Erpressungstrojaner – Was tun bei Infektion?
Falls ein Erpressungstrojaner den eigenen Computer befallen hat, ist es wichtig schnell zu handeln. Deshalb sollte man sich schon im Vorhinein über die erforderlichen Schritte informieren.
Bei Erpressungstrojanern - auch Krypto-Trojaner oder Ransomware genannt – handelt es sich um Schadprogramme, die Dateien auf der Festplatte und eventuell auch auf verbundenen USB- oder Netzwerk-Laufwerken verschlüsseln. Dadurch werden diese Dateien unbrauchbar und können laut Erpressungsschreiben nur durch Zahlung des Lösegeldes wieder entschlüsselt werden. Sollte solch ein Befall festgestellt werden, ist es wichtig schnell und richtig zu handeln. Daher ist es von Vorteil sich schon im Vorhinein über die zu treffenden Maßnahmen zu informieren.
Erkennung
Eine Infektion erkennt man spätestens an der eingeblendeten Erpressernachricht, in der zur Zahlung aufgefordert wird. Mit etwas Glück ist die Infektion jedoch schon vorher an verdächtigen Aktivitäten oder Prozessen erkennbar. Einen Befall erkennen Sie beispielsweise an Dateien, auf die Sie nicht mehr zugreifen können bzw. die eine nicht vertraute Dateiendung haben (z.B. „.xyz“, „.locky“ etc.). Der Verschlüsselungsvorgang ist zu dieser Zeit noch nicht abgeschlossen, daher ist die Chance größer, dass keine oder noch nicht alle wichtigen Dateien verschlüsselt wurden.
Sofortmaßnahmen
Im Falle einer Infektion sollte der Computer sofort abgewürgt, also stromlos gemacht werden. Das kann am schnellsten durch gedrückt-halten des Start-Knopfs erreicht werden. Man muss sich hierbei jedoch bewusst sein, dass diese Aktion die bezahlte Entschlüsselung unmöglich machen kann. Sicherheitsexpertinnen und -experten raten von der Bezahlung des Lösegelds ohnehin ab, da eine Geldüberweisung an die Kriminellen niemals eine Garantie dafür ist, dass die Dateien auch tatsächlich wieder freigegeben werden.
Sollten Sie eine aktuelle, noch nicht befallene Sicherung Ihres Systems haben, können Sie das befallene System löschen oder formatieren und die Sicherung neu aufspielen. Vergewissern Sie sich anschließend nochmals, dass auch wirklich keine Infektion mehr besteht.
Für erste Hilfsmaßnahmen ist es zuerst notwendig zu wissen, durch welchen Erpressungstrojaner der Computer befallen wurde. Diese Information kann in der Erpressernachricht direkt angegeben sein. Ist das nicht der Fall kann man dazu den Web-Dienst des Malware Hunter Teams verwenden. Dieser kann durch den Upload der Erpressernachricht oder verschlüsselten Dateien feststellen um welchen Trojaner es sich handelt. Zurzeit erkennt der Dienst über 500 verschiedene Erpressungstrojaner.
Für einige der Erpressungstrojaner existieren mittlerweile schon Programme, die die verschlüsselten Dateien ohne Lösegeldzahlung entschlüsseln können. Diese Programme werden von Sicherheitsforscherinnen und Sicherheitsforschern entwickelt, sobald eine Schwachstelle in der Vorgangsweise des Trojaners entdeckt wird. Teilweise verwenden solche Trojaner nämlich schwache oder schlecht implementierte Verschlüsselungen, die geknackt werden können. Die wohl umfassendsten Sammlungen an Gegenmaßnahmen für die gängigsten Erpressungstrojaner finden Sie bei NoMoreRansom! und BleepingComputer.
Erpressungstrojaner werden jedoch ständig weiterentwickelt und reagieren auf entdeckte Schwachstellen. Durch diese Vorgangsweise entstehen immer ausgereiftere Schadprogramme und eine Umgehung der geforderten Zahlung wird entsprechend schwieriger bis unmöglich. Somit bleiben auf Dauer nur die vorbeugenden Schutzmaßnahmen als wirklich wirksame Gegenwehr übrig.
Für den Fall, dass Ihr Computer von einem noch nicht entschlüsselbaren Erpressungstrojaner infiziert wurde, sollten Sie dennoch die verschlüsselten Dateien – zumindest die, die für Sie wichtig sind – aufbewahren. Für jeden noch so schwer knackbaren Trojaner kann es sein, dass eine Methode gefunden wird die Verschlüsselung auszuhebeln. Bei TeslaCrypt, einem der weitverbreitetsten und ausgereiftesten Krypto-Trojaner, gaben die Entwickler zum Beispiel ihre Tätigkeit auf und veröffentlichten den Master-Schlüssel, wodurch alle von diesem Trojaner verschlüsselten Dateien ohne Lösegeld-Zahlung wiederhergestellt werden können.
Anzeige
Man sollte nicht vergessen, dass es sich bei diesem Erpressungsversuch um eine Straftat handelt und diese zur Anzeige gebracht werden sollte. Melden Sie daher den Vorfall in der nächsten Polizeidienststelle. Dadurch kann einerseits die strafrechtliche Verfolgung der Erpresserinnen und Erpresser aufgenommen werden, andererseits werden Einblicke in deren Vorgangsweise gesammelt. Für Hilfe und Informationen zu Internetbetrug können Sie auch jederzeit die Meldestelle für Internetkriminalität des Bundeskriminalamts kontaktieren.
Weitere Informationen
- NoMoreRansom - Informationsportal und Entschlüsselungstools
- Web-Dienst zum Identifizieren von Ransomware
- BSI Lagedossier zu Ransomware
- Empfehlungen zu Ransomware von Cert.at
- Artikel auf Botfrei.de
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria