2073555

Erpresserviren: Alles zu Schutz, Hilfe & Datenrettung

11.10.2017 | 10:30 Uhr |

Erpresserviren verschlüsseln persönliche Daten auf Ihrer Festplatte und fordern zur Freigabe ein Lösegeld. Angriffe dieser Art nehmen stark zu. Hier finden Sie Hilfe im Notfall.

Erpresserviren zählen für PC-Nutzer aktuell zu den ärgsten Bedrohungen. Laut Sicherheitsspezialist Kaspersky sind im ersten Quartal 2016 rund 30 Prozent mehr dieser Schädlinge aufgetaucht. Der Erpresservirus Locky etwa infizierte in seiner Hochphase Anfang 2016 bis zu 5000 Rechner in einer Stunde. Auch der Schädling Petya ist sehr verbreitet. Er überschreibt auf einem befallenen Rechner den Master Boot Record und verhindert so den Zugriff auf die Festplatte. Weitere Schädlinge wie Cryptowall oder Teslacrypt verschlüsseln auf tausenden PCs alle wichtigen Dateien und fordern dann, wie die anderen Erpresserviren auch, ein Lösegeld für die Freigabe. Hier finden Sie alle wichtigen Infos zu der Bedrohung durch diese Schädlinge, und Sie erfahren auch, wie Sie im Notfall richtig reagieren.

1. Was sind Erpresserviren und wie funktionieren sie?

Der Verschlüsselungstrojaner Petya überschreibt den MBR der primären Festplatte und blockiert so den Zugriff auf die Daten. Wer bei dieser Bildschirmanzeige eine Taste drückt, bekommt die Lösegeldforderung präsentiert.
Vergrößern Der Verschlüsselungstrojaner Petya überschreibt den MBR der primären Festplatte und blockiert so den Zugriff auf die Daten. Wer bei dieser Bildschirmanzeige eine Taste drückt, bekommt die Lösegeldforderung präsentiert.

Erpresserviren nehmen Ihnen etwas weg und fordern für die Rückgabe ein Lösegeld. Es gibt mehrere Arten von Erpresserviren.

Desktop-Locker: Schädlinge dieser Art sperren den Log-in zu Windows und zeigen stattdessen eine erpresserische Nachricht an. Darin steht, wie das Opfer das Lösegeld bezahlen soll. Schädlinge dieser Art gibt es bereits seit Jahren. Sie versuchen oft, den Druck auf das Opfer zu erhöhen, indem sie vorgeben, vom Bundeskriminalamt (BKA) zu stammen. In der Nachricht behaupten sie, illegale Dateien auf dem PC gefunden zu haben. Varianten dieser Schädlinge geben vor, von Microsoft zu stammen und geben vor, illegal genutzte Software festgestellt zu haben. Desktop-Locker sind nicht mehr so aktiv, da die Kriminellen deutlich gefährlichere Schädlinge entwickelt haben: die Verschlüsselungstrojaner.

Verschlüsselungsviren: Schädlinge dieser Art verschlüsseln Ihre Dateien meist abhängig vom Dateityp. So werden beispielsweise alle Dateien mit den Endungen .jpg, .docx und .xlsx unbrauchbar gemacht. Da es sich um Anwenderdateien handelt, benötigt der Schädling keine besonderen Zugriffsrechte. Neuere Varianten versperren den Zugang zur kompletten Festplatte.

Auch diese Schädlinge fordern ein Lösegeld. Nur wer den Kriminellen das Geld überweist, hat die Chance, wieder an seine Daten zukommen. Als Zahlungsmittel sind meist Bitcoins oder Paysafe-Karten vorgesehen, da so der Empfänger anonym bleiben kann.

Einige der Schädlinge erhöhen den Druck auf ihre Opfer, indem sie mit einem Ultimatum drohen. Wer etwa nicht innerhalb eines Tages das Lösegeld in Höhe von 200 Dollar zahlt, muss anschließend 400 Dollar bezahlen. Und wer nach einer Woche noch nicht gezahlt hat, dessen Daten werden unwiederbringlich zerstört. Fatalerweise werden diese Drohungen auch wahr gemacht.

So entfernen Sie Erpresserviren von Android

Weitere Schädlinge: Die Masche mit der Erpressung macht die Kriminellen erfinderisch und lässt sie neue Angriffsvarianten ausprobieren. Wie der Antivirenhersteller Panda Security berichtet, haben bereits Erpresserattacken auch auf Websites stattgefunden. Die Kriminellen brechen über Sicherheitslücken in Wordpress in die Server ein, verschlüsseln den Inhalt und ersetzen die Startseite index.html oder index.php durch ihre Erpressernachricht. Auch für Apple-Rechner sind bereits Erpresserschädlinge aufgetaucht, wenn auch mit einer viel geringeren Verbreitung, als es unter Windows der Fall ist.

Übrigens: Meist wird bei den Erpresserviren von Trojanern gesprochen, etwa Crypto-Trojaner, Verschlüsselungstrojaner oder Erpressungstrojaner. Als Trojaner werden generell Schädlinge bezeichnet, die sich nicht selbstständig verbreiten, sondern mit einem Trick auf dem PC platziert werden. Als englischsprachiger Oberbegriff dient Ransomware (ransom gleich Lösegeld) oder Locker für Schließfach. Wie in der PC-WELT üblich gilt „Virus“ als Oberbegriff für schädlichen Code jeder Art.

2. Warum sind Erpresserviren so stark verbreitet?

In der erpresserischen Nachricht der Verschlüsselungstrojaner erhalten die Opfer meist genaue Angaben, wie sie das Lösegeld bezahlen sollen oder wo sie weitere Informationen dazu erhalten (Quelle: Microsoft).
Vergrößern In der erpresserischen Nachricht der Verschlüsselungstrojaner erhalten die Opfer meist genaue Angaben, wie sie das Lösegeld bezahlen sollen oder wo sie weitere Informationen dazu erhalten (Quelle: Microsoft).

Sehr gut gemachte PC-Viren konnten sich schon immer an einem installierten Antivirenprogramm vorbeischleichen. Das gelingt den Schädlingen, wenn ihr Code neu ist und der Antivirenhersteller ihn deshalb noch nicht kennt. Zudem aktivieren sich diese Schädlinge auf eine bis dahin unbekannte Weise. So überlisten sie die verhaltensbasierte Erkennung des Antivirenprogramms. Den Viren diese Tricks beizubringen, erfordert aber viel Zeit und Geld. Doch offensichtlich verdienen die Kriminellen mit den Erpresserviren reichlich und haben dadurch die nötigen Ressourcen zur Verfügung, um ihre Viren weiter zu optimieren, so dass sie von einem Schutzprogramm nicht erkannt werden.

Ein konkretes Beispiel dafür hat der Antivirenhersteller Trendmicro analysiert. Laut den Experten nutzt eine Variante der Erpressersoftware Locky nicht nur die bereits bekannten Sicherheitslücken in Adobe Flash aus, sondern auch eine im Windows-Kernel. Die Angriffsroutine sieht dadurch wie ein legitimer Windows-Systemprozess aus, denn sie schleicht sich in das Windows-Programm svchost.exe ein. Der Schädling erzeugt selbst keine Dateien, sondern startet ausschließlich im Arbeitspeicher. Das macht es selbst modernen Abwehrmechanismen wie der Sandbox-Technologie oder der Verhaltensanalyse schwer, den Angriff zu erkennen und zu verhindern.

Für technisch Interessierte: Konkret nutzt die von Trendmicro untersuchte Locky-Variante die Sicherheitslücke CVE-2016-1019 im Adobe Flash Player und die Lücke CVE-2015-1701 im Windows-Kernel. Letztere erlaubt es dem Schadcode, sich höhere Nutzerrechte im befallenen System einzuräumen. Der Code kompromittiert den Windows-Systemprozess svchost.exe, der für das Hosten von Services zuständig ist. Zudem prüft der Code die auf dem befallenen System eingesetzte Windows-Version. Erweist sie sich als nicht angreifbar für die Verschlüsselung, stellt er stattdessen eine Verbindung zum Kontrollserver der Kriminellen her. So kann der Code zu einem späteren Zeitpunkt Befehle erhalten, etwa zum Download von geändertem Schadcode, der dann eine erpresserische Verschlüsselung auf dem Rechner vornehmen kann.

Der Sicherheitsexperte Udo Schneider von Trendmicro nennt dieses Vorgehen ausgeklügelt. „Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, sodass auch der von der Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint.“

Quick-Tipps gegen Erpresserviren

Aktuelle Erpresserviren verschlüsseln Ihre Dateien und fordern für die Freigabe Lösegeld. Diese drei grundlegenden Tipps zu Ihrem Schutz sollten Sie kennen.

1. Die beste Versicherung gegen Erpresserviren ist ein stets aktuelles Daten-und System-Backup. Erstellen Sie am besten jetzt gleich eine aktuelle Sicherung. Lagern Sie diese vom Rechner getrennt.

2. Antivirenhersteller entwickeln laufend Entschlüsselungstools, mit denen sich die von verbreiteten Erpresserviren gefangen genommenen Daten wieder entschlüsseln lassen. Allerdings vergehen oft viele Wochen, bis ein solches Tool bereitsteht, und gegen einige Schädling gibt es keine Entschlüsselungstools. Sind bei Ihnen sehr wertvolle Daten verschlüsselt worden und ist aktuell auch kein Entschlüsselungstool zu finden, könnte eine Zahlung des Lösegelds sinnvoll sein. Es ist allerdings nicht gewährleistet, dass Sie für Ihr Geld auch einen funktionierenden Schlüssel erhalten.

3. Mit Spezialtools können Sie sich gezielt gegen Verschlüsselungsviren schützen. Nutzen Sie zusätzlich zur Ihrer Antivirensoftware das Tool Bitdefender Anti-Ransomware oder das Malwarebytes Anti-Ransomware.

3. Wie kommt der Schadcode auf meinen PC?

Der Schädling Petya fordert nicht nur ein Lösegeld für die verschlüsselten Daten, er stellt auch ein Ultimatum auf. Wer nach einer Woche noch nicht gezahlt hat, muss das Doppelte berappen.
Vergrößern Der Schädling Petya fordert nicht nur ein Lösegeld für die verschlüsselten Daten, er stellt auch ein Ultimatum auf. Wer nach einer Woche noch nicht gezahlt hat, muss das Doppelte berappen.

Als Verbreitungsweg nutzen die Erpresserviren die klassischen Pfade für PC-Schädlinge.

Mails: Erpresserviren kommen hauptsächlich über spamartig verbreitete Mails. Doch anders als viele Spammails sind diese Nachrichten meist sehr gut gemachte Trickmails. Das Aussehen der Mails wirkt echt, die Nachricht scheint plausibel, und der Anhang ist meist ein harmlos wirkendes PDF oder eine Word-Datei. So öffnen die Empfänger der Nachricht häufig das angehängte Dokument. In der Datei befinden sich aber gefährliche Codeteile, die Sicherheitslücken von Word oder dem Acrobat Reader ausnutzen und im nächsten Schritt weiteren Code, meist den eigentlichen Verschlüsselungstrojaner, aus dem Internet nachladen und auch gleich starten.

Als schwer kontrollierbare Download-Quelle nutzen die Kriminellen übrigens auch private Dropbox-Konten. Die Kontrolle über diese Konten können sie entweder über gestohlene Log-in-Daten erlangen, oder der schädliche Code erschleicht sich den Zugriff über zuvor befallene PCs.

Peer2Peer-Netze: In diesen Netzen tarnen sich die Erpresserviren als Aktivierungscodes für beliebte Software, etwa Microsoft Office oder Adobe Photoshop. Es handelt sich um EXE-Dateien, die vom Opfer bereitwillig gestartet werden, da es einen Key-Generator erwartet. Tatsächlich starten sie den Schadcode, der entweder umgehend mit der Verschlüsselung der Dateien beginnt oder aber erst noch den eigentlichen Verschlüsselungstrojaner aus dem Internet nachlädt.

Websites: Einige Erpresserviren sollen auch über Werbebanner auf eigentlich harmlosen Websites auf die PCs gelangt sein. In den vergangenen Monaten ist dazu allerdings nichts mehr bekannt geworden.

Im Test: Die besten Antivirus-Sicherheitstools für 2016

4. Wenn ein Erpresservirus meine Daten sperrt: Soll ich zahlen?

Das Tool Rannoh Decryptor vom Antivirenexperten Kaspersky kann die verschlüsselten Daten vieler Erpresserviren entschlüsseln. Es wird laufend aktualisiert.
Vergrößern Das Tool Rannoh Decryptor vom Antivirenexperten Kaspersky kann die verschlüsselten Daten vieler Erpresserviren entschlüsseln. Es wird laufend aktualisiert.

Sicherheitsexperten empfehlen in der Regel, das Lösegeld nicht zu zahlen. Denn Sie können sich nicht darauf verlassen, dass Sie nach der Zahlung einen funktionierenden Code zum Entschlüsseln oder Entsperren erhalten. Zum anderen würde man mit einer Zahlung die Kriminellen dazu ermutigen, weiter Schädlinge zu verbreiten. Mit Ihrem Lösegeld bezahlen Sie also indirekt die Entwicklung weiterer Erpresserviren.

Doch das ist nur die eine Seite. Viele Betroffene sehen für sich keinen anderen Ausweg, als das Lösegeld zu bezahlen. Es fehlt ihnen schlichtweg ein Backup ihrer wichtigen Daten.

Leider sind in den vergangen Monaten auch die PCs von etlichen Krankenhäusern mit Erpresserviren verseucht worden. Von einem US-Hospital wurde bekannt, dass es rund 17 000 Dollar in Form von 40 Bitcoins gezahlt hat . Auch in Deutschland sind laut Presseberichten in diesem Jahr wohl mindestens fünf Krankenhäuser Opfer von Erpresserviren geworden. Wie viele von ihnen gezahlt haben, ist nicht bekannt. Im März 2016 hatte sich aber die Stadt Dettelbach bei Würzburg dazu entschieden, das Lösegeld zur Befreiung der gefangen genommenen Daten zu zahlen. Der Erpresservirus Teslacrypt hatte sich dort erfolgreich über einen Mailanhang in das IT-System geschleust. Dettelbach zahlte rund 500 Dollar in Form von Bitcoins und erhielt einen Code, mit dem sich die meisten Daten wiederherstellen ließen. Es gibt also viele Betroffene, die bezahlt haben.

Grundsätzlich gilt: Einen Erpresservirus, der nur den Zugang zu Windows sperrt, bekommen Sie auch ohne Zahlung des Lösegelds wieder los (Punkt 5). Anders sieht es bei Schädlingen aus, die Ihre Daten verschlüsseln. Wenn Sie kein Backup Ihrer wertvollen Daten haben, kann die Zahlung des Lösegelds eine Chance sein, die Dateien zurückzuerhalten. In einigen Fällen lassen sich die gekidnappten Daten aber auch mit Tools retten (Punkt 6).

Übrigens: Ende Mai haben die Macher des Erpresserschädlings Teslacrypt das Ende ihrer Machenschaften verkündet und den Generalschlüssel für alle Opfer zur Verfügung gestellt. Nun können Sie beispielsweise mit dem Tool Eset Teslacrypt Decrypter gefangene Dateien befreien.

5. Wie reagiere ich richtig, wenn mein PC betroffen ist?

Desktop-Locker: Falls Ihnen der Zugriff auf Windows verwehrt wird, sollten Sie der erpresserischen Meldung natürlich keinen Glauben schenken: Weder das BKA oder das FBI noch Microsoft oder Adobe haben Ihren PC gesperrt. Das waren die kriminellen Virenverbreiter. Versuchen Sie zunächst die einfachen Tricks. Der simpelste Desktop-Locker zeigt einfach ein Bild mit der erpressereischen Nachricht im Vollbildmodus an. Die Tasten Esc oder F11 verkleinern das Bild und Sie haben wieder Zugriff. Schwerere Geschütze sperren den Log-in tatsächlich. Versuchen Sie es mit dem abgesicherten Modus von Windows. Dazu drücken Sie vor dem Starten von Windows die Taste F8 (bis Windows 10) oder die Tastenkombination Strg-F8 (Windows 10). Konnten Sie so den abgesicherten Modus wählen, starten Sie über die Tastenkombination Windows-R und die Eingabe von msconfig.exe die Systemkonfiguration. Auf der Registerkarte „Systemstart“ suchen Sie nach unerwünschten Einträgen und entfernen diese.

Der Erpresservirus Teslacrpyt droht die Daten für immer unzugänglich zu machen. Mittlerweile gibt es aber den Generalschlüssel zu Teslacrypt.
Vergrößern Der Erpresservirus Teslacrpyt droht die Daten für immer unzugänglich zu machen. Mittlerweile gibt es aber den Generalschlüssel zu Teslacrypt.

Gelingt der Start in den abgesicherten Modus nicht, empfiehlt sich das Booten des PCs mit einer Notfall-DVD, etwa der PC-WELT Notfall-DVD . Damit können Sie Ihre Daten zur Sicherheit auf ein externes Medium kopieren. Anschließend sollte ein Scan mit dem integrierten Antivirentool von Avira den Schädling aufspüren und beseitigen. Klappt das nicht, starten Sie Ihren Rechner mit der Bitdefender Rescue-CD und scannen ihn mit diesem Tool.

Verschlüsselungstrojaner: Die meisten dieser Schädlinge verschlüsseln Ihre Daten zunächst still und leise im Hintergrund und zeigen erst dann ihre Erpressernachricht an. Wenn Sie die Nachricht sehen, ist das Unheil also bereits geschehen. Es gibt somit keinen Grund für überstürzte Maßnahmen. Allerdings drohen einige Schädlinge damit, ihre Lösegeldforderung nach einiger Zeit zu erhöhen. Das ist ernst zu nehmen. Prüfen Sie, ob Sie ein vollständiges Backup Ihre Daten besitzen und damit auf die verschlüsselten Dateien verzichten können. Falls das nicht der Fall ist, prüfen Sie, ob es gegen Ihren Schädling ein Entschlüsselungsprogramm gibt (siehe Punkt 6).

Sollte es kein Entschlüsselungstool geben und sollten Sie kein Backup haben, bleibt zur Not die Möglichkeit, das Lösegeld zu bezahlen (siehe Punkt 4). Möchten Sie das nicht, sollten Sie die verschlüsselten Daten dennoch aufbewahren. Denn immer wieder gelingt es den Antivirenspezialisten ein paar Wochen nach einer Infektionswelle, den Code eines Erpresservirus zu knacken und nachträglich ein Entschlüsselungstool bereit zustellen.

In jedem Fall ist eine Virenbeseitigung fällig. Da Ihr aktuelles Antivirenprogramm gegen den Schädling zunächst versagt hat, empfiehlt sich eine andere Software, etwa Avira Free Antivirus oder Bitdefender Total Security .

Alternativ starten Sie den PC etwa mit der Bitdefender Rescue-CD und lassen Sie darüber den Schädling suchen und entfernen. Der sauberste Schritt nach einer Vireninfektion ist aber immer noch die Neuinstallation von Windows. Erstellen Sie zuvor eine Backup aller Daten. Eine Backup-Checkliste finden Sie hier .

Tipp: Was gegen Ransomware auf dem Mac hilft

6. Wie kann ich meine verschlüsselten Daten retten?

Einige Antivirenhersteller arbeiten laufend daran, neue Entschlüsselungstools bereitzustellen. So brachte etwa Ende Mai der Hersteller Eset ein Entschlüsselungstool für Teslacrypt-Opfer heraus. Das Tool soll auch Schäden von Teslacrypt Version 3 bis 4.2 beseitigen können. Kaspersky bietet schon länger Decrypter gegen einige Erpresserviren. Sehr aktiv ist auch der Antivirenspezialist Emsisoft. Er bietet Entschlüsselungstools für zahlreiche Erpresserviren . Es tut sich aktuell also einiges im Kampf gegen die Verschlüsselungsviren. Wenn Sie betroffen sind, bietet die Tabelle eine erste Orientierung bei der Suche nach Entschlüsselungstools.

Entschlüsselungstools bei Erpresservirenbefall

Sollte Ihr System von einem dieser Schädlinge befallen sein, finden Sie über www.pcwelt.de/nomore ein Entschlüsselungstool für Ihre Daten. Die Liste wird laufend erweitert. Sollte
Ihr System von einem anderen Schädling betroffen sein, lohnt es sich, in ein paar Wochen
erneut auf die Website zu schauen.

777 Ransom

CryptON Ransom

Linux.Encoder.1 Ransom

Shade Ransom

AES_NI Ransom

CryptXXX Version 1 bis 5 Ransom

Linux.Encoder.3 Ransom

Stampado Ransom

Agent.iih Ransom

CryptoMix Ransom

Lortok Ransom

Teamxrat/Xpan Ransom

Alcatraz Ransom

Cryptokluchen Ransom

MRCR Ransom

Tesla Crypt Version 1 bis 4 Ransom

Amnesia Ransom

DXXD Ransom

Mac Ransom Ransom

Wildfire Ransom

Amnesia2 Ransom

Damage Ransom

Marlboro Ransom

Xdata Ransom

Aura Ransom

Democry Ransom

Marsjoke aka Polyglot Ransom

Xorbat Ransom

AutoIt Ransom

Derialock Ransom

Merry X-Mas Ransom

Xorist Ransom

Auto Locky Ransom

Dharma Ransom

Mir Cop Ransom

BTC Ware Ransom

EncrypTile Ransom

Mole Ransom

BadBlock Ransom

Fenix Locker Ransom

Nemucod Ransom

BarRax Ransom

Fury Ransom

NemucodAES Ransom

Bart Ransom

Globe Ransom

Nmoreira Ransom

Bitcryptor Ransom

Globe/Purge Ransom

Noobcrypt Ransom

Cerber 1 Ransom

Globe2 Ransom

Ozozalocker Ransom

Chimera Ransom

Globe3 Ransom

PHP ransomware Ransom

Coinvault Ransom

GlobeImposter Ransom

Philadelphia Ransom

Cry 128 Ransom

Gomasom Ransom

Pletor Ransom

Cry 9 Ransom

HiddenTear Ransom

Popcorn Ransom

Cry SIS Ransom

Jaff Ransom

Rakhni Ransom

Cryakl Ransom

Jigsaw Ransom

Rannoh Ransom

Crybola Ransom

Lechiffre Ransom

Rotor Ransom

Crypt888 Ransom

Lamer Ransom

SNS Locker Ransom

Mit diesem Tool des Sicherheitsspezialisten Bitdefender sollten Sie sich vor Verschlüsselungstrojanern schützen können. Eine Alternative gibt es von Malwarebytes.
Vergrößern Mit diesem Tool des Sicherheitsspezialisten Bitdefender sollten Sie sich vor Verschlüsselungstrojanern schützen können. Eine Alternative gibt es von Malwarebytes.

7. Bin ich nach einer Virenreinigung sicher?

Konnte ein Antivirenprogramm den Schädling von Ihrem PC beseitigen, dann ist der Rechner in der Regel wieder sicher. Aber: Einige der Erpresserviren stehlen auch persönliche Daten, etwa die Passwörter zu Online-Konten, wenn diese auf dem PC gespeichert sind. Somit ist Ihr PC zwar wieder sicher, doch Ihre Konten sind in Gefahr. Ändern Sie deshalb so schnell wie möglich die Log-in-Passwörter zu allen Ihren Diensten, angefangen bei Bezahldiensten wie Paypal über Ihr Mailaccount bis hin zu Shoppingsites wie Ebay und Amazon.

Grundsätzlich schützen Sie sich vor den Erpresserviren genauso wie vor jedem anderen Virus: mit einer guten Antivirensoftware, etwa Bitdefender . Die Software schneidet in Antivirentests seit Jahren stets gut bis sehr gut ab. Oder Sie nutzen das dauerhaft kostenlose Avira Free Antivirus . Zudem sollten Sie Updates für Windows und installierte Programme stets umgehend einspielen, damit Sie bekannte Sicherheitslücken schließen.

Spezialtools: Uns sind zwei empfehlenswerte Spezialtools bekannt. Bitdefender lieferte im Mai ein kostenloses Zusatzschutztool gegen Verschlüsselungstrojaner, das einen recht interessanten Ansatz verfolgt: Da die Erpresserviren es offensichtlich oft schaffen, ein klassisches Antivirenprodukt auszutricksen, überwacht das Tool Bitdefender Anti-Ransomware das Dateisystem auf Verschlüsselungsversuche. Sobald ein Prozess Dateien verschlüsselt, stoppt das Tool den Vorgang und meldet ihn. Schon länger bietet Malwarebytes das Tool Anti-Ransomware an, das ebenfalls speziell vor Erpresserviren schützen soll. Weitere Schutztools könnten bei weiterhin hoher Bedrohungslage folgen.

Backup: Gegen Erpresserviren ist ein aktuelles und umfassendes Backup Ihrer Daten und Ihres Systems die beste Versicherung. Beim Backup der persönlichen Daten müssen Sie allerdings auch an wirklich alle wichtigen Daten denken. Wer etwa seine Mails ausschließlich auf seinem PC speichert, muss auch diese mitsichern.

Bekannte Erpresserviren und passende Rettungsmöglichkeiten

Virenname

Schaden

Entschlüsselungstool beziehungsweise Abhilfe

777

Verschlüsselt Anwenderdateien.

Das Tool  Emsisoft Decrypter for 777 hilft.

Auto Locky

Verschlüsselt Anwenderdateien.

Das Tool  Emsisoft Decrypter for AutoLocky hilft.

Autoit

Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>@<Mail-Domäne>_.<zufällige_Zeichen>.

Das Tool  Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016).

Coinvault

Verschlüsselt Anwenderdateien.

Das  Coinvault Decryption Tool von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 29. April 2016).

Crybola und Fury

Verschlüsselt Anwenderdateien.

Das Tool  Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016).

CryptXXX

Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>.crypt.

Das Tool  Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016).

Desktop-Locker (diverse Varianten)

Die Anmeldung in Windows ist nicht möglich. Statt des Log-ins zeigt der Schädling die erpresserische Nachricht an.

Bevor Sie diesen Schädlingen zu Leibe rücken, sollten Sie Ihren PC mit einer Rettungs-CD starten und Ihre persönlichen Daten auf einen externen Datenträger sichern. Dann versuchen Sie den Schädling mit einer Antiviren-CD zu beseitigen. Empfehlenswert ist etwa die Bitdefender Rescue-CD .

DMA Locker 2

Verschlüsselt Anwenderdateien.

Das Tool  Emsisoft Decrypter for DMA Locker 2 hilft.

Hydracrypt

Verschlüsselt Anwenderdateien.

Das Tool  Emsisoft Decrypter for Hydracrypt hilft.

Locky

Verschlüsselt Anwenderdateien und verpasst ihnen die Endung .locky.

Es ist uns kein Entschlüsselungstool bekannt.

Nemucod

Verschlüsselt Anwenderdateien.

Das Tool  Emsisoft Decrypter for Nemucod hilft.

Petya

Der Erpresserschädling Petya manipuliert den Startbereich der Systemfestplatte und macht sie so unzugänglich. Statt Windows startet Petya mit einer Erpressernachricht.

Das Tool  Petya Sector Extractor liest Verschlüsselungsinfos aus der befallenen Festplatte aus. Diese Infos lassen sich in ein kostenloses Webformular eingeben und generieren darüber den Entschlüsselungscode.

Rannoh

Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: locked-<ursprünglicher_Name>.<4 zufällige Buchstaben>.

Das Tool  Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016).

Teslacrypt Version 1 und 2

Verschlüsselt Anwenderdateien.

Technisch versierte Nutzer können die Dateien mit dem Tool  Tesladecrypt knacken.

Teslacrypt Version 3 und 4

Verschlüsselt Anwenderdateien.

Antivirenspezialist Eset bietet mit Eset Teslacrypt Decryptor ein Tool zur Entschlüsselung an.

Xorist

Verschlüsselt Anwenderdateien.

Das Tool Emsisoft Decrypter for Xorist hilft.

Die Erpresserviren im Detail

Wannacry

Der Erpresservirus Wannacry infizierte weltweit die PCs von Privatpersonen sowie von Unternehmen. In Deutschland hat es unter anderem die Deutsche Bahn getroffen. Viele Hinweistafeln funktionierten nicht mehr. In Großbritannien hatten sich Rechner des National Health Service Hospitals (NHS) infiziert. Geplante Operationen mussten abgesagt werden. In Frankreich legte der Autohersteller Renault mehrere Fabriken wegen des Virus vorübergehend still. Firmen in rund 150 Ländern gehören zu den weiteren Opfern.

Verbreitungsweg: Wannacry verteilt sich per Anhang oder Link in Mails, die etwa vorgeben, eine Rechnung zu enthalten. Wer auf eine solche Nachricht hereinfällt und den Erpresservirus startet, dessen Daten werden verschlüsselt. Gleichzeitig nutzt Wannacry eine Sicherheitslücke in Windows, um sich im Netzwerk des PCs wurmartig zu verbreiten. Gegen die Lücke gibt es zwar seit März 2017 ein Update ( MS17-010 ,), doch viele Nutzer hatten dieses im Mai noch nicht geladen. So kann Wannacry andere Windows-Rechner infizieren, sobald diese eingeschaltet sind. Eine Aktion durch den Anwender ist nicht einmal nötig. So konnte sich Wannacry sehr schnell auf vielen PCs einnisten.

Schaden: Wannacry fordert ein Lösegeld von bis zu 600 Euro in Bitcoins und droht damit, die Daten in wenigen Tagen zu löschen.

Obwohl Wannacry im Mai Hunderttausende Rechner befallen hat, soll das erbeutete Lösegeld gering gewesen sein. Experten hatten die Bitcoin-Zieladressen für das Wannacry-Lösegeld im Auge behalten und festgestellt, dass insgesamt 52 Bitcoins dort aufgetaucht sind (Stand August 2017). Das entspricht ungefähr 150.000 Euro.

Schutz: Speziell gegen Wannacry mit seiner automatischen Verbreitung in einem Netzwerk schützt der Patch MS17-010 von Microsoft. Sie bekommen den Patch über das Windows-Update über „Windows-Symbol -> Einstellungen -> Updates und Sicherheit -> Nach Updates suchen“ (Windows 10).

Besonderheit: Die Sicherheitslücke, die Wannacry für seine Verbreitung im Netzwerk nutzt, wurde ursprünglich vom amerikanischen Geheimdienst NSA entdeckt und für Spionage-Hacks verwendet. Nachdem eine Hacker-Gruppe namens Shadow Broker Infos über diese und viele andere Sicherheitslücken von der NSA stehlen konnte und veröffentlicht hat, nutzte zunächst Wannacry diese Infos aus. Mittlerweile gibt es mehrere Viren, die die NSA-Infos als Einfallstore nutzen. Der Schädling Eternal Rocks beispielsweise nutzt gleich sieben Lücken aus dem NSA-Fundus ( Infos ).

Windows 10: Volle Sicherheit mit Bordmitteln

Die Website No More Ransom hilft Ihnen ein Entschlüsselungstool zu finden.
Vergrößern Die Website No More Ransom hilft Ihnen ein Entschlüsselungstool zu finden.

Petya und Notpetya

Der Erpresservirus Petya richtete bereits 2016 erheblichen Schaden an. Einer seiner vielen Varianten und Nachfolger heißt Notpetya. Dieser Schädling erschien im Juni 2017 und geht bei der Verbreitung sehr raffiniert vor. Sein Schaden ist hoch, da es wohl keine Chance auf eine Entschlüsselung der Daten gibt. Ob das an einem Programmierfehler der Angreifer liegt oder von ihnen so geplant war, ist nicht bekannt. Auch einige vorherigen Varianten von Petya, wozu auch der Schädling Goldeneye zählt, verschlüsseln die Daten ohne Chance auf Entschlüsselung. Darum stufen einige Experten Notpetya nicht als Erpresservirus ein, sondern als Zerstörervirus.

Verbreitungsweg: Petya wird per Mail verbreitet, meist mit einem Link auf den Schadcode, der als PDF getarnt ist. Nachfolger von Petya, etwa Notpetya, nutzen die Netzwerk-Sicherheitslücke, die auch Wannacry nutzt (siehe oben). Die Angreifer hinter Notpetya haben zudem noch die Server einer Steuersoftware gehackt, die von vielen Firmen in der Ukraine benutzt wird. Sobald sich die Steuersoftware ein Update lädt, holt sie sich vom infizierten Server der Steuersoftware den Schädling auf den PC. Der Schadcode wird dann automatisch gestartet.

Der Nutzer des PCs muss somit überhaupt nichts anklicken: Sobald er den PC eingeschaltet und die Steuersoftware gestartet hat, landet der Schädling auf dem PC.

Der Schaden: Petya und Notpetya verschlüsseln die Daten des Nutzers und verhindern anschließend sogar den Start von Windows, indem sie den Bootsektor beziehungsweise die Master File Table manipulieren. Der Schädling soll es sogar auf einen PC des Kernkraftwerks in Tschernobyl geschafft haben. Dort wird zwar kein Strom mehr produziert, doch die PCs sind zur Überwachung der Anlage immer noch nötig. Notpetya soll auch die größte Containerschiffreederei der Welt befallen haben. Die Reederei Maersk betreibt mit rund 30.000 Mitarbeitern mehr als 600 Schiffe. Der Erpresservirus hat für PC-Ausfälle an mehreren Standorten gesorgt und soll laut Reederei einen Schaden von bis zu 300 Millionen Dollar verursacht haben. Nicht in Form von Lösegeld, sondern wegen des gestörten Betriebsablaufs.

Im Juli 2017 hat der Programmierer von Petya den Generalschlüssel (ein privater Schlüssel) veröffentlicht. Damit lassen sich theoretisch alle verschlüsselten Dateien retten. Allerdings nur theoretisch. Vor allem für die neueren Varianten von Petya scheint der Generalschlüssel nicht zu funktionieren. Für Opfer von Notpetya besteht ebenfalls kaum eine Chance auf Wiederherstellung der Daten.

Schutz: Wie bei Wannacry sind die neuesten Updates für Windows ein Muss. Gegen den perfiden Verbreitungsweg über das Update einer Anwendung hilft nur ein aktuelles Antivirenproramm, das den Schädling bereits kennt.

Cerber

Der Erpresservirus Cerber ist nach dem griechischen Höllenhund Zerberus benannt. Cerber verbreitet sich seit Februar 2016 in den Versionen Cerber, Cerber 2 und Cerber 3 im Internet. Laut Sicherheitsexperten soll das Cerber-Netzwerk im September 2016 pro Tag rund 80 000 neue Computer infiziert haben. Nach ein paar Monaten Pause wurde Cerber dann in 2017 mit neuen Varianten aktiv.

Verbreitungsweg : Cerber verbreitet sich über Mails mit Anhängen oder mit Links zum Schadcode sowie über verseuchte Websites.

Schaden: Nach der Verschlüsselung der Dateien fordert Cerber ein Bitcoin, was mittlerweile 3500 Euro sind (Stand August 2017). Wer nicht umgehend zahlt, von dem verlangt Cerber dann zwei Bitcoins.

Für die verschlüsselten Dateien der ersten Cerber-Variante gibt es Entschlüsselungstools. Gegen die späteren Varianten existieren (bislang) keine Entschlüsselungstools.

Einige Erpresserviren verheimlichen ihren Namen, wie im obigen Beispiel.
Vergrößern Einige Erpresserviren verheimlichen ihren Namen, wie im obigen Beispiel.

Crypto Locker und Tesla Crypt

Der Erpresserschädling Crypto Locker verbreitete sich von September 2013 bis Mai 2014 in erster Linie über das Zeus-Botnet. Im Mai gelang es einer groß angelegten Operation, dieses Zeus-Botnet und damit Crypto Locker abzuschalten. Bei der Operation wurde auch der Generalschlüssel (privater Schlüssel) zu Crypto Locker gefunden. So gibt es für die meisten Opfer des Schädlings Hilfe beim Entschlüsseln ihrer Dateien.

Verbreitungsweg: Crypto Locker verbreitet sich überwiegend über verseuchte Mailanhänge. Auch verseuchte Websites kommen als Infektionsweg infrage.

Schaden: Viele betroffene PC-Nutzer sollen das Lösegeld gezahlt haben. Die Schätzungen der Experten gehen über die Gesamthöhe des Lösegelds allerdings weit auseinander: Die einen haben 3 Millionen Dollar kalkuliert, andere 27 Millionen Dollar.

Besonderheit: Obschon Crypto Locker bereits 2014 gestoppt werden konnte, gilt sein Code als Schablone für sehr viele Nachfolger. Einige dieser Varianten nutzen ebenfalls den Namen Crypto Locker, andere nennen sich ähnlich. Auch der Schädling Tesla Crypt soll auf den Code von Crypto Locker basieren. Einige Antivirenexperten führen Tesla Crypt aber auch unabhängig von Crypto Locker.

Tesla Crypt verschlüsselte in seiner ersten Variante die Dateien von PC-Spielen, wie Call of Duty. Diese Dateien sind für Gamer von teilweise hoher Bedeutung und werden bei einigen Spielen lokal und nicht in der Cloud gespeichert. Im Jahr 2016 sollen laut Kaspersky 48 Prozent aller Erpresservirenangriffe auf Tesla Crypt zurückzuführen sein. Auch im Jahr 2017 verbreitet sich Tesla Crypt nennenswert.

Locky

Locky konnte sich zunächst im Februar 2016 stark verbreiten. Wie andere Verschlüsselungsviren, fordert auch Locky nach dem Verschlüsseln der Anwenderdateien ein Lösegeld.

Verbreitungsweg: Die Kriminellen wählen den an sich bekannten Verbreitungsweg per Mail, können aber mit scheinbar glaubhaften Mails viele Empfänger zu einem Klick auf den Anhang verleiten. Der Schadcode im Anhang steckt in Microsoft-Office-Dateien. Wer diese öffnet und dann noch die Ausführung von Makros erlaubt, ist infiziert. Seit einiger Zeit gibt es auch Anhänge mit Javascript oder Batchdateien. Als Absender erscheint mal ein Wurstfabrikant, der eine Rechnung im Anhang ankündigt, und mal das Bundeskriminalamt (BKA). Diese Mails haben angeblich ein Analysetool namens BKA Locky Removal Kit.exe im Anhang.

Schaden: Für die verschlüsselten Dateien ist bis heute kein Entschlüsselungstool verfügbar.

Besonderheit: Obschon Locky sich zunächst nur Anfang 2016 stark verbreitet hat, führen viele Antivirenspezialisten Locky dennoch als einen der gefährlichsten Erpresserviren auf. Denn neue Varianten des Schädlings machen immer wieder mal die Runde im Internet, so etwa Mitte August 2017. Unter dem Namen Diablo6 verbreitet sich der Locky-Schädling diesmal recht profan als ZIP-Datei in Mails. Auch in den Monaten davor waren Locky-Varianten im Umlauf.

Weitere Erpresserviren

Die Aufzählung der fünf zuvor genannten Schädlinge und ihrer Varianten umfasst bei Weitem nicht alle gefährlichen Erpresserviren. Der Antivirenexperte F-Secure etwa führt fünf weitere Schädlinge als aktuelle Bedrohung auf: CTB-Locker, Crypto Wall, Slocker (ein Schädling für Android), Revento und Browlock. Details zu diesen Schädlingen finden Sie auf dieser englischsprachigen Site .

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2073555