Wie russische Medien berichten, wurde die Arbeit von Abteilungen des Innenministeriums in mehreren Regionen Russlands durch eine Ransomware unterbrochen, die viele Computer infiziert hat und droht, alle Daten zu zerstören. Darüber hinaus wurde der Kommunikationsbetreiber Megafon angegriffen.

Die Rede ist vom Ransomware-Trojaner WCry (WannaCry oder WannaCryptor). Er verschlüsselt die Informationen auf dem Computer und verlangt für die Entschlüsselung ein Lösegeld in Höhe von 300 oder 600 US-Dollar in Bitcoin.

@[email protected], verschlüsselte Dateien, Erweiterung WNCRY. Es sind ein Dienstprogramm und Entschlüsselungsanweisungen erforderlich.

WannaCry verschlüsselt Dateien und Dokumente mit den folgenden Erweiterungen, indem es .WCRY am Ende des Dateinamens hinzufügt:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry-Angriff auf der ganzen Welt

In mehr als 100 Ländern wurden Angriffe registriert. Russland, die Ukraine und Indien haben die größten Probleme. Berichte über Virusinfektionen kommen aus Großbritannien, den USA, China, Spanien und Italien. Es wird darauf hingewiesen, dass der Hackerangriff Krankenhäuser und Telekommunikationsunternehmen auf der ganzen Welt betraf. Eine interaktive Karte zur Ausbreitung der WannaCrypt-Bedrohung ist im Internet verfügbar.

Wie kommt es zu einer Infektion?

Wie Benutzer sagen, gelangt der Virus ohne ihr Zutun auf ihre Computer und verbreitet sich unkontrolliert über Netzwerke. Im Kaspersky-Lab-Forum weisen sie darauf hin, dass selbst ein aktiviertes Antivirenprogramm keine Sicherheit garantiert.

Es wird berichtet, dass der WannaCry-Ransomware-Angriff (Wana Decryptor) über die Schwachstelle Microsoft Security Bulletin MS17-010 erfolgt. Anschließend wurde auf dem infizierten System ein Rootkit installiert, mit dem die Angreifer ein Verschlüsselungsprogramm starteten. Alle Lösungen von Kaspersky Lab erkennen dieses Rootkit als MEM:Trojan.Win64.EquationDrug.gen.

Die Infektion soll einige Tage zuvor stattgefunden haben, doch der Virus manifestierte sich erst, nachdem er alle Dateien auf dem Computer verschlüsselt hatte.

So entfernen Sie WanaDecryptor

Sie können die Bedrohung mit einem Antivirenprogramm entfernen; die meisten Antivirenprogramme erkennen die Bedrohung bereits. Allgemeine Definitionen:

Avast Win32:WanaCry-A , Durchschnittlich Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Lösegeld:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Wenn Sie die Bedrohung bereits auf Ihrem Computer gestartet haben und Ihre Dateien verschlüsselt wurden, ist das Entschlüsseln der Dateien nahezu unmöglich, da durch die Ausnutzung der Sicherheitslücke ein Netzwerkverschlüsseler gestartet wird. Es stehen jedoch bereits mehrere Optionen für Entschlüsselungstools zur Verfügung:

Notiz: Wenn Ihre Dateien verschlüsselt waren und keine Sicherungskopie vorhanden ist und vorhandene Entschlüsselungstools nicht geholfen haben, wird empfohlen, die verschlüsselten Dateien zu speichern, bevor Sie die Bedrohung von Ihrem Computer entfernen. Sie werden nützlich sein, wenn in Zukunft ein für Sie geeignetes Entschlüsselungstool erstellt wird.

Microsoft: Windows-Updates installieren

Microsoft sagte, dass Benutzer mit aktiviertem kostenlosen Antivirenprogramm und Windows System Update des Unternehmens vor WannaCryptor-Angriffen geschützt sind.

Updates vom 14. März beheben die Systemschwachstelle, über die der Ransomware-Trojaner verbreitet wird. Heute wurde die Erkennung zu den Antivirendatenbanken von Microsoft Security Essentials/Windows Defender hinzugefügt, um vor einer neuen Malware namens Ransom:Win32.WannaCrypt zu schützen.

• Stellen Sie sicher, dass Ihr Antivirenprogramm aktiviert und die neuesten Updates installiert sind.
• Installieren Sie ein kostenloses Antivirenprogramm, wenn Ihr Computer über keinen Schutz verfügt.
• Installieren Sie die neuesten Systemupdates mit Windows Update:
  • Für Windows 7, 8.1Öffnen Sie im Startmenü die Systemsteuerung > Windows Update und klicken Sie auf Nach Updates suchen.
  • Für Windows 10 Gehen Sie zu Einstellungen > Update & Sicherheit und klicken Sie auf „Nach Updates suchen“.
• Wenn Sie Updates manuell installieren, installieren Sie den offiziellen Microsoft-Patch MS17-010, der die SMB-Server-Schwachstelle behebt, die beim WanaDecryptor-Ransomware-Angriff verwendet wird.
• Wenn Ihr Antivirenprogramm über einen Ransomware-Schutz verfügt, aktivieren Sie ihn. Wir haben auch einen separaten Bereich auf unserer Website, Ransomware Protection, in dem Sie kostenlose Tools herunterladen können.
• Führen Sie einen Virenscan Ihres Systems durch.

Experten weisen darauf hin, dass der einfachste Weg, sich vor einem Angriff zu schützen, darin besteht, Port 445 zu schließen.

• Geben Sie sc stop lanmanserver ein und drücken Sie die Eingabetaste
• Geben Sie für Windows 10 ein: sc config lanmanserver start=disabled, für andere Windows-Versionen: sc config lanmanserver start=disabled und drücken Sie die Eingabetaste
• Starte deinen Computer neu
• Geben Sie an der Eingabeaufforderung netstat -n -a | ein findstr „HÖREN“ | findstr „:445“, um sicherzustellen, dass der Port deaktiviert ist. Wenn leere Zeilen vorhanden sind, lauscht der Port nicht.

Öffnen Sie ggf. den Port wieder:

• Führen Sie die Eingabeaufforderung (cmd.exe) als Administrator aus
• Geben Sie für Windows 10 ein: sc config lanmanserver start=auto , für andere Windows-Versionen: sc config lanmanserver start= auto und drücken Sie die Eingabetaste
• Starte deinen Computer neu

Notiz: Port 445 wird von Windows für die Dateifreigabe verwendet. Das Schließen dieses Ports verhindert nicht, dass der PC eine Verbindung zu anderen Remote-Ressourcen herstellt, andere PCs können jedoch keine Verbindung zum System herstellen.