Wie man wirksam einen Verschlüsselungstrojaner samt Erpressungsversuch im Internet beseitigt

Roman Burian - Support und Programmierung Verfasst von Roman Burian, 8.5.2012

 

Nach dem Öffnen einer Datei aus einer ZIP-Datei die per E-Mail erhalten wurden, hört der Rechner auf zu reagieren. Nach einem Neustart wird eine Erpressungsmeldung angezeigt. Danach ist es nicht mehr möglich, sich anzumelden. Ein Dialogfenster erscheint, dass 100 EUR für die Wiederherstellung des Systems zu zahlen sind. Versucht man mit einer Knoppix-CD zu booten stellt man fest, dass alle persönlichen Daten verschlüsselt und nicht mehr lesbar sind.
 


Die E-Mail in der sich das Virus versteckt hatte, sah wie folgt aus:


 

Beim nächsten Neustart wird folgende Meldung angezeigt: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert..Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieser Virus verschlüsselt Ihre Festplatte mit einem 4096 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar."


ACHTUNG: veranlassen Sie bitte NICHT die Überweisung!!!

Quelle: http://de.wikipedia.org/wiki/Ransomware
...

Ratschläge für Betroffene aus einem besteheneden Internet-Forumsartikel:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in solchen Fällen, nicht auf die Forderungen einzugehen. Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich.
...
 

Lösungsvorschlag zur Entschlüsselung der Dateien am PC:

Was braucht man dafür im ersten Schritt:
1. einen PC der frei von Schadsoftware ist.
2. einen IDE/SATA to USB Konverter
3. einen Schraubendreher

Wie geht man als nächstes vor:

1. virenbefallene Festplatte ausbauen aus
2. diese Festplatte mit Hilfe des USB Konverters am "gesunden" PC anschließen
3. WICHTIG! Image-Sicherung der Festplatte mit allen Daten erstellen (z.B. mit Acronis, Symantec Ghost, Window Backup, .... ) Es muss sichergestellt werden, dass die Daten gesichert sind.

Was barucht man dafür im zweiten Schritt:
1. eine verschlüsselte Datei die größer als 4kB ist
2. eine Sicherheitskopie von der selben Datei die NICHT verschlüsselt ist.

Die Situation wird leider sehr oft dadurch erschwert, dass es von den beschädigten Daten keinerlei Datensicherung gibt. Bei defekten Bild- oder Musikdateien kann man unter Umständen noch die für die Entschlüsselung notwendige heile Fassung wenigstens einer Datei von seiner Digitalkamera, seinem MP3-Player oder einem Bekannten organisieren, dem man diese Datei vor der Beschädigung z.B. per e-Mail geschick hat. Wichtig ist, dass man eine verschlüsselte Version und eine originale Version der selben Datei hat.

Den im oben angeführten Forum "DecryptHelper" von Matthias Kunig (derzeit Version 0.5.2) herunterladen und starten. Achtung die Datei bitte nicht aus irgendwelchen zwielichtigen Quellen herunterladen - verwenden sie die Version aus dem Forum. (http://matthi.org/DecryptHelper.exe)



Wenn man die Anwendung gestartet hat, dann muss man als erstes den "Schlüssel" errechnen lassen, mit dem die Daten verschlüsselt wurden. Dazu auf "Schlüssel erzeugen" klicken.



Das Programm begleitet Sie recht gut durch die notwendigen Schritte.



Die Meldung mit [OK] bestätigen und aus dem folgenden Dialog die verschlüsselte Version des Dateipaars auswählen (diese hat am den ein 4-stelligen Buchstaben-Code und beginnt mit "locked-")



  Die Datei mit [Öffnen] auswählen.



Wieder mit [OK] bestätigen.

Jetzt die "unverschlüsselte" Version des Dateipaars auswählen und mit [Öffnen] bestätigen. Damit wird der Prozess gestartet und der Schlüssel wird errechnet. Der Entwickler hat jedoch keinen Fortschrittsbalken eingebaut. Es sieht so aus als wäre die Anwendung abgestürzt. Aber bitte das Programm nicht beenden, es benötigt ca ein bis zwei Minuten (je nach Computer und Dateigröße) bis der Schlüssel errechnet wurde.



Den Dialog mit [OK] bestätigen.



Mit [Speichern] wird der Schlüssel gespeichert und steht dann zur Verfügung.



Wenn man diese Meldung erhalten hat, ist der schlimmste Teil schon vorbei.



Wenn Sie kein Gründe für andere Einstellungen haben, wählen Sie die oben markierten Optionen aus. Danach auf [Ordner entschlüsseln] klicken



Den Ordner mit den Dateien auswählen, die man entschlüsseln will. Vermutlich liegen die meisten Daten unter "Dokumente und Einstellungen" oder unter "Users" je nach Betriebssystemversion. Das Entschlüsseln der Daten kann jetzt unter Umständen mehre Stunden in Anspruch nehmen, man kann den aktuellen Stand in der DecryptHelper.txt nachlesen. Um den aktuellen Inhalt der Datei anzuzeigen, muss man diese immer wieder schließen und neu öffnen. Nach einiger Zeit wird dann eine Meldung angezeigt wie diese:



Ihre Daten sind jetzt entschlüsselt. Ein Danke an http://www.trojaner-board.de und Matthias Kunig.
In den häufigsten Fällen ist eine Neuinstallation des Betriebssystem die sicherste Methode, um die Schadsoftware restlos los zu werden

Für unerfahrene Anwender können wir die Wiederherstellung im Rahmen unserer EDV-Dienstleistungen nach gesonderter Beauftragung gerne durchführen.

Einen Kommentar verfassen

Post comment as a guest

0
Nutzungsbedingungen.

Personen in dieser Konversation

2 Kommentare | Add yours

  • Gast

    Was mach ich wenn der Sclüssel so aussieht

    TXaGtAqapuvyAVdv

    Danke

  • Gast

    Servus,

    Tool lässt sich nicht!! auf allerneuste Verschlüsselungs-Trojaner/Viren anwenden.
    Stand 16.05.2012 Ist aber soweit eine prima Hilfsanleitung.

    MfG :-)

WSS Online-Ressourcen

Schnellzugriff