Wenn Ihr Computer oder mehrere Geräte in Ihrem Heim- oder Arbeitsnetzwerk mit dem Wannacry-Virus infiziert sind, lesen Sie unseren Artikel.

Hier erfahren Sie, wie Sie sich schützen und Infektionen vorbeugen sowie verschlüsselte Daten richtig entschlüsseln.

Die Bedeutung dieses Wissens wird durch Informationen über mehr als 150.000 infizierte Computer im Jahr 2017 bestätigt, deren Betriebssystem infiziert war bösartiger WC-Code.

Und obwohl die weltweite Ausbreitung der Bedrohung gestoppt wurde, ist es möglich, dass die nächste Version der Ransomware noch effektiver wird, und es lohnt sich, sich im Voraus auf ihr Auftreten vorzubereiten.

Inhalt:

Folgen

Die ersten Anzeichen einer Computerinfektion mit einem Ransomware-Virus wurden am 12. Mai 2017 entdeckt, als ein unbekanntes Programm die Arbeit von Tausenden von Benutzern und Hunderten verschiedener Organisationen auf der ganzen Welt störte.

Der Schadcode begann sich um 8:00 Uhr zu verbreiten und infizierte bereits am ersten Tag mehr als 50.000 PCs.

Die meisten Infektionen ereigneten sich in – obwohl die ersten Daten aus Großbritannien stammten und zu den betroffenen Organisationen auch spanische und portugiesische Telekommunikationsunternehmen gehörten Automobilkonzern „Renault“.

In Russland griff er Mobilfunkbetreiber an "Megaphon", „Beeline“ Und "Jota", Ministerium für Notsituationen, Innenministerium und Eisenbahnverwaltung.

Aus diesem Grund wurden in einigen Regionen des Landes Führerscheinprüfungen abgesagt und eine Reihe von Organisationen stellten ihre Arbeit vorübergehend ein.

Registrierung eines im Virencode geschriebenen Domainnamens, ermöglichte es, seine Ausbreitung zu stoppen. Danach konnte das Programm auf eine bestimmte Domäne nicht mehr zugreifen und funktionierte nicht mehr. Allerdings nur bis zur Veröffentlichung einer neuen Version, bei der es nicht mehr vorgeschrieben war, eine bestimmte Adresse zu kontaktieren.

Anforderungen an Malware-Entwickler

Das Ergebnis der Infektion von Computern war die Blockierung der meisten Dateien auf ihren Festplatten.

Aufgrund der Unmöglichkeit, die Informationen zu verwenden, übersetzten Benutzer sogar den Namen der WannaCry-Anwendung als "Ich will weinen", und nicht „Ich möchte verschlüsseln“(Wanna Cryptor) wie es wirklich passiert ist.

Angesichts der Tatsache, dass unverschlüsselte Dateien wahrscheinlich nicht wiederhergestellt werden können, schien die benutzerdefinierte Option angemessener zu sein.

Auf dem Desktop des infizierten Computers erschien Windows mit der Aufforderung, die Betrüger für das Freischalten von Informationen zu bezahlen.

Zunächst verlangten die Angreifer nur 300 US-Dollar, nach einiger Zeit wuchs der Betrag auf 500 US-Dollar an – und nach der Zahlung gab es keine Garantie mehr, dass der Angriff nicht erneut passieren würde – da der Computer immer noch infiziert war.

Wenn Sie jedoch die Zahlung verweigerten, gingen die verschlüsselten Daten 12 Stunden nach Erscheinen der Warnung verloren.

Methoden zur Verbreitung der Bedrohung

Die Entwickler der Schadsoftware nutzten eine Schwachstelle in diesem Betriebssystem aus, um Computer mit Windows zu infizieren, die mit dem Update MS17-010 geschlossen wurde.

Die Opfer waren hauptsächlich diejenigen Benutzer, die diesen Fix im März 2017 nicht installiert hatten.

Nach der Installation des Updates (manuell oder automatisch) wurde der Fernzugriff auf den Computer geschlossen.

Gleichzeitig schützte der März-Patch das Betriebssystem nicht vollständig. Vor allem, wenn der Benutzer es selbst öffnet – auf diese Weise verbreitet sich auch der Virus.

Und nach der Infektion eines Computers breitete sich der Virus auf der Suche nach Schwachstellen weiter aus – aus diesem Grund waren nicht einzelne Benutzer, sondern große Unternehmen am anfälligsten.

Infektionsprävention

Trotz der großen Gefahr, dass ein Virus (und seine neuen Versionen) auf fast jeden Computer gelangt, gibt es mehrere Möglichkeiten, eine Infektion Ihres Systems zu vermeiden.

Hierzu sollten folgende Maßnahmen ergriffen werden:

• Stellen Sie sicher, dass Sie die neuesten Sicherheitspatches installiert haben. Wenn diese fehlen, fügen Sie sie manuell hinzu. Danach sollten Sie unbedingt automatische Updates aktivieren – höchstwahrscheinlich wurde diese Option deaktiviert;

• Öffnen Sie keine E-Mails mit Anhängen von unbekannten Benutzern.
• Klicken Sie nicht auf verdächtige Links – insbesondere wenn Ihr Antivirenprogramm vor deren Gefahr warnt;
• Installieren Sie ein hochwertiges Antivirenprogramm – zum Beispiel oder, das den höchsten Erkennungsprozentsatz von Bath Edge aufweist. Die meisten weniger bekannten und vor allem kostenlosen Anwendungen schützen die Plattform weniger gut;

• Trennen Sie Ihren Computer nach einer Infektion sofort vom Internet und insbesondere vom lokalen Netzwerk, um andere Geräte vor der Verbreitung von Ransomware zu schützen.

Darüber hinaus sollte der Benutzer regelmäßig wichtige Daten sichern, indem er Sicherungskopien erstellt.

Wenn möglich, lohnt es sich, Informationen auf USB-Sticks, Speicherkarten oder nicht (extern oder entfernbar intern) zu kopieren.

Wenn es möglich ist, Informationen wiederherzustellen, ist der Schaden durch den Virus minimal – wenn ein Computer infiziert ist, reicht es aus, einfach sein Speichergerät zu formatieren.

Behandlung eines infizierten PCs

Wenn der Computer bereits infiziert ist, sollte der Benutzer versuchen, ihn zu heilen und die Folgen von WannaCry zu beseitigen.

Denn nachdem ein Virenprogramm in das System eingedrungen ist, ändern sich seine Erweiterungen.

Beim Versuch, Anwendungen zu starten oder Dokumente zu öffnen, schlägt der Benutzer fehl und zwingt ihn, darüber nachzudenken, das Problem durch die Zahlung der erforderlichen 500 US-Dollar zu lösen.

Basic Phasen der Problemlösung:

1 Starten von Diensten, die in das Windows-Betriebssystem integriert sind. Die Chance auf ein positives Ergebnis ist in diesem Fall gering, daher müssen Sie höchstwahrscheinlich andere Optionen nutzen;

2 Neuinstallation des Systems. In diesem Fall sollten Sie alles formatieren – es besteht die Möglichkeit, dass alle Informationen verloren gehen;

3 Gehen Sie zur Datenentschlüsselung– Diese Option wird verwendet, wenn sich wichtige Daten auf der Festplatte befinden.

4 Dateiwiederherstellungsprozess beginnt mit dem Herunterladen der entsprechenden Updates und dem Trennen der Verbindung zum Internet. Danach muss der Benutzer die Befehlszeile starten (via "Start" und Abschnitt "Standard" oder über das Menü "Laufen" und ) und blockieren Sie Port 445, wodurch der Eintrittspfad des Virus blockiert wird. Dies kann durch Eingabe des Befehls erfolgen netsh advfirewall Firewall Regel hinzufügen dir=in action=block Protocol=tcp localport=445 name=»Block_TCP-445.

5 Nun folgt laufen . Halten Sie dazu beim Laden die Taste gedrückt F8 Gehen Sie zum Startmenü des Computers und wählen Sie das entsprechende Element aus. In diesem Modus wird ein Ordner mit Schadcode geöffnet, der über eine auf dem Desktop angezeigte Virenverknüpfung gefunden wird. Nachdem Sie alle Dateien im Verzeichnis gelöscht haben, müssen Sie das System neu starten und das Internet erneut einschalten.

Dateientschlüsselung

Nachdem WannaCry gestoppt wurde, muss der Benutzer alle verschlüsselten Dateien wiederherstellen.

Es ist erwähnenswert, dass dafür jetzt viel mehr Zeit als 12 Stunden zur Verfügung steht. Wenn Sie die Daten also nicht selbst zurückgeben können, können Sie sich in ein paar Tagen oder Monaten an Spezialisten wenden.

Die beste Option– Wiederherstellen von Daten aus Backups. Wenn der Benutzer die Möglichkeit einer Infektion nicht vorhergesehen hat und wichtige Daten nicht kopiert hat, sollten Sie ein Entschlüsselungsprogramm herunterladen:

• Shadow Explorer, der auf der Wiederherstellung von „Schattenkopien“ von Dateien (hauptsächlich Dokumenten) basiert;

Reis. 6. Starten des Programms

Abb.9. Bedienung des Windows-Datenwiederherstellungsprogramms.

Reis. 10. Stellen Sie Dateien über das Programm mit einem Klick wieder her

• Von Kaspersky Lab speziell für die Wiederherstellung verschlüsselter Informationen entwickelte Dienstprogramme.

Reis. 11. Starten Sie das Dienstprogramm

Abb. 12. Datenwiederherstellungsprozess

Du solltest wissen: Das Programm sollte erst gestartet werden, nachdem der Virus selbst entfernt wurde. Wenn Sie Vanna Edge nicht stoppen können, sollten Sie den Decoder nicht verwenden.