Ransomware – Locky, TeleCrypt, CrytoWall & Co.

Trojaner gibt es schon sehr lange (seit ca. 1975). Dennoch erleben gerade sie Moment einen enormen Boom. Was kann man aber vorbeugend tun, um sich zu schützen. Was mache ich, wenn es doch passiert ist? Hier ein paar unverbindliche Informationen und Tipps zum Thema.

Sie verschlüsseln deine Daten

Zwar nicht ganz so neu aber hier besonders präsent, dass die Trojaner deine Daten verschlüsseln und du nach Zahlung eines um die 200 Euro großen Betrag, meist in Bitcoin, angeblich eine Entschlüsselungssoftware bekommen sollst. Wenn man Glück im Unglück hat, bekommt man diese Entschlüsselungssoftware – meistens allerdings nicht. Das BSI rät dringend von der Zahlung des Erpressergeldes ab! Man soll sofort Strafanzeige stellen. Wer zahlt läuft nur Gefahr, dass die Schurken nun wissen, dass du zahlungswillig bist. Also werden sie dich vermutlich wieder versuchen zu attackieren. Vielleicht ist die nächste Attacke sogar schon in der Entschlüsselungssoftware integriert. Also eine Spirale ohne Ende!!!
Die Daten werden mit einem bei jedem PC anderen öffentlichen Schlüssel verschlüsselt. Es bringt also nichts, einen privaten Schlüssel eines anderen PCs nutzen zu wollen. Der Schlüssel passt schlicht nicht.

[tl;dr]

Präventiv

  1. Daten sichern und Backup-Platte vom System trennen
  2. Makros in Word deaktivieren
  3. Anti-Ransomware Software installieren (später in Anti-Viren-Lösungen enthalten)

Bei Befall

  1. Sofort den PC herunter Fahren – nötigenfalls Stromstecker ziehen!!!
  2. Mit einer LiveCD-Starten und
    1. Schädling beseitigen
    2. Umfang des Schadens begutachten
  3. Verschlüsselte Daten entweder
    1. aus Backup wieder herstellen (das wäre die beste Lösung ;-) )
    2. verschlüsselte Dateien mit allen Daten des Schädlings auf eine Festplatte der USB-Stick sichern

Die lange Fassung

Präventive Maßnahmen

Backup

Ganz wichtig ist es, ein aktuelles Backup aller Daten zu haben. Es ist natürlich auch darauf zu achten, dass das Backup-Medium (vermutlich eine 2,5″ externe Festplatte) nicht ständig am PC angeschlossen ist. Ansonsten würde bei einem Befall mit einer Ransomware wie Locky oder TeslaCrypt, auch das Backup verschlüsselt und somit unbrauchbar gemacht. Also nach dem Backup – Festplatte abziehen!!!

Sichern kannst du z.B. mit der Software c’t-WIMage von heise.de. Es ist keine klassische „ich-mache-jeden-Tag-ein-Backup-Software“, sondern eher ein Software, um einen aktuellen Stand deines PC zu sichern. Aber auch klassische Backup-Sofawaren wie z.B. Backup & Recovery Free Edition 2014 können von Nutzen sein. Wichtig ist halt immer – Festplatte nach dem Backup trennen!

Sei auf der Hut

Als erstes ist sicherlich zu nennen: „Sei auf der Hut!“

Vorsicht bei E-Mails, die du nicht erwartet hast! Wenn du dir nicht sicher bist, ob die E-Mail mit Anhang doch notwendig war, ruf den Absender an. Wenn dir das zu lästig ist, dann lösche die E-Mail einfach. Der Absender wird dir wichtige E-Mails sicher noch einmal zusenden.

Makros deaktivieren

Am besten schaltest Du die Nutzung von Makros in Word aus. Wie das geht zeigt dieses Video:


Oder auf folgender Webseite: Makros deaktivieren

Aktuelle Antivirenschutze Software

Vermutlich werden die großen Antivirenschutz-Software nachziehen und bald einen Schutz bieten. Hier sei gesagt, dass kostenpflichtige Programme in jedem Fall besser sind als Freeware, da die kostenpflichtigen Software viel schneller ktualisiert werden als kostenlose. Die 30-40 Euro für so eine Software sollten euch eure Daten wert sein!

Vom AntiMaleware-Spezielisten Malewarebyte.org gibt es schon ein erstes Schutzprogramm, welches sogar kostenlos ist. Das ist die besagte Ausnahme die die Regel bestätigt! ;-)

Malwarebyte Anti Ransomeware

Die Software ist noch im beta-Status, kann aber ruhig benutzt werden.

Wenn es dennoch passiert ist

PC herunterfahren

Wenn ihr einen Trojaner bemerkt, sofort Windows herunter fahren oder nötigenfalls sofort den Stromstecker ziehen!

Damit ihr aber überhaupt wisst, wie so ein Befall aussieht, hat der YouTuber „SemperVIdeo“ einen PC mit Locky infiziert und zeigt was passiert.

Fachfrau oder Fachmann fragen

Für die meisten Benutzer ist es sicher das Beste, einen Fachmann oder -frau mit der Wiederherstellung zu beauftragen. Wenn man sich das selber zutraut – weiter lesen. ;-)

LiveCD starten

Als erstes muss der PC mit einer so genannten LiveCD gestartet werden. Dadurch ist die Festplatte im PC „nur noch“ eine weitere Festplatte. Die von Locky verschlüsselten Dateien können nun inklusive der Locky Daten auf eine weitere externe Platte gesichert werden. Dies dient aber lediglich dazu, um eventuell später die Dateien entschlüsseln zu können, wenn es gelungen ist die Verschlüsselung zu knacken. Ganz ehrlich: das glaube ich kaum.

Daten aus Backup wieder herstellen

Nun die verschlüsselten Dateien aus dem hoffentlich erstellten Backup wieder herstellen. Dabei aber nicht vergessen, die schädlichen Word-Dokumente mit dem Verschlüsselungs-Trojaner zu löschen. Spätestens jetzt sollte man aber den ggf. noch nicht eingestellten Makro-Schutz aktivieren.

Fazit

Als erstes sei bemerkt: einen echten Schutz gibt es leider nicht. Es kann jeden treffen. Darum immer Wachsam sein und besser eine E-Mail zu viel gelöscht als später auf keine Daten wegen Locky & Co. mehr zugreifen zu können.

Wenn der PC erst einmal versucht ist. Am besten sofort PC aus und ab damit zu einem Fachmann/-frau.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.