Ransomware, Erpresserviren, Verschlüsselungstrojaner, wie man die Dinger auch nennt, sie sind zu einer ernsthaften Bedrohung für unsere Daten geworden. Inzwischen enthält jede zweite EMail mit Anhang so ein Teil, aber auch Schwachstellen in Adobe Reader, Java, Flash, Internet Explorer usw. werden inzwischen aktiv genutzt um dem Nutzer solch ein Schadprogramm unterzujubeln. Und es ist selbst für Laien inzwischen kein Problem mehr solch einen Virus zu erzeugen - entprechende Baukästen gibts für verhältnismäßig wenig Geld in den dunklen Ecken des Internets zu kaufen.
Das Vorgehen der Schädlinge ist dabei immer ähnlich: das Schadprogramm wird irgendwie zur Ausführung gebracht und dieses verschlüsselt dann Dateien oder ganze Teile von Festplatten mit bekannten Verschlüsselungsmethoden wie AES. Es folgt das Anzeigen eines Fensters, welches die eigentliche Lösegeldforderung enthält und den Weg wie man wieder an seine Dateien kommen soll.Dabei sind alle Dateien betroffen, auf die der Virus zugreifen kann, Texte, Bilder, Videos, Musik, etc. etc., auch auf angeschlossenen externen Festplatten oder im Netzwerk erreichbare Dateien greifen die Schädlinge zu (eine Liste der Dateien auf die "AlphaCrypt" zugreift findet man hier.
In der Regel bekommen z.B. die eigenen Bilder eine neue Dateiendung und es wird auch ganz gerne die Erpressenotiz in jedem Ordner auf der Festplatte abgelegt.
Das Bezahlen des Lösegeldes kann einem die erhoffte Rettung bringen, ich würde aber nicht davon ausgehen.
Was tun, wenn es mich erwischt hat:Computer nicht aussschalten - nur vom Internet trennen! Erstmal rausfinden, womit man es zu tun hat. Dazu gibt es inzwischen einen netten Dienst unter malwarehunterteam.com (en) der Anhand des Erpressertextes (Ransom Note) oder einer verschlüsselten Datei (Sample encrypted File) versucht zu erkennen um welchen Schädling es sich denn genau handelt. Auch eine Google-Suche nach der Endung der verschlüsselten Dateien hilft schonmal zu erkennen worum es sich denn wirklich handelt.
Sobald man den Virus beim Namen kennt hilft einem Google wieder ganz gut weiter.
Für einige der Fieslinge gibts inzwischen Tools, die die Verschlüsselung der eigenen Daten wieder rückgängig machen können - ein Blick lohnt hier bei c't oder auch hier im Forum bleepingcomputer.com (en) oder bei dieviren.de.
Was tun, damit es mich nicht erwischt:
1. EMail - Anhänge mit allergrößter Vorsicht behandeln, auch wenn sie angeblich von einem Freund stammen - virustotal.com hilft (auch gepackte) Viren zu erkennen
2. Halten Sie ALLE Software aktuell, die mit dem Internet zu tun hat: Browser, Java, Flash, Adobe Reader, Windows... - Tools wie SUMo oder Software-Update von Glarysoft können dabei helfen alte Programme zu erkennen und zu ersetzen (Bitte bei der Installation auch wieder auf Werbeschrott achten - Stichwort benutzerdefinierte Installation)
3. Prüfen Sie jedes Programm das aus dem Internet stammt mit virustotal.com oder mindestens zwei Virenscannern.
4. Machen Sie Backups!!! Auf externe Festplatten, in der Cloud oder wo auch immer, Hauptsache ein Virus bekommt keinen Zugriff darauf (Achtung auch bei Automatismen, die veränderte Dateien im Backup überschreiben). Einige der Viren greifen auch übers Netz um sich, daher Backups wenn möglich auf externe Geräte!
!!! UPDATE !!!
Der Erpresservirus TeslaCrypt gibt auf !!!
Der Autor von Teslacrypt hat der Firma ESET einen Generalschlüssel zur Verfügung gestellt, mit dem alle Varianten von mit TeslaCrypt verschlüsselten Dateien wieder entschlüsselt werden können. Faktisch bedeutet das das Ende von TeslaCrypt. Ein universelles Tool findet man bei BleepingComputer zum download.
!!! UPDATE 2 !!!
AVG und Trendmicro haben Ihre Entschlüsselungstools aktualisiert und geben sie zum Download frei. Damit sind fast zwanzig Erpresser mehr knackbar. Die Tools sind hier zusammengefasst.
!!! UPDATE 3 !!!
Verschiedene Unternehmen und Behörden haben sich zusammengeschlossen um Erpresser-Trojanern das Leben schwer zu machen. Die neue Internetseite nomoreransom.org bietet aktuell vier weitere Entschlüsselungstools zum freien Download an. Es sollen aber noch viele mehr dazukommen.
!!! UPDATE 4 !!!
Auch der Antivirenhersteller Avast bietet inzwischen eine Sammlung Entschlüsselungstools zur freien Benutzung an. Die Tools findet man nach Trojaner sortiert hier
