Ransomware
Bei Erpressungstrojanern – auch Krypto-Trojaner oder Ransomware genannt – handelt es sich um Schadprogramme, die Dateien auf der Festplatte und eventuell auch auf verbundenen USB- oder Netzwerk-Laufwerken verschlüsseln. Dadurch werden diese Dateien für die Benutzerin bzw. den Benutzer unbrauchbar und können, glaubt man den von den Kriminellen versendeten Erpressungsschreiben, nur durch Zahlung eines Lösegeldes wieder entschlüsselt werden.
Sollte ein derartiger Befall festgestellt werden, ist es wichtig, schnell und richtig zu handeln. Daher ist es von Vorteil, sich schon im Vorhinein über die zu treffenden Maßnahmen zu informieren. Einen Befall erkennen Sie an Dateien, auf die Sie nicht mehr zugreifen können bzw. die eine nicht vertraute Dateiendung haben (z.B. „.xyz“, „.locky“ etc.). Auch anhand verdächtiger Aktivitäten oder Prozesse ist die Infektion feststellbar. Der Verschlüsselungsvorgang ist zu diesem Zeitpunkt noch nicht abgeschlossen, daher ist auch die Chance noch größer, dass keine oder noch nicht alle wichtigen Dateien verschlüsselt wurden. Spätestens bei der Einblendung der Erpressernachricht, in der zur Zahlung aufgefordert wird, besteht Klarheit, dass ein Ransomware-Befall vorliegt.
Sofortmaßnahmen
Im Falle einer Infektion sollte der Computer sofort vom Strom genommen werden. Das kann durch ein längeres Drücken auf den Start-Knopf erreicht werden. Man muss sich hierbei jedoch bewusst sein, dass diese Aktion die Möglichkeit der Lösegeldzahlung zur Entschlüsselung unmöglich machen kann. Sicherheitsexpertinnen und -experten raten von der Bezahlung des Lösegelds ohnehin ab, da eine Geldüberweisung an die Kriminellen niemals eine Garantie dafür ist, dass die Dateien auch tatsächlich wieder freigegeben werden.
Weitere Vorgangsweise
Sollten Sie eine aktuelle, noch nicht befallene Sicherung Ihres Systems haben, können Sie das befallene System löschen oder formatieren und die Sicherung neu aufspielen. Vergewissern Sie sich anschließend nochmals, dass auch wirklich keine Infektion mehr besteht.
Für erste Hilfsmaßnahmen ist es zunächst notwendig zu wissen, welcher Erpressungstrojaner den Computer befallen hat. Diese Information kann in der Erpressernachricht direkt angegeben sein. Ist das nicht der Fall, kann man dazu den Web-Dienst des MalwareHunterTeams verwenden. Dieser kann durch den Upload der Erpressernachricht oder verschlüsselter Dateien feststellen, um welchen Trojaner es sich handelt.
Für einige Erpressungstrojaner existieren mittlerweile schon Programme, die die verschlüsselten Dateien ohne Lösegeldzahlung entschlüsseln können. Diese Tools werden von Sicherheitsforscherinnen und Sicherheitsforschern entwickelt, sobald eine Schwachstelle in der Vorgangsweise des Trojaners entdeckt wird. Teilweise verwenden Kryptotrojaner schwache oder schlecht implementierte Verschlüsselungen, die von Expertinnen und Experten geknackt werden können. Die wohl umfassendsten Informationen zu Gegenmaßnahmen für die gängigsten Erpressungstrojaner finden Sie bei NoMoreRansom und BleepingComputer.
Erpressungstrojaner werden jedoch ständig weiterentwickelt und reagieren auf entdeckte Schwachstellen. So entstehen immer ausgereiftere Schadprogramme und eine Umgehung der geforderten Zahlung wird entsprechend schwieriger bis unmöglich. Somit bleiben auf Dauer nur vorbeugende Schutzmaßnahmen als wirksame Gegenwehr übrig.
Für den Fall, dass Ihr Computer von einem noch nicht entschlüsselbaren Erpressungstrojaner infiziert wurde, sollten Sie dennoch die verschlüsselten Dateien – zumindest die, die für Sie wichtig sind – aufbewahren. Auch wenn ein Trojaner noch so schwer knackbar ist, kann es sein, dass eine Methode gefunden wird, die Verschlüsselung auszuhebeln.
Bei einem Erpressungsversuch handelt es sich um eine Straftat und diese sollte auch zur Anzeige gebracht werden. Melden Sie den Vorfall daher in der nächsten Polizeidienststelle. Dadurch kann einerseits die strafrechtliche Verfolgung der Erpresserinnen und Erpresser aufgenommen werden, andererseits werden Einblicke bezüglich deren Vorgangsweise gesammelt. Für Hilfe und Informationen zu Internetbetrug können Sie auch jederzeit die Meldestelle für Internetkriminalität des Bundeskriminalamts kontaktieren.
Weitere Informationen
- Web-Dienst zum Identifizieren von Ransomware
- Informationen und Liste von Programmen zur kostenlosen Entschlüsselung von Ransomware
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria