GermanWiper Ransomware-Virus entschlüsseln und entfernen

Die meisten Ransomware-Kampagnen sind geografisch verstreut, um ihre Reichweite zu maximieren. Während dies eine verständliche Taktik der Erpresser ist, zielen einige Erpressungsinfektionen nur auf bestimmte Bereiche ab. Dies ist der Fall bei GermanWiper, einem Lösegeld-Trojaner, der Anfang August 2019 auf den Cybercrime-Tatort gespritzt hat. Es wurde auf diese Weise von Forschern, die den bösartigen Code entdeckt. Offensichtlich erstreckt sich das Publikum der Opfer auf Nutzer und Organisationen in Deutschland, von denen derzeit keine anderen Länder betroffen sind. Diejenigen, die getroffen wurden, beziehen sich jedoch auf den Schädling basierend auf den Symptomen, die er verursacht, und nicht auf den von Analysten geprägten Begriff. Eines der verräterischen Zeichen des Überfalls ist der Erpresserbrief namens Entschluesselungs_Anleitung.html , der durch eine eindeutige Erweiterungszeichenfolge vorangestellt wird, die jedem geplagten Benutzer einzeln zugewiesen wird.

Dateien von GermanWiper Ransomware verschlüsselt

Ein weiterer Indikator für den Angriff ist die Erweiterung verkettet auf alle wichtigen Dateien, die zum Opfer gehören. Es besteht aus fünf alphanumerischen Zeichen. Beispielsweise wird aus einem beliebigen Word-Dokument Glossary.docx so etwas wie Glossary.docx.0mkL3. Übrigens, dieser zufällige Schwanz entspricht dem Präfix im Namen des oben genannten Erpresserbriefs. In diesem hypothetischen Szenario wird das Wiederherstellungshandbuch der Gauner, das auf einen Computer fällt, 0mkL3_Entschluesselungs_Anleitung.html sein. Die GermanWiper Ransomware ersetzt zusätzlich das Desktop-Hintergrundbild mit einer Warnmeldung, die sagt,

Ihre Dateien wurden verschluesselt. Oeffnen Sie [Ransom-Scheinname] um herauszufinden wie Sie Dateien entschluesseln koennen!

Diese Inschrift verpflichtet den Benutzer, das Rettungsdokument zu öffnen und den eingebetteten Anweisungen zu folgen.

GermanWiper Erpresserbrief

Das Lösegeld Trojan fordert etwa 1.500 Dollar im Wert von Bitcoin für die Datenwiederherstellung. Genauer gesagt beträgt der Betrag 0,15 BTC und das Fiat-Währungsäquivalent hängt vom aktuellen Kurs ab. Die empfangende Kryptowährung Wallet Adresse variiert von Fall zu Fall, was wahrscheinlich ein Versuch ist, die Strafverfolgungsbehörden aus der Spur zu werfen. Als Gegenleistung für die Zahlung, die Cyber-Kriminellen behaupten, ein Werkzeug mit einem eingebauten Entschlüsselungsschlüssel zur Verfügung zu stellen, die angeblich alle verdrehten Datensätze wieder ins Leben rufen.

In dieser Hinsicht gibt es jedoch eine große Einschränkung. Nach den vorläufigen Erkenntnissen der Forscher, die sich aus der Analyse des GermanWiper-Virus in ihrem heutigen Zustand ergeben, werden die Dateien einfach überschrieben und nicht kodiert. Es bedeutet, dass es möglicherweise keinen praktikablen Wiederherstellungsmechanismus gibt, selbst wenn das Lösegeld bezahlt wird. Dies ist definitiv eine schlechte Nachricht für die Opfer, aber es ist durchaus möglich, dass die Übeltäter die Panne in ihrem Code irgendwann bald beheben und eine andere Variante des Täters freigeben. Andernfalls werden sie kein schmutziges Geld machen, sobald der völlige Mangel an Entschlüsselungsoption an Öffentlichkeit gewinnt.

GermanWiper macht die Runde durch Phishing. Die Möchtegern-Beute erhält eine Nachricht, getarnt als Lebenslauf einer Bewerberin. Das angehängte ZIP-Archiv, wenn es extrahiert wird, scheint zwei PDF-Dateien zu enthalten. Diese Objekte stellen sich jedoch als verschleierte LNK-Entitäten heraus, die ein verdecktes PowerShell-Skript ausführen. Das Skript lädt dann eine andere Datei im HTA-Format herunter, die die Nutzlast der endphase einzieht und ausführt. Die Ransomware ausführbare Datei ist richtig in das öffentliche Verzeichnis unter C:Users. Die nächste Stufe des Angriffs besteht darin, den Host nach wertvollen Daten zu suchen. Bei der Durchführung seiner Kontrollen, die Ransomware überspringt Systempfade, die für den normalen Betrieb von Windows entscheidend sind. Der seltsamste Teil kommt als nächstes: GermanWiper überschreibt den Inhalt von gefleckten wichtigen Dateien mit Nullen, so dass es sowohl unzugänglich als auch unwiederbringlich ist. Auch dies kann ein Fehler im Malware-Code sein, die die Angreifer wahrscheinlich in einem zukünftigen Update der Infektion zu beheben. Daher sind die folgenden Schritte es wert, trotzdem zu versuchen, die Geiselinformationen wiederherzustellen. Darüber hinaus ist der Virus Entfernung Teil ein Muss unabhängig von der Ransomware-Variante.

Automatische Entfernung von GermanWiper Ransomware

Die Vorteile des Einsatzes der automatischen Security-Suite, um diese Infektion loszuwerden, liegen auf der Hand: Sie scannt das gesamte System und erkennt alle möglichen Fragmente des Virus, so dass Sie ein paar Mausklicks von einer kompletten Korrektur entfernt sind.

  1. Laden Sie die empfohlene Malware-Sicherheitssuite herunter und installieren Sie sie
    GermanWiper Entferner herunterladen
  2. Wählen Sie Start-Computer-Scan -Funktion und warten Sie, bis das Dienstprogramm mit dem Scan-Report kommt. Gehen Sie mit einem Klick auf den Button „Bedrohungen beheben„, der einen gründlichen Entfernungs Prozess auslöst, um alle Malware-Probleme zu beheben, die Ihren Computer und Ihre Privatsphäre beeinträchtigen.

Wiederherstellen von Dateien, die von GermanWiper gesperrt wurden

Die GermanWiper Ransomware stellt eine einzigartige Kategorie von bösartigen Software, deren Angriffsfläche über das Betriebssystem und seine Komponenten reicht, weshalb das Entfernen des Virus selbst ist ein Teil der Fix nur. Wie bereits erwähnt, verschlüsselt Sie die persönlichen Daten, so dass die nächste Phase der Gesamtsanierung die Wiedereinführung der Akten voraussetzt, die sonst unzugänglich bleiben.

  • Datenrettungssoftware starten

    Ähnlich wie bei den übrigen Mitinfektionen folgt das GermanWiper-Virus höchstwahrscheinlich einem operativen Algorithmus, bei dem er die Originalversionen der Dateien des Opfers löscht und tatsächlich ihre Kopien verschlüsselt. Diese Besonderheit könnte Ihren Tag machen, weil forensikorientierte Anwendungen wie Data Recovery Pro in der Lage sind, die entfernten Informationen wiederherzustellen. Wenn sich das Virus weiterentwickelt, kann sein Modus operandi geändert werden – in der Zwischenzeit, gehen Sie vor und versuchen Sie dies.

  • Nutzen Sie den Lautstärke-Schatten Kopier Dienst

    Diese Technik basiert auf der Verwendung der nativen Backup-Funktionalität, die mit Windows-Betriebssystem ausgeliefert wird. Diese Funktion, die auch als Volume Snapshot Service (VSS) bezeichnet wird, ermöglicht regelmäßige Backups der Benutzer Dateien und behält ihre neuesten Versionen, solange die System Wiederherstellung eingeschaltet ist. GermanWiper hat keine Auswirkungen auf diese Kopien gefunden, daher wird der betreffende Restaurationsvektor dringend empfohlen. Die beiden folgenden Unterabschnitte unterstreichen den automatischen und manuellen Workflow.

  • a) Shadow Explorer verwenden

    Shadow Explorer ist ein Applet, das eine einfache Möglichkeit bietet, frühere Versionen von Dateien und Ordnern abzurufen. Zu seinen Profis gehört eine intuitive Schnittstelle, auf der die gesamte Datei Hierarchie des Computers in einem Fenster angezeigt wird. Wählen Sie einfach das Festplattenvolumen aus, auswählen Sie das zu restaurierteste Objekt oder Verzeichnis, klicken Sie mit der rechten Maustaste darauf und wählen Sie den Export. Folgen Sie den Anweisungen der APP, um die Arbeit zu erledigen.Shadow Explorer

  • b) Dateieigenschaften verwenden

    Im Wesentlichen, was das oben genannte Shadow Explorer-Tool tut, ist es automatisiert den Prozess, der sonst manuell über die Eigenschaften Dialog für einzelne Dateien durchgeführt werden kann. Dieser besondere Ansatz ist umständlicher, aber genauso effektiv wie sein softwarebasiertes Pendant, so dass Sie mit der rechten Maustaste auf eine beliebige Datei mit einer fünfstelligen Erweiterung, die von GermanWiper Ransomware betroffen ist, und die Auswahl Eigenschaften im Kontextmenü. Die Registerkarte „Vorherige Versionen“ ist das nächste, was Sie anklicken – sie zeigt verfügbare Versionen der Datei nach dem Datum der Snapshot-Erstellung an. Wählen Sie die neueste Kopie aus, und schließen Sie den Abruf ab, indem Sie den Anweisungen folgen.Früheren Versionen

  • Datensicherungen wirken Wunder

    Ransomware wie GermanWiper ist nicht annähernd so allmächtig und destruktiv, falls Sie regelmäßige Dateisicherungen in der Cloud oder externen Datenträgern ausführen. Das Virus selbst kann innerhalb weniger Minuten vollständig entfernt werden, und die verzerrten Informationen können dann genauso leicht aus dem Backup geborgen werden. Zum Glück ist das ein wachsender Trend, so dass Lösegeld-Trojaner hoffentlich in naher Zukunft weniger subversiv werden.

Überprüfen Sie die Gründlichkeit der Entfernung

Nachdem Sie die obigen Anweisungen ausgeführt haben, fügen Sie dem Sicherheitsverfahren einen letzten Schliff hinzu, indem Sie einen zusätzlichen Computer-Scan ausführen, um auf Rest Malware-Aktivitäten zu überprüfen

GermanWiper Ransomware Entferner herunterladen
5/5 (1)

Please rate this

Am August 6, 2019   /   Führer   /   Hinterlassen Sie einen Kommentar
Hinterlassen Sie einen Kommentar

Follow Us:

Surf Spy

Surf Spy is an invisible tool that monitors the Internet activity on your computer. It captures the link of every visited web site. Read more >>

Bluescreen Screensaver

Bluescreen Screensaver will simulate the Windows Blue Screen of Death for your operating system. Read more >>

Farsighter

Farsighter monitors a remote computer invisibly by streaming real-time video to a viewer on your computer. Read more >>