproject.org/projects/torbrowser.html.de
2. Führen Sie nach einer erfolgreichen Installation den Browser aus und warten Sie auf die Initialisierung.
3. Geben Sie die Adressleiste ein: kpai7ycr7jxqkilp.onion/3koe
4. Befolgen Sie die Anweisungen auf der Website.

Update 2014 2. Oktober - Cyberkriminelle haben die CryptoWall-Ransomware aktualisiert, die jetzt als CryptoWall 2.0 bekannt ist. Während die Kernelemente dieser Ransomware unverändert bleiben, haben Cyberkriminelle diese Updates angewendet:

  • Cyberkriminelle, die für die Veröffentlichung von CryptoWall 2.0 verantwortlich sind, verwenden jetzt ihre eigenen Web-to-TOR-Gateways (pay2tor.com, tor2pay.com, pay4tor.com und tor4pay.com). Dadurch können sie vor Behörden verborgen bleiben.
  • CryptoWall 2.0 erstellt für jedes Opfer eine eindeutige Bitcoin-Zahlungsadresse (in der Originalversion wurde für alle gefährdeten Computer eine Bitcoin-Zahlungsadresse verwendet).
  • Die neue Version löscht Originaldatendateien - Opfer können keine Datenwiederherstellungstools mehr verwenden, um die Kontrolle über ihre verschlüsselten Dateien zurückzugewinnen.

Screenshot der CryptoWall 2.0 Ransomware:

Cryptowall 2.0 Ransomware

Update 2015 6. August - Cyberkriminelle haben eine weitere Variante dieser Ransomware veröffentlicht - CryptoWall 3.0 (verbirgt C & C-Kommunikation mit dem I2P-Anonymitätsnetzwerk - erstellt in jedem Ordner, der die verschlüsselten Dateien enthält, die Dateien HELP_DECRYPT.PNG, HELP_DECRYPT.HTML und HELP_DECRYPT.TXT). Die neue Variante wird angehängt .aaa Nach den ursprünglichen Dateinamen und Erweiterungen, die von dieser Ransomware verschlüsselt werden, z. B. familyphoto.jpg .aaa Anweisungen zur Entschlüsselung und Lösegeldzahlung sind jetzt in gespeichert restore_files_ [zufälliger Buchstabe] .html und restore_files_ [zufälliger Buchstabe] .txt Dateien:

Cryptowall 3.0 Ransomware (help_decrypt Virus)

Update 2015 5. November - Cyberkriminelle haben eine weitere Variante dieser Ransomware veröffentlicht - CryptoWall 4.0 Die neue Variante verhält sich genauso wie die Vorgängerversionen. Zu den Änderungen im Vergleich zur CryptoWall 3-Ransomware gehören: Geänderte Lösegeldforderung Die verschlüsselten Dateien auf dem Computer des Opfers erhalten jetzt eindeutige verschlüsselte Namen (zum Beispiel: 8354no9f.7gt8 ) Das Lösegeld von 500 $ wird jetzt auf 700 $ erhöht. Die Dateien, in denen die Opfer Anweisungen zur Zahlung des Lösegelds finden, sind jetzt in den Dateien HELP_YOUR_FILES.HTML, HELP_YOUR_FILES.TXT und HELP_YOUR_FILES.PNG gespeichert. Leider waren zum Zeitpunkt des Schreibens dieser Nachricht keine Tools verfügbar, um die kompromittierten Dateien zu entschlüsseln, ohne das Lösegeld zu zahlen.

Screenshot der Cryptowall 4.0-Ransomware:

Cryptowall 4.0 Ransomware

Screenshot einer infizierten E-Mail-Nachricht, die in der CryptoWall-Distribution verwendet wird:

Kryptowandverteilung über UPS Spam-E-Mails

Text in den infizierten E-Mail-Nachrichten:

Von: UPS Quantum View [automatisch benachrichtigen (at) ups.com]
Betreff: UPS-Ausnahmemeldung, Sendungsnummer 1Z522A9A6892487822

Erfahren Sie mehr über UPS: Besuchen Sie ups.com
Auf Wunsch des Versenders wird darauf hingewiesen, dass die Lieferung der folgenden Sendung verschoben wurde.

Wichtige Lieferinformationen

Tracking-Nummer: 1Z522A9A6892487822
Umgeplanter Liefertermin: 14. April 2014
Ausnahmegrund: DER KUNDE WAR BEIM 1. VERSUCH NICHT VERFÜGBAR. EIN 2. VERSUCH WIRD GEMACHT. PAKET WIRD AM NÄCHSTEN GESCHÄFTSTAG GELIEFERT.
Versanddetail: 1Z522A9A6892487822

Screenshot einer CryptoWall-Lösegeldzahlungsseite:

Kryptowand Website Captcha Schutz

Cryptowall-Entschlüsselungsseite

Nachricht auf der CryptoWall-Lösegeldzahlungsseite:

Dienst entschlüsseln
Ihre Dateien sind verschlüsselt.
Um den Schlüssel zum Entschlüsseln von Dateien zu erhalten, müssen Sie 500 USD / EUR bezahlen. Wenn die Zahlungen nicht vor dem [Datum] erfolgen, erhöhen sich die Kosten für das Entschlüsseln von Dateien um das Zweifache und betragen 1000 USD / EUR. Vor dem Erhöhen des verbleibenden Betrags: [Countdown-Timer]

Wir präsentieren eine spezielle Software - CryptoWall Decrypter - mit der Sie alle Ihre verschlüsselten Dateien entschlüsseln und die Kontrolle zurückgeben können. Wie kaufe ich CryptoWall Entschlüsseler?

Wie installiere ich Vulkan unter Windows 10?

1. Sie sollten Bitcoin Waller registrieren
2. Bitcoins kaufen - Obwohl es noch nicht einfach ist, Bitmünzen zu kaufen, wird es von Tag zu Tag einfacher.
3. Senden Sie 1,22 BTC an die Bitcoin-Adresse: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Geben Sie die Transaktions-ID ein und wählen Sie den Betrag aus.
5. Bitte überprüfen Sie die Zahlungsinformationen und klicken Sie auf 'ZAHLEN'.

Beachten Sie, dass zum Zeitpunkt des Schreibens keine Tools bekannt waren, mit denen von CryptoWall verschlüsselte Dateien entschlüsselt werden konnten, ohne das Lösegeld zu zahlen. Wenn Sie diese Anleitung zum Entfernen befolgen, können Sie diese Ransomware von Ihrem Computer entfernen. Die betroffenen Dateien bleiben jedoch verschlüsselt. Wir werden diesen Artikel aktualisieren, sobald weitere Informationen zur Entschlüsselung gefährdeter Dateien verfügbar sind.

Entfernung des CryptoWall-Virus:

Sofortige automatische Entfernung von Malware: Das manuelle Entfernen von Bedrohungen kann ein langwieriger und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse erfordert. Malwarebytes ist ein professionelles Tool zum automatischen Entfernen von Malware, das empfohlen wird, um Malware zu entfernen. Laden Sie es herunter, indem Sie auf die Schaltfläche unten klicken:
▼ HERUNTERLADEN Malwarebytes Durch das Herunterladen der auf dieser Website aufgeführten Software stimmen Sie unseren zu Datenschutz-Bestimmungen und Nutzungsbedingungen . Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.

Wie entferne ich den wahren Schlüssel von meinem Computer?

Schnellmenü:

Schritt 1

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Windows Advanced Option angezeigt wird, und wählen Sie dann in der Liste den abgesicherten Modus mit Netzwerk aus.

Abgesicherten Modus mit Netzwerktreibern

Video, das zeigt, wie Windows 7 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 8-Benutzer: Windows 8 ist im abgesicherten Modus mit Netzwerk starten - Gehen Sie zum Windows 8-Startbildschirm und geben Sie Erweitert ein. Wählen Sie in den Suchergebnissen Einstellungen aus. Klicken Sie auf Erweiterte Startoptionen. Wählen Sie im geöffneten Fenster 'Allgemeine PC-Einstellungen' die Option Erweiterter Start. Klicken Sie auf die Schaltfläche 'Jetzt neu starten'. Ihr Computer wird nun im Menü 'Erweiterte Startoptionen' neu gestartet. Klicken Sie auf die Schaltfläche 'Fehlerbehebung' und dann auf die Schaltfläche 'Erweiterte Optionen'. Klicken Sie im Bildschirm für erweiterte Optionen auf 'Starteinstellungen'. Klicken Sie auf die Schaltfläche 'Neustart'. Ihr PC wird im Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Windows 8-abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 8 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 10-Benutzer : Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf 'Neu starten', während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster 'Option auswählen' auf 'Fehlerbehebung' und anschließend auf 'Erweiterte Optionen'. Wählen Sie im Menü 'Erweiterte Optionen' die Option 'Starteinstellungen' und klicken Sie auf die Schaltfläche 'Neustart'. Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Schaltfläche 'F5' klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Windows 10 abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 10 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 10-Benutzer : Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf 'Neu starten', während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster 'Option auswählen' auf 'Fehlerbehebung' und anschließend auf 'Erweiterte Optionen'. Wählen Sie im Menü 'Erweiterte Optionen' die Option 'Starteinstellungen' und klicken Sie auf die Schaltfläche 'Neustart'. Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Schaltfläche 'F5' klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Windows 10 abgesicherter Modus mit Netzwerk

Firefox Diese Verbindung ist nicht sicher

Video, das zeigt, wie Windows 10 im abgesicherten Modus mit Netzwerk gestartet wird:

Schritt 2

Melden Sie sich bei dem mit dem CryptoWall-Virus infizierten Konto an. Starten Sie Ihren Internetbrowser und laden Sie ein legitimes Anti-Spyware-Programm herunter. Aktualisieren Sie die Anti-Spyware-Software und starten Sie einen vollständigen System-Scan. Entfernen Sie alle erkannten Einträge.

▼ HERUNTERLADEN Entferner für
Malware-Infektionen

Malwarebytes prüft, ob Ihr Computer mit Malware infiziert ist. Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.


Wenn Sie Ihren Computer nicht im abgesicherten Modus mit Netzwerk starten können, führen Sie eine Systemwiederherstellung durch.

Video, das zeigt, wie Ransomware-Viren mithilfe von 'Abgesicherter Modus mit Eingabeaufforderung' und 'Systemwiederherstellung' entfernt werden:

1.Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Erweiterte Windows-Optionen angezeigt wird. Wählen Sie dann den abgesicherten Modus mit Eingabeaufforderung aus der Liste aus und drücken Sie die EINGABETASTE.

Starten Sie Ihren Computer im abgesicherten Modus mit der Eingabeaufforderung

2. Geben Sie beim Laden des Eingabeaufforderungsmodus die folgende Zeile ein: CD wiederherstellen und drücken Sie ENTER.

Systemwiederherstellung mit Eingabeaufforderung Typ CD-Wiederherstellung

3. Geben Sie als Nächstes diese Zeile ein: rstrui.exe und drücken Sie ENTER.

Systemwiederherstellung über die Eingabeaufforderung rstrui.exe

4. Klicken Sie im geöffneten Fenster auf 'Weiter'.

Systemdateien und Einstellungen wiederherstellen

5. Wählen Sie einen der verfügbaren Wiederherstellungspunkte aus und klicken Sie auf 'Weiter' (dadurch wird Ihr Computersystem zu einem früheren Zeitpunkt und Datum wiederhergestellt, bevor der CryptoWall-Ransomware-Virus Ihren PC infiltriert).

Wählen Sie einen Wiederherstellungspunkt

6. Klicken Sie im geöffneten Fenster auf 'Ja'.

Systemwiederherstellung starten

Firefox-Patch.js taucht immer wieder auf

7. Nachdem Sie Ihren Computer auf ein vorheriges Datum zurückgesetzt haben, laden Sie Ihren PC herunter und scannen Sie ihn mit empfohlene Software zum Entfernen von Malware um alle verbleibenden CryptoWall-Dateien zu entfernen.

Verwenden Sie die Windows-Funktion 'Vorherige Versionen', um einzelne mit dieser Ransomware verschlüsselte Dateien wiederherzustellen. Diese Methode ist nur wirksam, wenn die Systemwiederherstellungsfunktion auf einem infizierten Betriebssystem aktiviert wurde. Beachten Sie, dass einige CryptoWall-Varianten bekanntermaßen Shadow Volume-Kopien der Dateien entfernen, sodass diese Methode möglicherweise nicht auf allen Computern funktioniert.

Um eine Datei wiederherzustellen, klicken Sie mit der rechten Maustaste darauf, gehen Sie zu Eigenschaften und wählen Sie die Registerkarte Vorherige Versionen. Wenn die betreffende Datei einen Wiederherstellungspunkt hat, wählen Sie diesen aus und klicken Sie auf die Schaltfläche 'Wiederherstellen'.

Wiederherstellen von mit CryptoDefense verschlüsselten Dateien

Wenn Sie Ihren Computer nicht im abgesicherten Modus mit Netzwerk (oder mit Eingabeaufforderung) starten können, Starten Sie Ihren Computer mit einer Rettungsdiskette. Einige Varianten von Ransomware deaktivieren den abgesicherten Modus, wodurch das Entfernen kompliziert wird. Für diesen Schritt benötigen Sie Zugriff auf einen anderen Computer.

Um die Kontrolle über die von CryptoWall verschlüsselten Dateien zurückzugewinnen, können Sie auch versuchen, ein Programm namens zu verwenden Schatten-Explorer . Weitere Informationen zur Verwendung dieses Programms finden Sie Hier .

Screenshot des Schatten-Explorers

Verwenden Sie seriöse Antiviren- und Anti-Spyware-Programme, um Ihren Computer vor der Verschlüsselung von Ransomware wie dieser zu schützen. Als zusätzliche Schutzmethode können Sie Programme namens HitmanPro.Alert und Malwarebytes Anti-Ransomware verwenden, die Gruppenrichtlinienobjekte künstlich in die Registrierung implantieren, um unerwünschte Programme wie CryptoWall zu blockieren.)

HitmanPro.Alert CryptoGuard - erkennt die Verschlüsselung von Dateien und neutralisiert solche Versuche, ohne dass der Benutzer eingreifen muss:

Hitmanproalert Ransomware-Verhinderungsanwendung

Malwarebytes Anti-Ransomware Beta verwendet fortschrittliche proaktive Technologie, die die Ransomware-Aktivität überwacht und sofort beendet - bevor die Benutzerdateien erreicht werden:

Malwarebytes Anti-Ransomware

  • Der beste Weg, um Schäden durch Ransomware-Infektionen zu vermeiden, besteht darin, regelmäßig aktuelle Backups zu erstellen. Weitere Informationen zu Online-Backup-Lösungen und Datenwiederherstellungssoftware Hier .

Andere Tools zum Entfernen von CryptoWall-Ransomware: