Jetzt können wir mit Sicherheit sagen, dass es sich um einen Angriff handelt, der vor ein paar Tagen von einem neuen, raffinierten Verschlüsselungsvirus ausgeführt wurde Ich könnte heulen– auch bekannt als WannaCryptor oder WanaDecryptor – zum Zeitpunkt des Verfassens dieses Artikels die größte, nicht nur unter diesen Infektionen, sondern im Allgemeinen die globalste in der Geschichte. Das Internet wurde noch nie so stark erschüttert. Hunderttausende Heim- und Bürocomputer auf der ganzen Welt waren infiziert, doch Russland war erneut am stärksten betroffen. Vor allem, weil die meisten installierten Windows-Betriebssysteme nicht lizenziert sind und nicht jeder den normalen Virenschutz nutzt und auf „vielleicht“ hofft.

Besonderheiten von Wanna Cryptor

Der wesentliche grundlegende Unterschied zwischen der neuen Malware und früheren ähnlichen Varianten besteht darin. Bisher konnte ein Verschlüsselungsvirus erst dann auf einem Computer oder Laptop arbeiten, wenn der Benutzer selbst eine per Post erhaltene oder mitgebrachte ausführbare Datei startete. Die Wanna Cry-Ransomware funktioniert auch ohne dies einwandfrei.

Er nutzt die Schwachstelle des Dateizugriffsdienstes auf Port 445 aus, dringt in das Betriebssystem ein und beginnt, alles zu verschlüsseln: Dokumente, Archive, Bilder, Video- und Audiodateien usw. Sie können eine solche Datei anhand ihrer Erweiterung unterscheiden .WNCRY.
Befindet sich der PC in einem lokalen Netzwerk, breitet sich der Virus auf andere Computer im Netzwerk aus und infiziert alle.
Es ist erwähnenswert, dass zusätzlich zu allem auch Dienste wie mysqld.exe, sqlwriter.exe, sqlserver.exe und Microsoft.Exchange gestoppt werden, um Zugriff auf ihre Datenbanken zu erhalten.
Es ist unmöglich, Daten nach dem Wanna Cryptor-Ransomware-Virus wiederherzustellen. Zumindest für jetzt. Vielleicht wird sich die Situation später ändern, aber derzeit gibt es keine Möglichkeiten zur Datenwiederherstellung nach einem Angriff

So schützen Sie sich vor Ransomware

Um sich vor einem möglichen Kryptovirus-Angriff zu schützen, rufen Sie zunächst Windows Update auf. Wenn Updates verfügbar sind, installieren Sie diese unbedingt.

Wenn Sie das Update Center aus irgendeinem Grund nicht nutzen können, können Sie einen anderen Weg gehen. Sie müssen zur technischen Support-Website von Microsoft (Link) gehen und von dort den von den Entwicklern hastig veröffentlichten Microsoft-Patch herunterladen MS17-010 für Ihre Version des Windows-Betriebssystems.

Im zweiten Schritt würde ich natürlich empfehlen, die Unterstützung vollständig zu deaktivieren, indem die Unterstützung für das anfällige Protokoll SMB (Samba) Version 1 vollständig deaktiviert wird. Dies gilt insbesondere für Heimanwender, die einen Computer oder Laptop haben und sogar ohne Router verbunden sind , direkt in das Netzwerk des Anbieters. Starten Sie dazu die Windows-Befehlszeile mit Administratorrechten und geben Sie den Befehl ein:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Drücken Sie die „Enter“-Taste und sehen Sie sich das Ergebnis an.

Der Vorgang sollte erfolgreich abgeschlossen werden.

Der dritte Schritt besteht darin, Ihre Firewall-Einstellungen zu überprüfen. Es wird empfohlen, die Ports 135-139 und 445 zu schließen. Zumindest bis die Ransomware-Virus-Epidemie vorüber ist. Wenn Sie eine Standard-Windows-Firewall verwenden und nichts von Drittanbietern installiert ist, empfehle ich, darin entsprechende Regeln zu erstellen. Öffnen Sie dazu erneut die Kommandozeile mit Administratorrechten und geben Sie nacheinander folgende Befehle ein:

netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=5000 name=»Block_TCP-5000″

Drücken Sie nach jedem Befehl die Eingabetaste und sehen Sie sich das Ergebnis an – es sollte „OK“ lauten. Wenn dies für Sie schwierig ist, verwenden Sie ein einfaches Dienstprogramm Windows-Würmer-Türreiniger. Es sind keine zusätzlichen Kenntnisse erforderlich – markieren Sie einfach alle Elemente unter „Deaktivieren“.

Vierter Schritt – Aktualisieren Sie unbedingt Ihre Antiviren-Datenbank! Wenn Sie es noch nicht installiert haben, ist es an der Zeit, es zu installieren.

Behandlung der Wanna Cry-Ransomware

Leider ist es im Endstadium, wenn die Dateien bereits verschlüsselt sind und das WannaDecryptor 2.0-Fenster mit einer Warnung erscheint, zu spät, um „Borjomi zu trinken“. Es ist sinnlos, es zu behandeln, da Sie bereits verschlüsselte Dateien nicht entschlüsseln können. Wenn die Infektion jedoch gerade erst in das Betriebssystem eingedrungen ist, besteht die Möglichkeit, zumindest etwas anderes zu retten. Das erste bekannte Anzeichen ist das Erscheinen einer WannaCry-Verknüpfung auf dem Desktop. Ein weiteres Anzeichen ist die CPU-Belastung durch einen unbekannten Prozess. Was ist in diesem Fall zu tun?
1. Trennen Sie den PC vom Internet und starten Sie Windows neu.
2. Öffnen Sie die Eigenschaften der Entschlüsselungsverknüpfung und schauen Sie, wo sich die ausführbare Datei selbst befindet.
3. Löschen Sie den Ordner mit dem Virus.
Normalerweise enthält es die folgenden Dateien:
b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, taskdl.exe, taske.exe, u.wnry
4. Starten Sie im normalen Modus, überprüfen Sie das Betriebssystem mit einem guten Antivirenprogramm und installieren Sie den Microsoft-Patch.
Und noch ein Tipp: Verschlüsseln Sie Dateien mit der Erweiterung .wncry Es ist besser, es nicht zu löschen. Es besteht die Möglichkeit, dass Antiviren-Laborspezialisten irgendwann in der Lage sind, den Entschlüsselungsschlüssel zu finden.