top of page

WANNACRY Ransomware – Wana Cry Decrypt0r

​​

Was ist WannaCry?

Wie ist es in mein System gelangt?

Ist es möglich, .WCRY-Dokumente wiederherzustellen?

LINK: Häufig gestellte Fragen und Antworten zu Mobef- und KEYCHAIN-Infektionen

Geschichte von Wana Decrypt0r 2.0 - WannaCry - WCRY:

WannaCry, aufgrund des Bildschirms, der auf dem infizierten Computer erscheint, auch WanaCypt0r, WannaCypt0r, WCry, Wannacry Decrypter und Wannacry Decrypt0r genannt, ist eine sehr neue und sehr aggressive Version von Ransomware.

Nach ihrer Ausführung werden alle Dateien und Dokumente auf dem betroffenen Computer oder Netzwerk verschlüsselt und unlesbar gemacht.
 
Auch die Endung der Dateien wird geändert, beispielsweise wird eine infizierte Datei mit dem Namen „sample.jpg“ zu „sampe.jpg.WNCRY“.

Der Desktop-Hintergrund wird geändert zu:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sobald das System infiziert ist, installiert die Ransomware eine Reihe von Programmen, einschließlich @WanaDecryptor@.exe, und fügt sich selbst zur Windows-Registrierung hinzu, sodass sie bei jedem Neustart des Computers immer aktiv ist. Es infiziert Daten, auch verbundene Speichergeräte wie externe Festplatten und USB-Sticks; Es wirkt sich auch auf zuvor erstellte Betriebssystem-Image-Volumes aus und blockiert den Zugriff auf Systemreparaturprogramme.

Tatsächlich macht es das System daher vollständig unbrauchbar, indem es den Benutzer um einen Geldbetrag bittet, um es zu entsperren und zurückzunehmen.

Dateien mit den folgenden Erweiterungen werden verschlüsselt:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Wie wird  distributed Wanna Cry / WanaCry / Wana Decrypt0r ?

In den meisten Fällen handelt es sich um  spread über direkte Angriffe auf den RDP/SMB-Port, auf Maschinen und Server, die eines der folgenden Betriebssysteme verwenden:

Windows Server 2003 (April 2003)
Windows Server 2003 R2 (Dezember 2005)
Windows Server 2008 (Februar 2008)
Windows Server 2008 R2 (Juli 2009)
Windows Server 2012 (August 2012)
Windows Server 2012 R2 (Oktober 2013)
Windows Server 2016 (September 2016)

Sie werden oft über infizierte E-Mails, kompromittierte Word-Dateien, Javascript und Facebook-Bild-Spam verbreitet.

So entschlüsseln Sie Dateien, die von verschlüsselt wurdenWana Decrypt0r 2.0 - WannaCry - WCRY 

Können Sie meine Daten wiederherstellen?

Ja, wir können alle Ihre Dateien wiederherstellen!! 

Schreiben Sie uns eine E-Mail aninfo@eliminacryptolocker.com  Anhängen verschlüsselter Dateien und möglicherweise Ihrer Telefonnummer; Wir werden Ihnen so schnell wie möglich antworten!

FAQ: Häufige Fragen und Antworten zu WCRY-Infektionen, die von unseren Kunden gemeldet wurden:

Mein RDP-Passwort war sehr sicher, wie haben sie es gefunden?

Leider gibt es selbst mit einem Passwort aus 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen effektiven Schutz , da auf dem RDP-Port Exploits verwendet werden, die effektiv eine Umgehung des Passworts ermöglichen.

Das Administratorkonto wurde deaktiviert, was ist passiert? 

Oft ist das "Administrator"-Konto aus Sicherheitsgründen deaktiviert, aber der gesamte Verschlüsselungsprozess fand von diesem Konto aus statt, wie war das möglich?

All dies geschieht durch eine „Privilegieneskalation“, d.h. Sie verbinden sich über einen „normalen“ Benutzer, die Privilegien dieses Benutzers werden erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, mit dem Sie sich später verbinden, um die Verschlüsselung durchzuführen._cc781905-5cde -3194-bb3b-136bad5cf58d_ 

Ich hatte die Verbindungen eingeschränkt, die auf den RDP-Dienst zugreifen konnten. Wie haben sie sich verbunden? 

Gibt es in Ihrem Netzwerk "offene" Clients im Internet? Auch wenn Ihr Server die Verbindungen beschränkt, von denen aus auf ihn zugegriffen werden kann (über Firewall, VPN, IP-Filter, Whitelisting usw.), wird die Verbindung über das RDP des mit dem Internet verbundenen Clients hergestellt.

Sobald Sie die Kontrolle über diesen Client übernommen haben, verbinden Sie sich über ihn mit dem Server im internen Netzwerk, wodurch das Filtern aller externen IPs effektiv nutzlos wird.

Der RDP-Dienstport war nicht der Standardport, wie haben sie den Dienst gefunden? 

Die Standardports für den RDP-Dienst sind 445 und 3389, aber ich hatte den Dienst auf Port 5555 eingestellt, wie haben sie ihn gefunden? Einfach mit einem Netzwerkscanner, der alle Ports von 1 bis 65000​ auf der Suche nach dem RDP-Dienst analysiert.

Was kann ich tun, um mich vor zukünftigen Wana Decrypt0r 2.0 – WannaCry – WCRY-Angriffen zu schützen?​

Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​

- Schließen Sie sofort den Dienst RDP  auf allen lokalen und Remote-Computern

- Installieren Sie unser Ransomware-Schutzskript, weitere InformationenHIER

Wo sind meine Backups geblieben? E virtuelle Maschinen?​

Nach der Mobef-Infektion werden die .backup-Dateien gelöscht und oft auch alle virtuellen Maschinen (VMware, Oracle VM VirtualBox etc.), die gestartet und anschließend gelöscht oder verschlüsselt werden._d04a07d8-9cd1-3239-9149 -20813d6c673b_

Haben Sie weitere Fragen oder benötigen Sie weitere Informationen?​

 

Schreiben Sie uns an info@recuperafiles.it  und wir werden versuchen, alle Ihre Zweifel zu klären.

Gibt es ein kostenloses Tool zum Wiederherstellen von Dateien?

 

JAWOHL! Sie können es auf unserer Website hier herunterladenLINKS, schreiben Sie uns, um das Passwort zu erhalten.

Desktophintergrund geändert von Wana Decrypt0r - WannaCry - WCRY

Screenshot nach Wana Decrypt0r 2.0 – WannaCry-Infektion

Nach Infektion mit @WanaDecryptor@.exe verschlüsselte Dateien

keychain faq
WANNACRY Ransomware - Wana Cry Decrypt0r
Sfondo del desktop modificato da Wana Decrypt0r - WannaCry - WCRY
​File criptati dopo l'infezione di @WanaDecryptor@.exe

Löschen

Kryptoschränke

Riegel

Phobos

Globus-Betrüger

 

 

EINFACH, SCHNELL, SICHER

bottom of page