Wenn es auf Ihrem Computer angezeigt wird SMS, das besagt, dass Ihre Dateien verschlüsselt sind, dann geraten Sie nicht in Panik. Was sind die Symptome einer Dateiverschlüsselung? Die übliche Erweiterung ändert sich in *.vault, *.xtbl, * [email protected] _XO101 usw. Die Dateien können nicht geöffnet werden – es ist ein Schlüssel erforderlich, der durch Senden eines Briefes an die in der Nachricht angegebene Adresse erworben werden kann.

Woher haben Sie die verschlüsselten Dateien?

Der Computer hat sich einen Virus eingefangen, der den Zugriff auf Informationen blockiert. Antivirenprogramme übersehen sie oft, da dieses Programm normalerweise auf harmlosen Programmen basiert kostenloses Dienstprogramm Verschlüsselung. Sie werden den Virus selbst schnell genug entfernen, es können jedoch ernsthafte Probleme bei der Entschlüsselung der Informationen auftreten.

Technischer Support für Kaspersky Lab, Dr.Web und andere berühmte Unternehmen, das als Reaktion auf Benutzeranfragen zur Entschlüsselung von Daten an der Entwicklung von Antivirensoftware beteiligt ist, berichtet, dass dies nicht in akzeptabler Zeit möglich sei. Es gibt mehrere Programme, die den Code abfangen können, aber sie können nur mit zuvor untersuchten Viren arbeiten. Wenn Sie damit konfrontiert werden neue Modifikation, dann sind die Chancen, den Zugang zu Informationen wiederherzustellen, äußerst gering.

Wie gelangt ein Ransomware-Virus auf einen Computer?

In 90 % der Fälle aktivieren Benutzer den Virus selbst auf ihrem Computer, unbekannte Briefe öffnen. Anschließend wird eine Nachricht per E-Mail mit einem provokanten Betreff verschickt – „Vorladung“, „Kreditschuld“, „Mitteilung des Finanzamtes“ usw. In dem gefälschten Brief befindet sich ein Anhang, nach dessen Herunterladen die Ransomware auf den Computer gelangt und nach und nach den Zugriff auf die Dateien blockiert.

Die Verschlüsselung erfolgt nicht sofort, sodass Benutzer Zeit haben, den Virus zu entfernen, bevor alle Informationen verschlüsselt sind. Zerstören bösartiges Skript möglich mit Reinigungsdienstprogrammen Dr.Web CureIt, Kaspersky Internetsicherheit und Malwarebytes Antimalware.

Methoden zur Dateiwiederherstellung

Wenn der Systemschutz auf Ihrem Computer aktiviert ist, besteht auch nach der Einwirkung eines Ransomware-Virus die Möglichkeit, Dateien mithilfe von Schattenkopien in ihren normalen Zustand zurückzusetzen. Ransomware versucht normalerweise, sie zu entfernen, aber manchmal scheitert dies aufgrund fehlender Administratorrechte.

Wiederherstellen einer früheren Version:

Damit frühere Versionen gespeichert werden, müssen Sie den Systemschutz aktivieren.

Wichtig: Der Systemschutz muss aktiviert werden, bevor die Ransomware auftritt, danach hilft sie nicht mehr.

1. Öffnen Sie die Computereigenschaften.
2. Wählen Sie im Menü auf der linken Seite „Systemschutz“ aus.
   
3. Wählen Sie Laufwerk C aus und klicken Sie auf „Konfigurieren“.
4. Wählen Sie die Option zum Wiederherstellen von Einstellungen und früheren Dateiversionen. Übernehmen Sie die Änderungen, indem Sie auf „Ok“ klicken.

Wenn Sie diese Schritte ausgeführt haben, bevor ein dateiverschlüsselnder Virus auftrat, dann nach der Säuberung Ihres Computers bösartiger Code Sie haben gute Chancen, Ihre Daten wiederherzustellen.

Verwendung spezieller Dienstprogramme

Kaspersky Lab hat mehrere Dienstprogramme vorbereitet, die beim Öffnen verschlüsselter Dateien nach der Entfernung des Virus helfen. Der erste Entschlüsseler, den Sie ausprobieren sollten, ist Kaspersky RectorDecryptor.

1. Laden Sie das Programm von der offiziellen Website von Kaspersky Lab herunter.
2. Führen Sie dann das Dienstprogramm aus und klicken Sie auf „Scan starten“. Geben Sie den Pfad zu einer beliebigen verschlüsselten Datei an.

Wenn das Schadprogramm die Erweiterung der Dateien nicht geändert hat, müssen Sie sie zum Entschlüsseln in einem separaten Ordner sammeln. Wenn das Dienstprogramm RectorDecryptor ist, laden Sie zwei weitere Programme von der offiziellen Kaspersky-Website herunter – XoristDecryptor und RakhniDecryptor.

Das neueste Dienstprogramm von Kaspersky Lab heißt Ransomware Decryptor. Es hilft beim Entschlüsseln von Dateien nach dem CoinVault-Virus, der im RuNet noch nicht sehr verbreitet ist, aber bald andere Trojaner ersetzen könnte.

„Tut mir leid, dass ich Sie störe, aber... Ihre Dateien sind verschlüsselt. Um den Entschlüsselungsschlüssel zu erhalten, überweisen Sie dringend einen bestimmten Geldbetrag auf Ihr Portemonnaie... Andernfalls werden Ihre Daten für immer zerstört. Du hast 3 Stunden, die Zeit ist vergangen.“ Und das ist kein Scherz. Ein Verschlüsselungsvirus ist eine mehr als echte Bedrohung.

Heute sprechen wir darüber, was die in den letzten Jahren verbreitete Ransomware-Malware ist, was man bei einer Infektion tun kann, wie man seinen Computer heilt und ob das überhaupt möglich ist und wie man sich davor schützt.

Wir verschlüsseln alles!

Ein Ransomware-Virus (Encryptor, Cryptor) ist eine spezielle Art bösartiger Ransomware, deren Aktivität darin besteht, die Dateien des Benutzers zu verschlüsseln und dann ein Lösegeld für das Entschlüsselungstool zu verlangen. Die Lösegeldbeträge beginnen bei etwa 200 US-Dollar und reichen bis zu Zehntausenden und Hunderttausenden grünen Papierstücken.

Vor einigen Jahren liefen nur Computer weiter Windows-basiert. Heute hat sich ihr Angebot auf scheinbar gut geschützte Linux-, Mac- und Android-Geräte ausgeweitet. Darüber hinaus wächst die Vielfalt der Verschlüsselungsgeräte ständig – nach und nach erscheinen neue Produkte, die die Welt in Erstaunen versetzen. So entstand es durch die „Kreuzung“ eines klassischen Verschlüsselungstrojaners und eines Netzwerkwurms ( Schadsoftware, die sich ohne aktive Beteiligung der Benutzer über Netzwerke verbreitet).

Nach WannaCry erschienen nicht weniger anspruchsvolle Petya und Bad Rabbit. Und da das „Verschlüsselungsgeschäft“ den Eigentümern gute Einnahmen bringt, können Sie sicher sein, dass sie nicht die letzten sind.

Immer mehr Ransomware, insbesondere solche, die in den letzten drei bis fünf Jahren das Licht der Welt erblickt haben, verwenden starke kryptografische Algorithmen, die nicht durch rohe Gewalt oder andere Methoden geknackt werden können. vorhandene Mittel. Die einzige Möglichkeit, Daten wiederherzustellen, besteht darin, den Originalschlüssel zu verwenden, den die Angreifer zum Kauf anbieten. Allerdings ist selbst die Überweisung des erforderlichen Betrags keine Garantie für den Erhalt des Schlüssels. Kriminelle haben es nicht eilig, ihre Geheimnisse preiszugeben und potenzielle Gewinne zu verlieren. Und welchen Sinn haben sie, ihre Versprechen zu halten, wenn sie das Geld bereits haben?

Verbreitungswege verschlüsselnder Viren

Der Hauptweg, über den Schadsoftware auf die Computer von Privatanwendern und Organisationen gelangt, sind E-Mails, genauer gesagt Dateien und Links, die an E-Mails angehängt sind.

Ein Beispiel für einen solchen Brief für „Firmenkunden“:

• „Zahlen Sie Ihre Kreditschulden sofort zurück.“
• „Die Klage wurde vor Gericht eingereicht.“
• „Zahlen Sie die Geldstrafe/Gebühr/Steuer.“
• „Zusätzliche Gebühr für Stromrechnungen.“
• „Oh, bist du das auf dem Foto?“
• „Lena hat mich gebeten, dir das dringend zu geben“ usw.

Stimmen Sie zu, nur ein sachkundiger Benutzer würde einen solchen Brief mit Vorsicht behandeln. Die meisten Menschen werden ohne zu zögern den Anhang öffnen und das Schadprogramm selbst starten. Übrigens, trotz der Schreie des Antivirenprogramms.

Auch Folgendes wird aktiv zur Verbreitung von Ransomware genutzt:

• Soziale Netzwerke (Mailing von den Accounts von Freunden und Fremden).
• Schädliche und infizierte Webressourcen.
• Bannerwerbung.
• Mailing über Messenger von gehackten Konten.
• Vareznik-Sites und Distributoren von Keygens und Cracks.
• Websites für Erwachsene.
• Anwendungs- und Inhaltsspeicher.

Die Überträger verschlüsselnder Viren sind häufig andere Schadprogramme, insbesondere Werbedemonstratoren und Backdoor-Trojaner. Letztere nutzen Schwachstellen im System und in der Software aus, um dem Kriminellen zu helfen Fernzugriff auf das infizierte Gerät. Der Start des Verschlüsselungsprogramms fällt in solchen Fällen nicht immer zeitlich mit potenziell gefährlichen Benutzeraktionen zusammen. Solange die Hintertür im System verbleibt, kann ein Angreifer jederzeit in das Gerät eindringen und eine Verschlüsselung veranlassen.

Um die Computer von Organisationen zu infizieren (schließlich können sie mehr aus ihnen herausholen als von Heimanwendern), werden besonders ausgefeilte Methoden entwickelt. Beispielsweise drang der Petya-Trojaner über das Update-Modul des Steuerbuchhaltungsprogramms MEDoc in Geräte ein.

Verschlüsselungsgeräte mit Funktionen Netzwerkwürmer, wie bereits erwähnt, verbreiten sich aufgrund von Protokollschwachstellen über Netzwerke, einschließlich des Internets. Und man kann sich mit ihnen infizieren, ohne überhaupt etwas zu tun. Nutzer von Windows-Betriebssystemen, die selten aktualisiert werden, sind am stärksten gefährdet, da Updates bekannte Lücken schließen.

Einige Schadprogramme wie WannaCry nutzen 0-Day-Schwachstellen aus, also solche, die den Systementwicklern noch nicht bekannt sind. Leider ist es auf diese Weise nicht möglich, einer Infektion vollständig zu widerstehen, aber die Wahrscheinlichkeit, dass Sie zu den Opfern gehören, liegt nicht einmal bei 1 %. Warum? Ja, denn Malware kann nicht alle anfälligen Maschinen gleichzeitig infizieren. Und während neue Opfer geplant werden, gelingt es den Systementwicklern, ein lebensrettendes Update zu veröffentlichen.

Wie sich Ransomware auf einem infizierten Computer verhält

Der Verschlüsselungsprozess beginnt in der Regel unbemerkt, und wenn die Anzeichen sichtbar werden, ist es bereits zu spät, die Daten zu retten: Zu diesem Zeitpunkt hat die Malware alles verschlüsselt, was sie erreichen kann. Manchmal bemerkt der Benutzer möglicherweise, wie die Dateien in einigen Ordner öffnen Die Erweiterung hat sich geändert.

Das unvernünftige Erscheinen einer neuen und manchmal auch einer zweiten Erweiterung auf Dateien, nach deren Öffnung sie nicht mehr geöffnet werden, weist eindeutig auf die Folgen eines Verschlüsselungsangriffs hin. Anhand der Erweiterung, die beschädigte Objekte erhalten, lässt sich übrigens meist die Schadsoftware identifizieren.

Ein Beispiel für die Erweiterungen verschlüsselter Dateien:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn usw.

Es gibt viele Optionen und morgen werden neue hinzukommen, daher macht es keinen Sinn, alles aufzulisten. Um die Art der Infektion zu bestimmen, genügt es, der Suchmaschine mehrere Erweiterungen zuzuführen.

Weitere Symptome, die indirekt auf den Beginn der Verschlüsselung hinweisen:

• Für den Bruchteil einer Sekunde erscheinen Befehlszeilenfenster auf dem Bildschirm. Meistens ist dies ein normales Phänomen bei der Installation von System- und Programmupdates, aber es ist besser, es nicht unbeaufsichtigt zu lassen.
• UAC fordert zum Starten eines Programms auf, das Sie nicht öffnen wollten.
• Plötzlicher Neustart des Computers mit anschließender Nachahmung des Betriebs Systemdienstprogramm Festplattenprüfung (andere Variationen sind möglich). Bei der „Verifizierung“ erfolgt der Verschlüsselungsvorgang.

Nachdem der Schadvorgang erfolgreich abgeschlossen wurde, erscheint auf dem Bildschirm eine Meldung mit einer Lösegeldforderung und verschiedenen Bedrohungen.

Ransomware verschlüsselt einen erheblichen Teil der Benutzerdateien: Fotos, Musik, Videos, Textdokumente, Archive, E-Mails, Datenbanken, Dateien mit Programmerweiterungen usw. Sie berühren jedoch keine Betriebssystemobjekte, da Angreifer nicht benötigen, dass der infizierte Computer nicht mehr funktioniert. Manche Viren ersetzen sich selbst Boot-Records Festplatten und Partitionen.

Nach der Verschlüsselung werden in der Regel alle Schattenkopien und Wiederherstellungspunkte vom System gelöscht.

So heilen Sie einen Computer von Ransomware

Das Entfernen bösartiger Programme von einem infizierten System ist einfach – fast alle Antivirenprogramme können die meisten davon problemlos bewältigen. Aber! Es ist naiv zu glauben, dass die Beseitigung des Täters das Problem lösen wird: Unabhängig davon, ob Sie den Virus entfernen oder nicht, bleiben die Dateien weiterhin verschlüsselt. Darüber hinaus erschwert dies in manchen Fällen die spätere Entschlüsselung, sofern möglich.

Korrekte Vorgehensweise beim Starten der Verschlüsselung

• Sobald Sie Anzeichen einer Verschlüsselung bemerken, Schalten Sie den Computer sofort aus, indem Sie die Taste gedrückt halten3-4 Sekunden lang mit Strom versorgen. Dadurch werden zumindest einige der Dateien gespeichert.
• Auf einem anderen Computer erstellen Bootdiskette oder ein Flash-Laufwerk mit einem Antivirenprogramm. Zum Beispiel, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD usw.
• Starten Sie den infizierten Computer von dieser Festplatte und scannen Sie das System. Entfernen Sie alle gefundenen Viren und bewahren Sie sie in Quarantäne auf (falls sie zur Entschlüsselung benötigt werden). Erst danach Sie können Ihren Computer von Ihrer Festplatte starten.
• Versuchen Sie, verschlüsselte Dateien mithilfe von Systemtools oder Drittanbietern aus Schattenkopien wiederherzustellen.

Was tun, wenn die Dateien bereits verschlüsselt sind?

• Verliere nicht die Hoffnung. Die Websites der Entwickler von Antivirenprodukten enthalten kostenlose Entschlüsselungsprogramme für verschiedene Arten von Malware. Insbesondere Versorgungsunternehmen von Avast Und Kaspersky Lab.
• Nachdem Sie den Encodertyp ermittelt haben, laden Sie das entsprechende Dienstprogramm herunter. Mach es auf jeden Fall Kopien beschädigte Dateien und versuche sie zu entschlüsseln. Bei Erfolg den Rest entschlüsseln.

Wenn die Dateien nicht entschlüsselt sind

Wenn keines der Dienstprogramme hilft, haben Sie wahrscheinlich an einem Virus gelitten, für den es noch keine Heilung gibt.

Was können Sie in diesem Fall tun:

• Wenn Sie ein kostenpflichtiges Antivirenprodukt verwenden, wenden Sie sich an dessen Support-Team. Senden Sie mehrere Kopien der beschädigten Dateien an das Labor und warten Sie auf eine Antwort. Wenn technisch möglich, helfen sie Ihnen weiter.

Übrigens, Dr.Web ist eines der wenigen Labore, das nicht nur seinen Anwendern, sondern allen Betroffenen hilft. Auf dieser Seite können Sie eine Anfrage zum Entschlüsseln der Datei senden.

• Wenn sich herausstellt, dass die Dateien hoffnungslos beschädigt sind, sie aber für Sie von großem Wert sind, können Sie nur hoffen und darauf warten, dass eines Tages Abhilfe geschaffen wird. Das Beste, was Sie tun können, ist, das System und die Dateien unverändert zu lassen, d. h. vollständig deaktiviert und nicht verwendet zu werden Festplatte. Das Löschen von Malware-Dateien, die Neuinstallation des Betriebssystems und sogar die Aktualisierung können Sie berauben und diese Chance, da bei der Generierung von Verschlüsselungs-/Entschlüsselungsschlüsseln häufig eindeutige Systemkennungen und Kopien des Virus verwendet werden.

Die Zahlung des Lösegelds ist keine Option, da die Wahrscheinlichkeit, dass Sie den Schlüssel erhalten, gegen Null geht. Und es hat keinen Sinn, ein kriminelles Geschäft zu finanzieren.

So schützen Sie sich vor dieser Art von Malware

Ich möchte nicht Ratschläge wiederholen, die jeder Leser hunderte Male gehört hat. Ja, installieren gutes Antivirenprogramm Klicken Sie nicht auf verdächtige Links und blablabla – das ist wichtig. Doch wie das Leben gezeigt hat, gibt es heute keine magische Pille, die Ihnen eine 100-prozentige Sicherheitsgarantie gibt.

Die einzig wirksame Methode zum Schutz vor Ransomware dieser Art ist Sicherung Daten auf andere physische Medien, einschließlich Cloud-Dienste. Backup, Backup, Backup...

Und jedes Jahr tauchen immer mehr neue auf... immer interessanter. Der in letzter Zeit beliebteste Virus (Trojan-Ransom.Win32.Rector), der alle Ihre Dateien (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar usw.) verschlüsselt . .D.). Das Problem besteht darin, dass die Entschlüsselung solcher Dateien äußerst schwierig und zeitaufwändig ist; je nach Art der Verschlüsselung kann die Entschlüsselung Wochen, Monate oder sogar Jahre dauern. Meiner Meinung nach ist dieser Virus im Moment, der Höhepunkt der Gefahr unter anderen Viren. Dies ist besonders gefährlich für Heimcomputer/Laptops, da die meisten Benutzer ihre Daten nicht sichern und beim Verschlüsseln von Dateien alle Daten verloren gehen. Für Organisationen ist dieser Virus weniger gefährlich, weil sie es tun Backups Wichtige Daten werden gespeichert und im Falle einer Infektion einfach wiederhergestellt, natürlich nach der Entfernung des Virus. Ich bin mehrmals auf diesen Virus gestoßen. Ich werde beschreiben, wie es passiert ist und wozu es geführt hat.

Das erste Mal stieß ich Anfang 2014 auf einen Virus, der Dateien verschlüsselt. Ein Administrator aus einer anderen Stadt hat mich kontaktiert und mir die unangenehmste Nachricht mitgeteilt: Alle Dateien auf dem Dateiserver sind verschlüsselt! Die Infektion erfolgte auf elementare Weise – die Buchhaltung erhielt einen Brief mit dem Anhang „Act of Something there.pdf.exe“, wie Sie wissen, wurde dieser geöffnet EXE-Datei Und der Prozess begann ... er verschlüsselte alle persönlichen Dateien auf dem Computer und wechselte zu Dateiserver(es war über ein Netzlaufwerk verbunden). Der Administrator und ich fingen an, im Internet nach Informationen zu suchen... damals gab es keine Lösung... alle schrieben, dass es so einen Virus gäbe, man wisse nicht, wie man damit umgehen solle, die Dateien könnten vielleicht nicht entschlüsselt werden Das Senden der Dateien an Kaspersky, Dr. Web oder Nod32 würde helfen. Sie können sie nur senden, wenn Sie deren Antivirenprogramme (lizenziert) verwenden. Wir schickten die Dateien an Dr. Web und Nod32, das Ergebnis war 0, ich kann mich nicht erinnern, was sie zu Dr. Web sagten, und Nod 32 schwieg völlig und ich erhielt keine Antwort von ihnen. Im Allgemeinen war alles traurig und wir haben nie eine Lösung gefunden. Wir haben einige Dateien aus dem Backup wiederhergestellt.

Die zweite Geschichte: Neulich (Mitte Oktober 2014) erhielt ich einen Anruf von einer Organisation mit der Bitte, ein Problem mit einem Virus zu lösen. Wie Sie wissen, waren alle Dateien auf dem Computer verschlüsselt. Hier ist ein Beispiel dafür, wie es aussah.

Wie Sie sehen können, wurde jeder Datei die Erweiterung *.AES256 hinzugefügt. In jedem Ordner befand sich eine Datei „Attention_open-me.txt“, die Kontakte zur Kommunikation enthielt.

Beim Versuch, diese Dateien zu öffnen, wurde ein Programm mit Kontakten geöffnet, um die Autoren des Virus zu kontaktieren und die Entschlüsselung zu bezahlen. Natürlich empfehle ich auch nicht, sie zu kontaktieren oder den Code zu bezahlen, da Sie sie nur finanziell unterstützen und es keine Tatsache ist, dass Sie den Entschlüsselungsschlüssel erhalten.

Die Infektion erfolgte während der Installation eines aus dem Internet heruntergeladenen Programms. Das Überraschendste war, dass sie, als sie bemerkten, dass sich die Dateien geändert hatten (die Symbole und Dateierweiterungen hatten sich geändert), nichts unternahmen und weiterarbeiteten, während die Ransomware in der Zwischenzeit weiterhin alle Dateien verschlüsselte.

Aufmerksamkeit!!! Wenn Sie eine Verschlüsselung von Dateien auf Ihrem Computer bemerken (Änderung der Symbole, Änderung der Erweiterung), schalten Sie Ihren Computer/Laptop sofort aus und suchen Sie nach einer Lösung auf einem anderen Gerät (von einem anderen Computer/Laptop, Telefon, Tablet) oder wenden Sie sich an IT-Spezialisten. Je länger Ihr Computer/Laptop eingeschaltet ist, desto weitere Dateien es wird verschlüsselt.

Im Allgemeinen wollte ich ihnen schon die Hilfe verweigern, aber ich beschloss, im Internet zu surfen, vielleicht war bereits eine Lösung für dieses Problem aufgetaucht. Als Ergebnis der Suche habe ich viele Informationen gelesen, dass es nicht entschlüsselt werden kann, dass man Dateien an Antiviren-Unternehmen (Kaspersky, Dr. Web oder Nod32) senden muss – vielen Dank für die Erfahrung.
Ich bin auf ein Dienstprogramm von Kaspersky gestoßen – RectorDecryptor. Und siehe da, die Dateien wurden entschlüsselt. Nun, das Wichtigste zuerst...

Der erste Schritt besteht darin, die Ransomware zu stoppen. Sie werden keine Antivirenprogramme finden, da das installierte Dr. Web nichts gefunden hat. Zuerst ging ich zum Startup und deaktivierte alle Startups (außer Antivirus). Habe den Computer neu gestartet. Dann fing ich an zu schauen, welche Art von Dateien sich im Startup befanden.

Wie Sie im Feld „Befehl“ sehen können, wird angezeigt, wo sich die Datei befindet. Besondere Aufmerksamkeit gilt den Anwendungen ohne Signatur (Hersteller – Keine Daten). Im Allgemeinen habe ich die Schadsoftware und Dateien gefunden und gelöscht, die mir noch nicht klar waren. Danach habe ich temporäre Ordner und Browser-Caches geleert; für diese Zwecke verwende ich am besten das Programm CCleaner .

Dann habe ich angefangen, die Dateien zu entschlüsseln, dafür habe ich sie heruntergeladen Entschlüsselungsprogramm RectorDecryptor . Ich startete es und sah eine eher asketische Benutzeroberfläche des Dienstprogramms.

Ich klickte auf „Scannen starten“ und gab die Erweiterung an, die alle geänderten Dateien hatten.

Und gab die verschlüsselte Datei an. In neueren Versionen von RectorDecryptor können Sie einfach die verschlüsselte Datei angeben. Klicken Sie auf die Schaltfläche „Öffnen“.

Tada-a-a-am!!! Ein Wunder geschah und die Datei wurde entschlüsselt.

Danach überprüft das Dienstprogramm automatisch alle Computerdateien + Dateien auf dem verbundenen Netzlaufwerk und entschlüsselt sie. Der Entschlüsselungsvorgang kann mehrere Stunden dauern (abhängig von der Anzahl der verschlüsselten Dateien und der Geschwindigkeit Ihres Computers).

Infolgedessen wurden alle verschlüsselten Dateien erfolgreich in dasselbe Verzeichnis entschlüsselt, in dem sie sich ursprünglich befanden.

Jetzt müssen nur noch alle Dateien mit der Erweiterung .AES256 gelöscht werden. Dies kann durch Aktivieren des Kontrollkästchens „Verschlüsselte Dateien nach erfolgreicher Entschlüsselung löschen“ erfolgen, wenn Sie im RectorDecryptor-Fenster auf „Scanparameter ändern“ klicken.

Denken Sie jedoch daran, dass es besser ist, dieses Kontrollkästchen nicht zu aktivieren, denn wenn die Dateien nicht erfolgreich entschlüsselt werden, werden sie gelöscht und Sie müssen zunächst versuchen, sie erneut zu entschlüsseln wiederherstellen .

Beim Versuch, alle verschlüsselten Dateien mithilfe der Standardsuche und -löschung zu löschen, kam es zu Einfrierungen und extremen Störungen langsame Arbeit Computer.

Um es zu entfernen, ist es daher am besten, die Befehlszeile zu verwenden, es auszuführen und zu schreiben del"<диск>:\*.<расширение зашифрованного файла>"/f/s. In meinem Fall del "d:\*.AES256" /f /s.

Vergessen Sie nicht, die Dateien „Achtung_open-me.txt“ zu löschen Befehlszeile Verwenden Sie den Befehl del"<диск>:\*.<имя файла>"/f/s, Zum Beispiel
del "d:\Achtung_open-me.txt" /f /s

Somit wurde der Virus besiegt und die Dateien wiederhergestellt. Das möchte ich Sie warnen diese Methode Es wird nicht jedem helfen, der springende Punkt ist, dass Kapersky in diesem Dienstprogramm alle bekannten Entschlüsselungsschlüssel gesammelt hat (aus den Dateien, die von den mit dem Virus infizierten Personen gesendet wurden) und eine Brute-Force-Methode verwendet, um die Schlüssel auszuwählen und zu entschlüsseln . Diese. Wenn Ihre Dateien durch einen Virus mit einem unbekannten Schlüssel verschlüsselt sind, hilft diese Methode nicht. Sie müssen die infizierten Dateien an Antivirenunternehmen senden – Kaspersky, Dr. Web oder Nod32, um sie zu entschlüsseln.

Eine der problematischsten Malware heutzutage ist ein Trojaner oder Virus, der Dateien auf dem Laufwerk eines Benutzers verschlüsselt. Einige dieser Dateien können entschlüsselt werden, andere jedoch noch nicht. In dem Artikel beschreibe ich mögliche Aktionsalgorithmen in beiden Situationen sowie Mittel zum Schutz vor Ransomware-Viren.

Es gibt mehrere Modifikationen dieses Virus (und es tauchen ständig neue auf), aber der Kern der Arbeit besteht darin, dass nach der Installation auf Ihrem Computer Ihre Dokumentdateien, Bilder und andere potenziell wichtige Dateien mit einer Änderung verschlüsselt werden in Erweiterung und Löschung Originaldateien Anschließend erhalten Sie eine Nachricht, dass alle Ihre Dateien verschlüsselt wurden. Um sie zu entschlüsseln, müssen Sie einen bestimmten Betrag an den Angreifer senden.

Was tun, wenn alle Ihre wichtigen Daten verschlüsselt sind?

Zunächst einige allgemeine Informationen für diejenigen, die mit der Verschlüsselung wichtiger Dateien auf ihrem Computer konfrontiert sind. Wenn wichtige Daten auf Ihrem Computer verschlüsselt wurden, geraten Sie zunächst nicht in Panik.

Wenn Sie die Möglichkeit haben, kopieren Sie die Festplatte des Computers, auf dem der Ransomware-Virus aufgetreten ist, irgendwohin externer Speicher(Flash-Laufwerk) eine Beispieldatei mit einer Textanforderung des Angreifers zur Entschlüsselung sowie eine Kopie der verschlüsselten Datei und schalten Sie dann, wenn möglich, den Computer aus, damit der Virus die Daten nicht weiter verschlüsseln kann, und führen Sie den Vorgang aus verbleibende Aktionen auf einem anderen Computer.

Der nächste Schritt besteht darin, mithilfe der vorhandenen verschlüsselten Dateien herauszufinden, welche Art von Virus Ihre Daten verschlüsselt hat: Für einige von ihnen gibt es Entschlüsselungsprogramme (einige werde ich hier auflisten, andere werden gegen Ende des Artikels aufgeführt), für einige nicht noch. Aber auch in diesem Fall können Sie Beispiele verschlüsselter Dateien zur Untersuchung an Antivirenlabore (Kaspersky, Dr. Web) senden.

Wie genau kann ich das herausfinden? Dies kann mit erfolgen mit Google durch die Suche nach Diskussionen oder Ransomware-Typen anhand der Dateierweiterung. Es gibt auch Dienste, die offenbar die Art der Ransomware bestimmen, zum Beispiel https://id-ransomware.malwarehunterteam.com/ (obwohl ich nicht weiß, wie gut das bei russischsprachigen Varianten des Virus funktioniert, aber es funktioniert). einen Versuch wert, indem Sie dem Dienst ein Beispiel einer verschlüsselten Datei zuführen (Sample Encrypted File).

Nachdem Sie den Typ des Verschlüsselungsprogramms ermittelt haben, versuchen Sie bei Erfolg, ein Dienstprogramm zum Entschlüsseln dieser Variante zu finden, indem Sie Abfragen wie „Encryptor_type Decryptor“ verwenden. Solche Dienstprogramme sind kostenlos und werden von Antiviren-Entwicklern erstellt. Einige dieser Dienstprogramme finden Sie beispielsweise auf der Kaspersky-Website https://support.kaspersky.ru/viruses/utility (andere Dienstprogramme sind gegen Ende des Artikels verfügbar). Und wie bereits erwähnt, zögern Sie nicht, Antiviren-Entwickler in ihren Foren oder per E-Mail zu kontaktieren, um Unterstützung zu erhalten.

Leider hilft das alles nicht immer und es gibt nicht immer funktionierende Dateientschlüsseler. In diesem Fall sind die Szenarien unterschiedlich: Viele bezahlen die Angreifer und ermutigen sie, diese Aktivität fortzusetzen. Manchen Benutzern helfen Programme zur Datenwiederherstellung auf ihrem Computer (da der Virus durch die Erstellung einer verschlüsselten Datei eine normale wichtige Datei löscht, die theoretisch wiederhergestellt werden kann).

Dateien auf dem Computer werden in xtbl verschlüsselt

Eine der neuesten Varianten des Ransomware-Virus verschlüsselt Dateien und ersetzt sie durch Dateien mit der Erweiterung .xtbl und einem Namen, der aus einem zufälligen Satz von Zeichen besteht.

Gleichzeitig wird eine Textdatei readme.txt auf dem Computer abgelegt, die etwa folgenden Inhalt hat: „Ihre Dateien wurden verschlüsselt. Um sie zu entschlüsseln, müssen Sie den Code an senden E-Mail-Adresse [email protected], [email protected] oder [email protected]. Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, Dateien selbst zu entschlüsseln, führen zu einem unwiederbringlichen Informationsverlust“ (Mailadresse und Text können abweichen).

Leider gibt es derzeit keine Möglichkeit, .xtbl zu entschlüsseln (sobald es verfügbar ist, werden die Anweisungen aktualisiert). Einige Benutzer, die wirklich wichtige Informationen auf ihrem Computer hatten, berichten in Antivirenforen, dass sie den Autoren des Virus 5.000 Rubel oder einen anderen erforderlichen Betrag geschickt und einen Entschlüsseler erhalten haben, aber das ist sehr riskant: Sie erhalten möglicherweise nichts.

Was tun, wenn die Dateien in .xtbl verschlüsselt waren? Meine Empfehlungen lauten wie folgt (aber sie unterscheiden sich von denen auf vielen anderen Themenseiten, wo beispielsweise empfohlen wird, den Computer sofort von der Stromversorgung zu trennen oder den Virus nicht zu entfernen. Meiner Meinung nach ist dies und unter manchen auch unnötig Unter bestimmten Umständen kann es sogar schädlich sein, aber die Entscheidung liegt bei Ihnen.):

1. Wenn Sie wissen, wie das geht, unterbrechen Sie den Verschlüsselungsprozess, indem Sie die entsprechenden Aufgaben im Task-Manager löschen und den Computer vom Internet trennen (dies kann eine notwendige Voraussetzung für die Verschlüsselung sein).
2. Merken oder notieren Sie sich den Code, den die Angreifer an eine E-Mail-Adresse senden müssen (nur nicht an eine Textdatei auf dem Computer, nur für den Fall, dass sie auch nicht verschlüsselt ist).
3. Verwendung von Malwarebytes Antimalware, Testversion Kaspersky Internet Security oder Dr.Web Cure Es entfernt einen Virus, der Dateien verschlüsselt (alle oben aufgeführten Tools leisten dabei gute Arbeit). Ich empfehle Ihnen, nacheinander das erste und zweite Produkt aus der Liste zu verwenden (wenn Sie jedoch ein Antivirenprogramm installiert haben, ist die Installation des zweiten „von oben“ unerwünscht, da dies zu Problemen mit dem Computer führen kann.)
4. Warten Sie, bis ein Entschlüsselungsprogramm von einem Antiviren-Unternehmen erscheint. Kaspersky Lab steht hier an vorderster Front.
5. Sie können auch ein Beispiel einer verschlüsselten Datei und den erforderlichen Code an senden [email protected] Wenn Sie eine unverschlüsselte Kopie derselben Datei haben, senden Sie diese bitte ebenfalls. Theoretisch könnte dies das Erscheinen des Entschlüsselers beschleunigen.

Was Sie nicht tun sollten:

• Benennen Sie verschlüsselte Dateien um, ändern Sie die Erweiterung und löschen Sie sie, wenn sie für Sie wichtig sind.

Das ist wahrscheinlich alles, was ich derzeit über verschlüsselte Dateien mit der Erweiterung .xtbl sagen kann.

Dateien werden better_call_saul verschlüsselt

Zu den neuesten Ransomware-Viren gehört Better Call Saul (Trojan-Ransom.Win32.Shade), das die Erweiterung .better_call_saul für verschlüsselte Dateien installiert. Es ist noch nicht klar, wie solche Dateien entschlüsselt werden können. Die Benutzer, die Kaspersky Lab und Dr.Web kontaktiert haben, erhielten die Information, dass dies vorerst nicht möglich ist (aber versuchen Sie es trotzdem zu senden – mehr Beispiele verschlüsselter Dateien von den Entwicklern = es ist wahrscheinlicher, dass eine Möglichkeit gefunden wird).

Trojan-Ransom.Win32.Aura und Trojan-Ransom.Win32.Rakhni

Der folgende Trojaner verschlüsselt Dateien und installiert Erweiterungen aus dieser Liste:

• .gesperrt
• .crypto
• .Krake
• .AES256 (nicht unbedingt dieser Trojaner, es gibt andere, die dieselbe Erweiterung installieren).
• .codercsu@gmail_com
• Scheiße
• Und andere.

Um Dateien nach dem Angriff dieser Viren zu entschlüsseln, gibt es auf der Kaspersky-Website ein kostenloses Dienstprogramm namens RakhniDecryptor, das auf der offiziellen Seite http://support.kaspersky.ru/viruses/disinfection/10556 verfügbar ist.

Es gibt auch detaillierte Anleitungüber die Verwendung dieses Dienstprogramms, das zeigt, wie man verschlüsselte Dateien wiederherstellt, aus dem ich für alle Fälle den Punkt „Verschlüsselte Dateien nach erfolgreicher Entschlüsselung löschen“ entfernen würde (obwohl ich denke, dass mit der installierten Option alles in Ordnung sein wird).

Wenn Sie über eine Dr.Web-Antivirenlizenz verfügen, können Sie die kostenlose Entschlüsselung dieses Unternehmens auf der Seite http://support.drweb.com/new/free_unlocker/ nutzen.

Weitere Optionen für Ransomware-Viren

Weniger verbreitet, aber auch anzutreffen sind die folgenden Trojaner, die Dateien verschlüsseln und für die Entschlüsselung Geld verlangen. Die bereitgestellten Links enthalten nicht nur Dienstprogramme zum Zurücksenden Ihrer Dateien, sondern auch eine Beschreibung der Anzeichen, anhand derer Sie feststellen können, dass Sie diesen bestimmten Virus haben. Im Allgemeinen besteht die optimale Methode jedoch darin, das System mit Kaspersky Antivirus zu scannen, den Namen des Trojaners anhand der Klassifizierung dieses Unternehmens herauszufinden und dann nach einem Dienstprogramm mit diesem Namen zu suchen.

• Trojan-Ransom.Win32.Rector – das kostenlose RectorDecryptor-Entschlüsselungsdienstprogramm und Anweisungen zur Verwendung finden Sie hier: http://support.kaspersky.ru/viruses/disinfection/4264
• Trojan-Ransom.Win32.Xorist ist ein ähnlicher Trojaner, der ein Fenster anzeigt, in dem Sie aufgefordert werden, eine kostenpflichtige SMS oder Kontaktaufnahme zu senden E-Mail für Entschlüsselungsanweisungen. Anweisungen zum Wiederherstellen verschlüsselter Dateien und das Dienstprogramm XoristDecryptor hierfür finden Sie auf der Seite http://support.kaspersky.ru/viruses/disinfection/2911
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury – RannohDecryptor-Dienstprogramm http://support.kaspersky.ru/viruses/disinfection/8547
• Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 und andere mit demselben Namen (bei der Suche über Dr.Web Antivirus oder das Dienstprogramm Cure It) und unterschiedlichen Nummern – versuchen Sie, das Internet nach dem Namen des Trojaners zu durchsuchen. Für einige von ihnen gibt es Entschlüsselungsdienstprogramme von Dr.Web. Wenn Sie das Dienstprogramm nicht finden konnten, aber über eine Dr.Web-Lizenz verfügen, können Sie die offizielle Seite http://support.drweb.com/new/free_unlocker verwenden /
• CryptoLocker – Um Dateien zu entschlüsseln, nachdem CryptoLocker funktioniert, können Sie die Website http://decryptcryptolocker.com verwenden – nach dem Senden der Beispieldatei erhalten Sie einen Schlüssel und ein Dienstprogramm zum Wiederherstellen Ihrer Dateien.
• Auf der Website https://bitbucket.org/jadacyrus/ransomwareremovalk... Downloads greifen auf das Ransomware Removal Kit zu – ein großes Archiv mit Informationen zu verschiedene Typen Ransomware und Entschlüsselungsprogramme (auf Englisch)

Nun, aus den neuesten Nachrichten: Kaspersky Lab hat zusammen mit Strafverfolgungsbeamten aus den Niederlanden den Ransomware Decryptor (http://noransom.kaspersky.com) entwickelt, um Dateien nach CoinVault zu entschlüsseln, aber diese Ransomware ist in unseren Breitengraden noch nicht zu finden.

Schutz vor Verschlüsselungsviren oder Ransomware

Mit der Verbreitung von Ransomware begannen viele Hersteller von Antiviren- und Anti-Malware-Tools, ihre Lösungen zu veröffentlichen, um die Ausführung von Ransomware auf einem Computer zu verhindern, darunter:

Die ersten beiden befinden sich noch in der Beta-Version, sind aber kostenlos (sie unterstützen die Erkennung nur einer begrenzten Anzahl von Viren dieser Art – TeslaCrypt, CTBLocker, Locky, CryptoLocker). WinAntiRansom ist ein kostenpflichtiges Produkt, das verspricht, die Verschlüsselung durch fast jede Ransomware zu verhindern und bietet Schutz sowohl für lokale als auch für Netzwerklaufwerke.

Aber: Diese Programme dienen nicht der Entschlüsselung, sondern lediglich der Verhinderung der Verschlüsselung wichtiger Dateien auf dem Computer. Und im Allgemeinen scheint mir, dass diese Funktionen in Antivirenprodukten implementiert werden sollten, sonst entsteht eine seltsame Situation: Der Benutzer muss ein Antivirenprogramm auf dem Computer haben, ein Tool zur Bekämpfung von AdWare und Malware, und jetzt auch das Anti-Ransomware-Dienstprogramm sowie Anti-Ransomware für alle Fälle.

Übrigens, wenn sich plötzlich herausstellt, dass Sie etwas hinzuzufügen haben (da ich möglicherweise keine Zeit habe, zu überwachen, was mit den Entschlüsselungsmethoden passiert), lassen Sie es mich in den Kommentaren wissen. Diese Informationen werden für andere Benutzer nützlich sein mit einem Problem konfrontiert.

ab 180 Rubel.

REIBEN

Viren verursachen sowohl für uns als auch für den Computer viele Probleme. Viren vermehren sich nicht im Computer selbst. Der Virus kann sich jedoch leicht verbreiten und ist bestrebt, so viele Ordner wie möglich zu infizieren. Und was für eine unangenehme Nachricht ist es, wenn Sie feststellen, dass ein Virus Ihre Dateien verschlüsselt hat. Bedauerlicherweise, Antivirenprogramme bieten keine hundertprozentige Garantie dafür, dass Ihr Gerät in Zukunft nicht erneut mit einer Computerinfektion infiziert wird. Ein Virus kann nicht nur wichtige, sondern auch ganze Daten zerstören Betriebssystem

, Internet und so weiter. Jedes Mal, wenn Sie Ihren Computer starten, startet der Virus automatisch. Typen Computerviren

eine große Auswahl, obwohl der durchschnittliche Benutzer nur ein paar oder drei kennt. Aber selbst ein Virustyp weist viele Modifikationen auf. Viren unterscheiden sich nach der schädlichen Wirkung, die sie auf einen Computer haben. Beispielsweise kann ein Ransomware-Virus Dateien nicht nur verschlüsseln, sondern sie auch so beschädigen, dass die Daten nicht entschlüsselt werden können.

Symptome einer Ransomware-Infektion

Wenn der Virus die Dateien verschlüsselt, kann der Benutzer diese Ordner einfach nicht öffnen und keine Informationen abrufen. Wenn Sie versuchen, infizierte Dateien zu öffnen, wird möglicherweise ein Archivfehler auf dem Bildschirm angezeigt.

Alle in Betrieb befindlichen Dateien werden verschlüsselt: Systemdateien, Fotos, Videos, Archive, Texte und andere. Ordner, die nicht verwendet werden, sind nicht betroffen. Darüber hinaus besteht kein Zugriff nicht nur auf die erfassten Daten Systemfestplatte , sondern auch auf allen Medien, mit denen der Benutzer gearbeitet hat: Flash-Karte, Festplatte, Netzlaufwerk

und so weiter. Besonders raffiniert ist der Verschlüsseler bei einem Flash-Laufwerk: Auf diesem Laufwerk erstellt der Virus eine weitere Partition dafür, das Informationen über andere Ordner im selben Archiv enthält, und der Virus verbirgt die Hauptdaten sicher, d. h. verschlüsselt sie. In diesem Fall werden die Informationen auf dem Flash-Laufwerk gespeichert, es ist jedoch nicht möglich, es zu öffnen.

Es gibt viele Arten von Ransomware-Viren, aber es macht keinen Sinn herauszufinden, welcher Typ in einen bestimmten Computer „eindringt“, sondern verursacht enormen Schaden sowohl für den Computer als auch für den Benutzer. Der Ransomware-Virus verhält sich wie ein intelligenter lebender Organismus; nachdem er alles verschlüsselt hat, was er kann, verschwindet er, sodass er nicht erkannt wird und die infizierten Dateien nicht entschlüsselt werden. Ist es also möglich, dem irgendwie entgegenzuwirken, oder ist es besser, sich sofort von Informationen auf infizierten Medien zu verabschieden?

Was tun, wenn ein Virus Ihre Dateien verschlüsselt hat?

• Ein spezielles Antiviren-Dienstprogramm kann mit Schadsoftware umgehen. Leider wird das Problem durch einfaches Entfernen des infizierten Ordners nicht gelöst, sondern kann sogar Schaden anrichten. Hier müssen Sie die „kranke“ Datei durch eine „gesunde“ ersetzen oder den infizierten Ordner bearbeiten und dann den Code entfernen, der für den Betrieb des Schadprogramms verantwortlich ist. Die lizenzierte Version wird geladen und gestartet. Antiviren-Dienstprogramm von der offiziellen Website, sonst können Sie sich eine Menge anderer Viren einfangen. Den Zugang für alle öffnen Systemdateien, das Programm wird im abgesicherten Modus installiert.



• Überprüfen Sie die Antiviren-Datenbank manuell und aktualisieren Sie sie. Andernfalls kann das Antivirenprogramm Viren mit neuen Codes nicht entfernen.



• Trennen Sie den Computer vom Internet, nachdem Sie das Antiviren-Dienstprogramm heruntergeladen und die Datenbanken aktualisiert haben. Trennen Sie das Internetkabel von der Systemeinheit und/oder dem WLAN. Auf diese Weise sind Ihre Daten garantiert sicher, da der Virus über das Internet-Netzwerk agieren kann, indem er das Netzwerk blockiert. In diesem Fall können Sie das Internet nur manuell ausschalten, also durch Herausziehen des Netzkabels.
• Jetzt müssen Sie das System auf Viren überprüfen und eine gründliche Analyse durchführen. Wenn sich auf Ihrer Festplatte viele Informationen befinden, nimmt die Analyse viel Zeit in Anspruch, aber eine oberflächliche Überprüfung führt nicht zu Ergebnissen, da sich der Virus überall verstecken kann.
  
  
  Das Scannen von Dokumentenakten und Archiven nimmt viel Zeit in Anspruch. Musikdateien, Videoordner, Fotos usw. werden viel schneller gescannt.
• Wenn Sie ein unerfahrener Benutzer sind und nicht wissen, wie viel Malware auf Ihren Computer gelangt ist, dann Es ist besser, verdächtige Ordner auf ein Laufwerk eines Drittanbieters zu kopieren (externe Festplatte, Flash-Laufwerk, CD).. Und auf Ihrem PC können Sie infizierte Dateien entfernen und den Papierkorb leeren. Starten Sie Ihren Computer neu und überprüfen Sie, ob die Dateien funktionieren. Nun, egal wie die Dinge laufen, Sie haben die Informationen kopiert.
• Wenn Sie glauben, dass Sie frei von Viren sind, testen Sie Ihr Betriebssystem erneut mit einem anderen Antivirenprogramm. Dafür Entfernen Sie das alte Antivirenprogramm, starten Sie den Computer neu, laden Sie neue Antivirensoftware herunter und führen Sie die Analyse durch.
• Wenn Sie es geschafft haben, den Ransomware-Virus loszuwerden, müssen Sie jetzt vor allem sein erneutes Auftreten verhindern. Es gibt ein spezielles Antiviren-Dienstprogramm, das die Sicherheit Ihrer Internetverbindung gewährleistet.
  
  
  Die vorhandenen grundlegenden Sicherheitstechniken in der Standard-Antivirensoftware können manuell verstärkt werden. Gehen Sie dazu in die Einstellungen und nehmen Sie die notwendigen Änderungen am Programm vor.
• Nachdem Sie den Virus von Ihrem Computer entfernt haben, vergessen Sie nicht, mit allen Arbeitsmedien (CDs, Flash-Laufwerke, alle Festplattenpartitionen, externe Festplatte) zu arbeiten.
  

  Es ist notwendig, jedes Medium einzeln zu scannen, ohne den Explorer und den Inhalt der Datei zu öffnen, um dort keine Malware zu starten. Wenn Sie den Virus nur auf Ihrem Computer entfernen, wird das Problem nicht verschwinden.

• Wenn der Virus Ihre Dateien verschlüsselt hat, versuchen Sie einfach, Windows neu zu installieren; dies kann helfen, die Infektion auf Ihrem Computer zu beseitigen.

Schutz vor Ransomware-Viren

Am häufigsten werden Verschlüsselungsviren über Anhänge in einen Computer eingeführt E-Mail. Wenn Sie einen Anhang zu einem Brief öffnen (normalerweise ein Fragebogen, ein Lebenslauf, Vorschläge usw.), schleusen Sie automatisch Malware in Ihren Computer ein. Um Ihre Daten zu schützen, gehen Sie wie folgt vor:

• Löschen Sie umgehend Briefe, die von Ihnen unbekannten Empfängern stammen, insbesondere solche mit Anhängen.Öffnen Sie auf keinen Fall angehängte Dateien! Beeilen Sie sich auch nicht, den Rest Ihrer Korrespondenz zu öffnen; lassen Sie sie zuerst vom Antivirenprogramm scannen.
• Duplikat wichtige Informationen auf einem anderen unabhängigen Medium (Backup). Das Kopieren dauert einige Minuten, aber Sie müssen sich keine Sorgen machen, dass wichtige Daten aufgrund von Viren verloren gehen.

Wichtig: Analysieren Sie sorgfältig genau, wie Ihr Computer die Schadsoftware aufgenommen hat, welche Websites Sie besucht und was Sie heruntergeladen haben. Vermeiden Sie solche Fehler in Zukunft, denn es ist viel einfacher, sich anzustecken als behandelt zu werden. Der beste Schutz vor Ransomware-Viren ist Ihre Wachsamkeit, Ihr Bewusstsein, geringe Computerkenntnisse und ein grundsätzlicher Mangel an Faulheit.