Während sich die bisherigen Verschlüsselungstrojaner immer hin gegangen sind und ausschließlich nur private Dateien verschlüsselt haben, hat sich in der letzten Zeit hier doch einiges getan. So sind 2 neue Varianten aufgetaucht, welche zum einen die komplette Festplatte verschlüsseln oder zum zweiten verschlüsselte Dateien einfach löschen.
Der erste Vertreter hier nennt sich Petya.
Diese Variante tarnt sich bisher als Bewerbungsschreiben und soll wohl hauptsächlich Firmenrechner verschlüsseln. „Der Grund hierfür dürfte auf der Hand liegen. Während es für viele private Nutzer nur ärgerlich ist, wenn die Daten, welche auf den Computer gespeichert sind, unbrauchbar gemacht werden, kann Dies für Unternehmen schon einmal die Existenz bedeuten“, schätzt René Stelljes, Inhaber des RS-IT-Service, die Situation ein.
Wenn ein Opfer den Virus versehentlich startet, gibt es nach einiger Zeit einen Absturz von Computer. Nach dem Neustart des Computers scheint der CheckDisk nun die Festplatte zu prüfen. Leider ist dieses Prüfen in Wirklichkeit ein verschlüsseln der Festplatte.
„Solange der Trojaner nur ausgeführt wurde und der Neustart nicht ausgeführt wurde, gibt es noch relativ geringen Schaden.“ meint René Stelljes, „hat aber der Computer mit der Verschlüsselung angefangen, haben wir ein wirkliches Problem. Glücklicherweise gibt es aber für die aktuelle Version des Trojaners eine Möglichkeit, die Festplatte wieder zu entschlüsseln.“
Im Klartext heißt das also: Wenn Sie den Verdacht haben, dass dieser Trojaner gerade den Computer zum Absturz gebracht hat, sollten Sie sofort den Computer ausschalten und einen Fachmann zu Rate ziehen. Diesen sollten Sie über den Verdacht aufklären, nicht das bei der Systemüberprüfung die Verschlüsselung durchgeführt wird. Die Festplatte wieder zu entschlüsseln ist zwar aktuell möglich, aber mit einen recht hohen Aufwand verbunden.
Der zweite im Bunde: Jigsaw
Der Jigsaw-Trojaner ist von der Idee her um einiges kritischer zu beurteilen. Dieser Schädling geht nicht nur hin und verschlüsselt die Dateien, sondern er setzt den Benutzer unter Druck. Denn er verschlüsselt nicht nur die Dateien auf dem Computer, sondern löscht sie auch nach einer bestimmten Zeit.
Unser „Testexemplar“ gibt nach dem starten eine Meldung aus, dass angeblich eine Software registriert wurde und wir einen Registrierungsschlüssel per Mail erhalten. Vermutlich soll diese Meldung den Benutzer nur verwirren und von der Hintergrundaktivität des Rechners ablenken. In Wirklichkeit geht Jigsaw hin und durchsucht die Festplatte nach Dateien, welche verschlüsselt werden können.
„Dieser Virus schreibt sich tief ins System ein, damit er auch immer wieder gestartet wird, wenn der Benutzer den Rechner z.B. neustartet. Von daher sollte man bei dem Virus den Rechner hart ausschhalten (Anm. der Redaktion: Also nicht herunterfahren, sondern den Einschaltknopf solange gedrückt halten, bis der Rechner ausgeht oder den Netzstecker ziehen) und auf keinen Fall neustarten,“ warnt Stelljes.“Dieser Schädling erkennt den Neustart und bestraft dieses Verhalten mit dem Löschen von 1000 Dateien!“
Und so Verhält sich der Rechner: Nachdem der Schädling alle Dateien verschlüsselt hat, öffnet sich ein Fenster mit weiteren Anweisungen.
Man wird aufgefordert ein Lösegeld in Bitcoins zu zahlen und es läuft ein Countdown. Zusätzlich weißt der Schädling darauf hin, dass jetzt jede verstreichende Stunde jeweils eine Datei gelöscht wird. Ein Neustart des Rechners kostet 1000 Dateien und nach 72 Stunden wird mal eben alles übrige gelöscht. Dieses Verhalten soll wohl dazu dienen, das Opfer zu schnellen Handlungen zu bewegen.
René Stelljes kann hierzu aber vorerst Entwarnung geben: „Der Jigsaw-Trojaner nutzt aktuell glücklicherweise eine recht einfache Verschlüsselung, so dass die Chancen gut stehen, die verschlüsselten Dateien wieder herstellen zu können. Wichtig hierbei ist aber, dass sie noch nicht gelöscht wurden!“.
Die Moral der Geschichte
Wir können jedem Opfer von Verschlüsselungstrojanern nur empfehlen, sich sofort fachkundige Hilfe zu holen, wenn sich auf den Rechner wichtige Dateien befinden. Bei Schädlingen die damit drohen, Dateien zu löschen kann ein sofortiges Ausschalten des Rechners erst einmal schlimmeres verhindern und der Fachmann kann versuchen, die wichtigen Dateien zu sichern, bevor die Dateien für immer gelöscht werden.
Besser ist aber ein BackUp, welches alle wichtigen Daten noch einmal beinhaltet. „Das BackUp sollte aber vom Rechner getrennt aufbewahrt werden, da die Verschlüsselungstrojaner auch in der Lage sind BackUps zu verschlüsseln oder sogar komplette Netzwerklaufwerke,“ warnt René Stelljes und ergänzt, „Wir raten unseren Kunden zu unserem Managed Backup. Mit unserer Backup-Lösung sind die Daten vor solchen Schädlingen sicher!“
Über den Autor