====== Cryptowall 3.0 entfernen ======
Cryptowall 3.0 ist eine Form von [[computer:problembehebung:ransomware_entfernen|Ransomware]] / Cryptolocker, welche **Daten verschlüsselt** und nur gegen Bezahlung eines Lösegeldes (=Ransom) wieder entschlüsselt.
{{ :computer:problembehebung:crytpowall_3.0_entfernen.jpg?direct&300|}}Cryptowall** entfernt sich nach der Verschlüsselung sämtlicher Daten selbst** und hinterlässt praktisch keine Spuren. Eine direkte Entfernung ist damit nicht möglich/nötig. Nichtsdestotrotz kann folgender Ablauf zur Überprüfung durchgeführt werden.
- Computer im [[computer:boot:abgesicherter_modus|abgesicherten Modus starten]]
- Autostart bereinigen
- %appdata% bereinigen
- Analog zu [[computer:problembehebung:ransomware_entfernen|Ransomware entfernen]] verfahren (Kaspersky Rescue Disc)
----
Der auf anderen Seiten empfohlene **"Cryptowall 3.0 Remover"** oder **"Spyhunter-Installer"** ist eine klassische [[computer:problembehebung:rogueware_entfernen|Rogueware]]. Von der Installation dieser Software und einer somit auf den ersten Blick scheinbar einfacheren Lösung **wird dringend abgeraten!**
----
===== Cryptowall Daten entschlüsseln =====
Eine Entschlüsselung der Daten ohne den korrekten Entschlüsselungscode **ist nicht möglich**.
Einzige Hoffnung ist das **Wiederherstellen der Daten von einem sauberen Backup** oder aber der Versuch Daten aus Caches, Volume Shadow Copies, etc. wiederzubeschaffen.
Dementsprechend empfiehlt sich folgendes Vorgehen:
- Netzwerkverbindungen trennen, Infizierter Computer ausschalten (evtl. wurden noch nicht alles Files verschlüsselt)
- Versuchen unverschlüsselte Daten per LiveCD zu exportieren
Die übrigen verschlüsselten Daten können mit [[computer:problembehebung:cryptowall_entfernen#ListCWall|ListCWall]] als Liste exportiert werden. Diese Liste kann anschliessen genutzt werden, um die Daten aus anderen Quelle wiederherzustellen, z.B.
* Volume Shadow Copy
* [[computer:backup:|Backups]]
* Caches / Zwischenspeicher
* Externe Medien (z.B. USB-Sticks, Festplatten)
* [[computer:email|E-Mails]]
----
===== Prävention =====
Zu** Vermeidung** einer Infektion oder aber wenn Sie **bereits von Cryptowall 3.0 betroffen** sind, sollten folgende Punkte beachtet werden:
* System **regelmässig** aktualisieren (insbesondere Java)
* **Zuverlässigen** Antivirus verwenden (z.B. Kaspersky)
* **Vorsicht** bei Mailanhängen (Artikel dazu: [[http://pedrett.org/ein-fax-mit-folgen/|Ein Fax mit Folgen]])
* Backups **korrekt** einrichten (Mind. [[computer:backup:3_2_1_backupregel|3-2-1 Regel]] beachten)
Obwohl die Priorität bei einer Infizierung durch Cryptowall in erster Linie auf dem Wiederherstellen der Daten liegt, darf die **Absicherung des System keinesfalls vernachlässigt werden**. "Einfach schnell einen Antivirus" zu installieren reicht in den meisten Fällen nicht aus und wird auch zukünftigem Befall nicht zuverlässig vorbeugen!
----
===== Bemerkungen =====
* Cryptowall 3.0 verschlüsselt **unbekannte Dateiformate nicht**, um das System funktionsfähig zu halten
* Aus demselben Grund werden **Systemdaten** nicht verschlüsselt
* Der Cryptolocker entfernt sich nach Beendigung der Arbeit selbständig vom System
* Cryptowall 3.0 kann nur Daten verschlüsseln, auf die der betroffene Benutzer **Schreibberechtigungen** hat
* Originaldaten werden von Cryptowall nach der Verschlüsselung **mehrfach überschrieben** - eine Wiederherstellung der Daten auf dem betroffenen Computer ist damit praktisch nicht möglich.
* Die Infizierung erfolgt zurzeit **nur auf Windowssystemen**. Hingegen kann **Cryptowall auch Daten auf NAS, Server, etc. verschlüsseln** sofern der infizierte Computer diese als **Netzlaufwerke** mit Schreibberechtigungen angehängt hat.
* Zurzeit scheinen vermehrt Nutzer aus der DACH-Region (Deutschland,Österreich,Schweiz) betroffen zu sein
* Die Dateien HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.URL, HELP_DECRYPT.TXT sind nicht schädlich, sondern dienen nur dazu infizierte Ordner zu markieren.
===== ListCWall =====
Mt dem Tool [[http://www.bleepingcomputer.com/download/listcwall/|ListCWall]] kann eine Liste der mit Cryptowall verschlüsselten Daten angezeigt werden((http://www.bleepingcomputer.com/download/listcwall/)).
^Befehl^ Beschreibung^
|listcwall -h |This command will list the help file for ListCwall.|
|listcwall -q |This command will suppress the output of the ListCwall program.|
|listcwall -m |This command will move the encrypted files to the %Desktop%\ListCWall_Backup folder.|
|listcwall -c |This command will copy the encrypted files to the %Desktop%\ListCWall_Backup folder.|
|listcwall -m -b c:\backup |This command will move the encrypted files to the C:\backup folder.|
|listcwall -c -b c:\backup |This command will copy the encrypted files to the C:\backup folder.|
===== Direkthilfe =====
Sofern Sie **Hilfe** bei der Wiederherstellung von gesperrten Daten durch Cryptowall 3.0 und der **Vermeidung** eines solchen Szenarios benötigten, können wir Ihnen gerne **weiterhelfen**.
[[http://www.pitw.ch/kontakt|Kontaktieren]] Sie uns unverbindlich.
----
~~DISCUSSION:closed|Cryptowall diskutieren ~~