Sie sind hier: Home > Digital > Sicherheit >

Erpresser-Trojaner: So schützen Sie sich vor Ransomware

...
t-online.de ist ein Angebot der Ströer Content Group

Die neue Gefahr  

So schützen Sie sich vor Erpresser-Trojanern

25.11.2016, 15:26 Uhr | Yaw Awuku, t-online.de

Erpresser-Trojaner: So schützen Sie sich vor Ransomware. Ransomware verschlüsselt Dateien oder sperrt Windows. Die fiesen Trojaner lassen sich jedoch bekämpfen. (Quelle: Thinkstock by Getty-Images)

Ransomware verschlüsselt Dateien oder sperrt Windows. Die fiesen Trojaner lassen sich jedoch bekämpfen. (Quelle: Thinkstock by Getty-Images)

Erpresser-Trojaner sind weiter auf dem Vormarsch. Die Zahl der Infektionen mit der sogenannten Ransomware steigt rasant. Wir erklären, wie Sie sich vor Lösegeld-Erpressern à la Locky und TeslaCrypt schützen. Mit etwas Glück lassen sich verschlüsselte Dateien sogar wiederherstellen.

Erpresser-Trojaner kommen als Mail-Anhang, über infizierte Internetseiten und inzwischen auch per USB-Stick auf den Computer. Die Trojaner verschlüsseln nahezu alle Dateien auf lokalen Festplatten und im Netzwerk befindlicher Computer. Wer die Dateien wieder haben will, soll ein Lösegeld von mehreren Hundert bis Tausend US-Dollar zahlen. Insbesondere Unternehmen, Behörden und Krankenhäuser sind geneigt, auf die Forderungen der Erpresser einzugehen. Da die Kriminellen ihre Attacken immer breiter fächern, sind auch Privatleute vor den Krypto-Trojanern nicht sicher.

Der beste Schutz: frische Backups

Ein aktueller Virenscanner gehört auf jeden PC, kann eine Ransomware-Infektion aber nicht verhindern. Der beste Schutz gegen die Erpresser-Trojaner sind daher regelmäßige Backups. Während eine Entschlüsselung der gekaperten Dateien oft unmöglich ist, lassen sich die Schädlinge löschen. Auf das gesäuberte System können Sie dann das Backup von einer externen Festplatte einspielen.

So erleiden Sie nur geringe bis keine Datenverluste – vorausgesetzt, das Backup wurde kurz vor der Infektion erstellt. Wie Sie ein Backup unter Windows erstellen, erklären wir in unserer Foto-Show. Weiterhin können Sie sich mit einer gesunden Portion Skepsis und etwas System-Pflege vor Geiselnehmern schützen. Das sind die vier wirksamsten Maßnahmen gegen Erpresser-Software:

  1. Öffnen Sie keinesfalls Mail-Anhänge, wenn Sie nicht sicher sind, dass deren Inhalt unbedenklich ist.
  2. Schalten Sie die Makro-Funktion für OutlookWord und Excel aus, damit sich der Schädling nicht automatisch installiert, sobald das Dokument geöffnet wird. Wie Sie Makros in Office deaktivieren, zeigt unsere Foto-Show.
  3. Halten Sie Betriebssystem, Webbrowser sowie Browser-Erweiterungen wie Flash oder Java mit Updates auf dem neusten Stand. Aktualisieren Sie regelmäßig Ihre Antiviren-Software.
  4. Sichern Sie regelmäßig alle Ihre Daten. Ein Backup ist nicht nur im Fall eines Schadcode-Befalls von Vorteil, sondern auch wenn ein technischer Ausfall des Systems vorliegt.

Gratis-Tool stoppt die Verschlüsselung

Die Erpresser-Trojaner stellen auch die Hersteller von Antivren-Software vor große Herausforderungen. Denn die Schädlinge schaffen es immer wieder, unter dem Radar hindurch zu schlüpfen. Einige Software-Hersteller bieten inzwischen speziell auf Ransomware abgestimmte Tools an. So etwa die Anti-Ransomware von Malwarebytes. Der kostenlose Virenwächter erkennt besonders gefährliche Krypto-Trojaner wie CryptoWall4, CryptoLocker, Tesla und CTB-Locker anhand ihres Verhaltens. Sobald massenhaft Dateien verschlüsselt werden, greift es ein und stoppt den Prozess. In einem Test des Fachmagazins "c't" fielen dem Trojaner dennoch 20 Dateien zum Opfer. Das Ergebnis sei trotzdem gut, fanden die Tester.

Online-Erpresser greifen auch das Smartphone-Betriebssystem Android an. Dabei verschlüsseln sie Fotos und andere Dateien zumeist mithilfe der Malware Cryptolocker/Simplocker. Bei einer solchen Infektion hilft das Tool Avast Ransomware Removal. Da beide Gratis-Tools auf Krypto-Trojaner spezialisiert sind, können sie einen herkömmlichen Virenschutz nicht ersetzen. Auch auf Backups sollte beim Einsatz der Programme keinesfalls verzichtet werden.

Erpresser-Trojaner erkennen

Auch wenn ein Erpresser-Trojaner bereits zugeschlagen hat, ist mit etwas Glück noch nicht alles verloren. Bevor Sie sich an das Entfernen des Schädlings oder das Entschlüsseln wagen können, müssen Sie jedoch wissen, welcher Trojaner für das Schlamassel verantwortlich ist. Verwenden Sie das falsche Tool, gehen Ihre Daten womöglich verloren!

Im Idealfall haben die Online-Kriminellen den Namen ihres Schädlings im "Erpresser-Brief" verraten. Dieser öffnet sich in der Regel automatisch in einem Windows-Fenster oder als Desktop-Hintergrund. Ist der Name des Krypto-Trojaners unbekannt, können die Dateiendungen der verschlüsselten Dateien weiterhelfen. Während TeslaCrypt zum Beispiel ein ".xxx", ".ttt" oder "micro" an die Dateinamen anhängt, verwendet der Cerber-Trojaner die Endung ".cerber". Aktivieren Sie die Anzeige der Dateitypen in Windows, um dem Schädling auf die Schliche zu kommen.

In der unten stehenden Tabelle haben wir einige Kryptotrojaner, ihre Erkennungsmerkmale und verfügbare Entschlüsselungs-Tools zusammengefasst.

Windows von Schadsoftware befreien

Wer ein umfassendes Backup angelegt hat, kann Windows einfach "plattmachen" und neu installieren. Dieser Prozess ist jedoch langwierig und kann verschlüsselte Dateien nicht wiederherstellen. Mitunter reichen schon ein paar Windows-Tricks aus, um das Problem zu lösen. Bevor sie loslegen, sollten Sie zwei Informationen sichern, die zur Entschlüsselung der Dateien wichtig sein könnten:

  1. Notieren Sie sich zunächst die von der Erpresser-Software angegebene "Bitcoin wallet"-Adresse
  2. Notieren Sie nach Möglichkeit auch die Liste verschlüsselter Dateien, die einige Trojaner angeben. 
  3. Versuchen Sie anschließend mithilfe der Systemwiederherstellung Windows auf einen früheren Zeitpunkt zurückzusetzen.

Dadurch werden die verschlüsselten Daten zwar nicht befreit, bösartige Veränderungen am System und an Programmen lassen sich aber womöglich rückgängig machen. In jedem Fall sollten Sie einen vollständigen System-Scan mit einem aktuellen Virenscanner durchführen. Allerdings werden viele Krypto-Trojaner nicht von allen Viren-Wächtern erkannt. Daher ist ein zusätzlicher System-Scan mit einem spezialisierten Programm wie Malwarebytes Anti Malware, HitmanPro oder Trend Micros Anti-Ransomware Tool notwendig. Letzteres ist auf Ransomware spezialisiert, die keine Dateien verschlüsselt, aber den Zugriff auf Windows sperrt.

  1. Fahren Sie Windows mit einem Neustart im abgesicherten Modus mit Netzwerktreibern hoch (Drücken der Taste "F8" kurz nach dem Boot-Vorgang).
  2. Führen Sie nun einen vollständigen System-Scan mit einem aktualisierten Virenscanner durch.
  3. Holen Sie sich nach Ablauf des ersten Suchlaufs eine "zweite Meinung" von einem Spezial-Scanner ein.

Alternativ lassen sich viele Erpresser-Trojaner manuell entfernen. Die Sicherheits-Experten von Bleepingcomputer zum Beispiel bieten Anleitungen zu mehreren Krypto-Trojanern. Der Vorgang ist jedoch nur fortgeschrittenen PC-Nutzern zu empfehlen, da unter anderem Eingriffe in der Windows-Registry notwendig sind.

Gekaperte Dateien entschlüsseln

Für Ransomware mit besonders starken Krypto-Algorithmen gibt es nur selten einen sogenannten Decrypter. Leider sind gerade diese Trojaner – wie zum Beispiel Locky – weit verbreitet. Für TeslaCrypt, einem der häufigsten Krypto-Trojaner, veröffentlichten dessen Programmierer selbst den Masterkey. Mit diesem sollen sich alle gekaperten Dateien entschlüsseln lassen.

Der Software-Hersteller Emsisoft bietet zahlreiche Decrypter für Trojaner mit schwächerer Verschlüsselung an. Eine Übersicht mit weiteren Erkennungsmerkmalen findet sich auf dessen Homepage.

Tipp: In einigen Fällen können Schattenkopien Ihre Dateien retten. Dabei handelt es sich um automatische Sicherungen, die Windows für 90 Tage speichert. Die meisten Krypto-Trojaner löschen zwar Schattenkopien, einigen, wie zum Beispiel Locky, unterläuft dabei ein Fehler. Wie Sie Schattenkopien nutzen, erklärt Ihnen unsere Foto-Show.

Stand: Juni 2016

TrojanerMerkmaleTools (Stand: November 2016)
777Dateiendung: .777https://decrypter.emsisoft.com/777
ApocalypseDateiendungen: .locked, .encrypted, .SecureCrypted
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
AutoLockyDateiendung: .lockyhttps://decrypter.emsisoft.com/autolocky
BadBlockName im Erpresser-Schreiben,
Englisches Erpresser-Schreiben: Help Decrypt.html
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
BartDateiendung: bart.zip
Sie Anleitung von AVG
http://now.avg.com/barts-shenanigans-are-no-match-for-avg/
BitcryptorNachfolger von CoinVault: Siehe Anleitung von Kasperskyhttps://blog.kaspersky.de/so-entfernen-sie-die-coinvault-ransomware-und-stellen-ihre-daten-wieder-her/5137/
BitcryptName im Erpresser-SchreibenPython-Script (IT-Fachmann erforderlich)
Bitcrypt 2Deutsches Erpresser-Schreiben: DECRYPT_INSTRUCTION.TXTEntschlüsselung nicht möglich
CerberDateiendung: .cerber, .cerber2https://www.cerberdecrypt.com/RansomwareDecryptionTool/
ChimeraDateiendung: .crypthttps://blog.malwarebytes.com/cybercrime/2016/07/keys-to-chimera-ransomware-leaked/
CoinVaultSiehe Anleitung von Kasperskyhttps://blog.kaspersky.de/so-entfernen-sie-die-coinvault-ransomware-und-stellen-ihre-daten-wieder-her/5137/
CrypBossDateiendung: .crypt, R16M01D05
Mail-Adresse: @dr.com
https://decrypter.emsisoft.com/crypboss
Crypt888
(Mircop)
Desktop-Hintergrund geändert,
Dateinamen-Präfix: Lock.
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
CryptoDefenseName im Erpresser-Schreibenhttps://decrypter.emsisoft.com/cryptodefense
CryptInfiniteDateiendung: .CRINFhttps://decrypter.emsisoft.com/download/cryptinfinite
CryptoLocker (Crilock, PClock)Name im Erpresser-Schreibenhttps://decrypter.emsisoft.com/pclock
CryptoWallName im Erpresser-SchreibenEntschlüsselung nicht möglich
CryptXXX Dateiendung: .crypthttps://noransom.kaspersky.com/
CryptXXX 3Dateiendung: .cryp1, .crypz
https://noransom.kaspersky.com/
CrySiS (Crusis)Dateiendung: .ID-[ID-Nummer].[E-Mail-Adresse].xtblhttp://support.kaspersky.com/us/10556#block1
CTB-LockerDateiendung: .CTB, CTB2, zufällige DateierweiterungenEntschlüsselung nicht möglich
DetoxCryptoDesktop-Hintergrund geändert, Pop-up-FensterEntschlüsselung nicht möglich
DMALocker2Name im Erpresser-Schreibenhttps://decrypter.emsisoft.com/dmalocker2
FantomDateiendung: .fantomEntschlüsselung nicht möglich
GlobeDateiendung: .purge, .globe und .okean-[ID-Nummer]-[E-Mail-Adresse].xtblhttps://decrypter.emsisoft.com/globe
Globe2Dateiendung: .raid10, .blt, .globe, .encrypted und .[E-Mail-Adresse]https://decrypter.emsisoft.com/globe2
GomasomDateiendung: .crypt, Mail-Adresse im Dateinamenhttps://decrypter.emsisoft.com/gomasom
HydraCryptDateiendung: .hydracrypthttps://decrypter.emsisoft.com/hydracrypt
Jigsaw (CryptoHitman)Dateiendung: .porno, .pornoransom, Porno-Wallpaperhttp://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/
KeRanger (auf OS X)Dateiendung: .encryptedEntschlüsselung nicht möglich
KeyBTCMail-Adresse: keybtc@inbox.comhttps://decrypter.emsisoft.com/keybtc
LeChiffreDateiendung: .LeChiffre, Mail-Adresse: decrypt.my.files@gmail.comhttps://decrypter.emsisoft.com/lechiffre
LegionDesktop-Hintergrund geändert,
Dateiendung: .legion
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
LockerName im Windows-Fensterhttp://www.bleepingcomputer.com/virus-removal/locker-ransomware-information#decrypt
LockyDateiendung: .locky, zufällige DateiendungenEntschlüsselung nicht möglich
ManameCrypt (CryptoHost)Verbreitung mit µ-Torrent-Clienthttps://blog.gdata.de/2016/04/28235-manamecrypt-eine-ransomware-geht-neue-wege
MicroCop

Desktop-Hintergrund geändert,

Dateinamen-Präfix: Lock.

Siehe Anleitung von Bleepingcomputer.com

http://www.bleepingcomputer.com/forums/t/618457/microcop-ransomware-help-support-lock-mircop/
MischaDateiendungen: .3P7m, .arpT, .eQTz, .3RNuEntschlüsselung nicht möglich
NemucodDateiendung: .cryptedhttps://decrypter.emsisoft.com/nemucod
OzozaLockerDateiendung: .lockedhttps://decrypter.emsisoft.com/ozozalocker
PadCryptName im Windows-Fenster, Live-Chat/Live-SupportEntschlüsselung nicht möglich
PetyaSperrt den gesamten Computerhttps://blog.botfrei.de/2016/04/passwort-decryptor-fuer-petya-ransomware-veroeffentlicht/
RadamantDateiendungen: .rdm, rrkhttps://decrypter.emsisoft.com/radamant
SZFLockerDateiendung: .szf
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
TeslaCryptDateiendungen: .xxx, .ttt, .microhttp://support.eset.com/kb6051/?viewlocale=de_DE
TeslaCrypt (Version 3 + 4) Dateiendungen: .vvv, .micro, .mp3
Siehe Anleitung von AVG
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
TorrentLocker (2016)Dateiendungen: .encEntschlüsselung nicht möglich
UmbreCryptDateiendung: .umbrecrypt
XoristDateiendungen: .EnCiPhErEd, .0JELvV, .p5tkjw, .6FKR8d, .UslJ6m, .n1wLp0, .5vypSa and .YNhlv1https://decrypter.emsisoft.com/xorist
ZCryptorDateiendung: .zcryptEntschlüsselung nicht möglich

 

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Wir bitten um Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Common Remotely Operated Weapon Station 
Ferngesteuerte Waffenstation der Army tötet per Joystick

Nicht nur die Killerdrohne aus der Luft, auch Landfahrzeuge der US-Armee sind bereits mit ferngesteuerten Waffen ausgestattet. Video

Anzeige


Anzeige
shopping-portal