Inhaltsverzeichnis
Cryptowall 3.0 entfernen
Cryptowall 3.0 ist eine Form von Ransomware / Cryptolocker, welche Daten verschlüsselt und nur gegen Bezahlung eines Lösegeldes (=Ransom) wieder entschlüsselt.
Cryptowall entfernt sich nach der Verschlüsselung sämtlicher Daten selbst und hinterlässt praktisch keine Spuren. Eine direkte Entfernung ist damit nicht möglich/nötig. Nichtsdestotrotz kann folgender Ablauf zur Überprüfung durchgeführt werden.
- Computer im abgesicherten Modus starten
- Autostart bereinigen
- %appdata% bereinigen
- Analog zu Ransomware entfernen verfahren (Kaspersky Rescue Disc)
Der auf anderen Seiten empfohlene „Cryptowall 3.0 Remover“ oder „Spyhunter-Installer“ ist eine klassische Rogueware. Von der Installation dieser Software und einer somit auf den ersten Blick scheinbar einfacheren Lösung wird dringend abgeraten!
Cryptowall Daten entschlüsseln
Eine Entschlüsselung der Daten ohne den korrekten Entschlüsselungscode ist nicht möglich. Einzige Hoffnung ist das Wiederherstellen der Daten von einem sauberen Backup oder aber der Versuch Daten aus Caches, Volume Shadow Copies, etc. wiederzubeschaffen.
Dementsprechend empfiehlt sich folgendes Vorgehen:
- Netzwerkverbindungen trennen, Infizierter Computer ausschalten (evtl. wurden noch nicht alles Files verschlüsselt)
- Versuchen unverschlüsselte Daten per LiveCD zu exportieren
Die übrigen verschlüsselten Daten können mit ListCWall als Liste exportiert werden. Diese Liste kann anschliessen genutzt werden, um die Daten aus anderen Quelle wiederherzustellen, z.B.
- Volume Shadow Copy
- Caches / Zwischenspeicher
- Externe Medien (z.B. USB-Sticks, Festplatten)
Prävention
Zu Vermeidung einer Infektion oder aber wenn Sie bereits von Cryptowall 3.0 betroffen sind, sollten folgende Punkte beachtet werden:
- System regelmässig aktualisieren (insbesondere Java)
- Zuverlässigen Antivirus verwenden (z.B. Kaspersky)
- Vorsicht bei Mailanhängen (Artikel dazu: Ein Fax mit Folgen)
- Backups korrekt einrichten (Mind. 3-2-1 Regel beachten)
Obwohl die Priorität bei einer Infizierung durch Cryptowall in erster Linie auf dem Wiederherstellen der Daten liegt, darf die Absicherung des System keinesfalls vernachlässigt werden. „Einfach schnell einen Antivirus“ zu installieren reicht in den meisten Fällen nicht aus und wird auch zukünftigem Befall nicht zuverlässig vorbeugen!
Bemerkungen
- Cryptowall 3.0 verschlüsselt unbekannte Dateiformate nicht, um das System funktionsfähig zu halten
- Aus demselben Grund werden Systemdaten nicht verschlüsselt
- Der Cryptolocker entfernt sich nach Beendigung der Arbeit selbständig vom System
- Cryptowall 3.0 kann nur Daten verschlüsseln, auf die der betroffene Benutzer Schreibberechtigungen hat
- Originaldaten werden von Cryptowall nach der Verschlüsselung mehrfach überschrieben - eine Wiederherstellung der Daten auf dem betroffenen Computer ist damit praktisch nicht möglich.
- Die Infizierung erfolgt zurzeit nur auf Windowssystemen. Hingegen kann Cryptowall auch Daten auf NAS, Server, etc. verschlüsseln sofern der infizierte Computer diese als Netzlaufwerke mit Schreibberechtigungen angehängt hat.
- Zurzeit scheinen vermehrt Nutzer aus der DACH-Region (Deutschland,Österreich,Schweiz) betroffen zu sein
- Die Dateien HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.URL, HELP_DECRYPT.TXT sind nicht schädlich, sondern dienen nur dazu infizierte Ordner zu markieren.
ListCWall
Mt dem Tool ListCWall kann eine Liste der mit Cryptowall verschlüsselten Daten angezeigt werden1).
| Befehl | Beschreibung |
|---|---|
| listcwall -h | This command will list the help file for ListCwall. |
| listcwall -q | This command will suppress the output of the ListCwall program. |
| listcwall -m | This command will move the encrypted files to the %Desktop%\ListCWall_Backup folder. |
| listcwall -c | This command will copy the encrypted files to the %Desktop%\ListCWall_Backup folder. |
| listcwall -m -b c:\backup | This command will move the encrypted files to the C:\backup folder. |
| listcwall -c -b c:\backup | This command will copy the encrypted files to the C:\backup folder. |
Direkthilfe
Sofern Sie Hilfe bei der Wiederherstellung von gesperrten Daten durch Cryptowall 3.0 und der Vermeidung eines solchen Szenarios benötigten, können wir Ihnen gerne weiterhelfen.
Kontaktieren Sie uns unverbindlich.