Wer bezahlt und den Code eingibt soll angeblich wieder an seine Dateien rankommen - ha Pustekuchen, Pech gehabt.
mieser Erpresser |
Zum Glück haben die Erpresser einen einfachen symmetrischen Verschlüsselungmechanismus benutzt, so kann man aus einer bekannten und einer verschlüsselten Datei "gleichen" Inhaltes den Schlüssel errechnen und damit auch alle anderen Dateien wieder entschlüsseln.
Einige findige Programmierer, unter anderem bei Avira haben sich dieser Aufgabe angenommen und passende Tools bereits zum Download bereitgestellt. Nun, jetzt stellt sich die Frage, wenn alle meine Dateien verschlüsselt sind, woher bekomme ich Originale? Ganz einfach, auf jedem Windows-Rechner existieren z.B. Beispielbilder, die auf anderen Windows-Systemen auch vorhanden sind, also einfach vom Nachbarn per USB-Stick besorgen und fertig (für Windows 7 findet man welche hier im TrojanerBoard).
Die Vorgehensweise zum Entfernen des Verschlüsslers ist einfach, man startet das System mit Hilfe einer BootCD, z.B. dem Avira Antivir Rescue System, einem unter Linux laufenden System, welches eben nur den bekannten Virenscanner startet. Alternative dazu ist die Kaspersky Rescue Disk.
Der PC sollte dabei mit dem Internet verbunden sein um Avira aktualisieren zu können (geht am einfachsten über Kabel). Scan über das gesammte System starten und abwarten bis er fertig ist. (Erkannte Viren werden standardmäßig umbenannt - nicht gelöscht). Jetzt den PC hochfahren, als wäre nix gewesen. Dann mit dem eigenen aktualisierten Virenscanner einen zweiten Komplettsuchlauf machen und die (wieder) erkannten Dateien in Quarantäne bringen. Die zurückgebliebenen Autostart-Einträge (hier mit Zufallsnamen) kann man einfach mit den Sysinternals Autoruns entsorgen.
Jetzt das Entschlüsselungsprogramm von Avira HIER besorgen und starten. Als verschlüsselte Datei ist meist bereits eine der Standard - Beispiel - Dateien eingetragen, als entschlüsselte Datei wählt man die passende vom Nachbarn. Jetzt lässt man Aviras Programm direkt auf die ganze Platte (und falls vorhanden auch auf die anderen Platten) los. Das Programm arbeitet relativ zügig und zeigt am Ende an, wieviele Dateien es entschlüsselt hat (hier waren es etwa 3000). Die verschlüsselten Original bleiben dabei erhalten, falls irgendetwas schief geht. Et voila, das Problem ist Geschichte.
Zur Vorsorge empfiehlt es sich aber wie immer, alle möglichen veralteten Programme erst mal zu aktualisieren um zukünftige Infektionen auszuschließen.
Gutes Hilfsmittel dazu ist der Secunia personal Software Inspector.
Nachtrag2: So wie es aussieht wurde der Trojaner über eine gefakte Telekom-Mail mit dem Betreff Telekom-Rechnung als Anhang verschickt. Hier mit doppelter Dateiendung .pdf.exe um zu Verschleiern um was es sich wirklich handelt. Nochmal eindringlichst an alle: Dateianhänge erst speichern! Bei der Nachfrage unter welchem Namen erkennt man die doppelte Dateiendung immer. Dateien die sich so zu tarnen versuchen sind IMMER böse.
Nachtrag3: Inzwischen geistert das Ding auch als O2 - und Vodafone-Rechnung durchs Netz - eins ist aber allen gemein, in der Mail steht eine falsche Kundennummer, ein sehr hoher Rechnungsbetrag und sie enthält einen ausführbaren Anhang.
Nachtrag4: Habe heute eine EMail-Mahnung mit vollkommen überhöhter Summe erhalten :)
In diesem Fall kam der Trojaner als .com - Datei in einer .zip - Datei, welche nochmals gezippt war (um Virenscanner auszutricksen). Avira hat nicht angeschlagen, aber die Kontrolle bei VirusTotal war eindeutig