So schützen Sie sich vor Erpresser-Trojanern

29. August 2019

Erpresser-Trojaner sind weiter auf dem Vormarsch. Die Zahl der Infektionen mit der sogenannten Ransomware steigt rasant. Wir erklären, wie Sie sich vor Lösegeld-Erpressern à la Locky und TeslaCrypt schützen. Mit etwas Glück lassen sich verschlüsselte Dateien sogar wiederherstellen.

Erpresser-Trojaner kommen als Mail-Anhang, über infizierte Internetseiten und inzwischen auch per USB-Stick auf den Computer. Die Trojaner verschlüsseln nahezu alle Dateien auf lokalen Festplatten und im Netzwerk befindlicher Computer. Wer die Dateien wieder haben will, soll ein Lösegeld von mehreren Hundert bis Tausend US-Dollar zahlen. Insbesondere Unternehmen, Behörden und Krankenhäuser sind geneigt, auf die Forderungen der Erpresser einzugehen. Da die Kriminellen ihre Attacken immer breiter fächern, sind auch Privatleute vor den Krypto-Trojanern nicht sicher.

Der beste Schutz: frische Backups

Ein aktueller Virenscanner gehört auf jeden PC, kann eine Ransomware-Infektion aber nicht verhindern. Der beste Schutz gegen die Erpresser-Trojaner sind daher regelmäßige Backups. Während eine Entschlüsselung der gekaperten Dateien oft unmöglich ist, lassen sich die Schädlinge löschen. Auf das gesäuberte System können Sie dann das Backup von einer externen Festplatte einspielen.

FOTO-SHOW
Windows 7 bietet einfache Werkzeuge zur Erstellung eines kompletten System- und Daten-Backups. (Quelle: t-online.de)
Im Fenster "Eigene Dateien sichern und wiederherstellen" finden Sie auf der linken Seite verschiedene Optionen zur Datensicherung. Wählen Sie "Systemabbild erstellen". (Quelle: t-online.de)
So schützen Sie Windows 7 vor dem Datengau

So erleiden Sie nur geringe bis keine Datenverluste – vorausgesetzt, das Backup wurde kurz vor der Infektion erstellt. Wie Sie ein Backup unter Windows erstellen, erklären wir in unserer Foto-Show. Weiterhin können Sie sich mit einer gesunden Portion Skepsis und etwas System-Pflege vor Geiselnehmern schützen. Das sind die vier wirksamsten Maßnahmen gegen Erpresser-Software:

  1. Öffnen Sie keinesfalls Mail-Anhänge, wenn Sie nicht sicher sind, dass deren Inhalt unbedenklich ist.
  2. Schalten Sie die Makro-Funktion für Outlook, Word und Excel aus, damit sich der Schädling nicht automatisch installiert, sobald das Dokument geöffnet wird. Wie Sie Makros in Office deaktivieren, zeigt unsere Foto-Show.
  3. Halten Sie Betriebssystem, Webbrowser sowie Browser-Erweiterungen wie Flash oder Java mit Updates auf dem neusten Stand. Aktualisieren Sie regelmäßig Ihre Antiviren-Software.
  4. Sichern Sie regelmässig alle Ihre Daten. Ein Backup ist nicht nur im Fall eines Schadcode-Befalls von Vorteil, sondern auch wenn ein technischer Ausfall des Systems vorliegt.

Gratis-Tool stoppt die Verschlüsselung

Die Erpresser-Trojaner stellen auch die Hersteller von Antivren-Software vor große Herausforderungen. Denn die Schädlinge schaffen es immer wieder, unter dem Radar hindurch zu schlüpfen. Einige Software-Hersteller bieten inzwischen speziell auf Ransomware abgestimmte Tools an. So etwa die Anti-Ransomware von Malwarebytes. Der kostenlose Virenwächter erkennt besonders gefährliche Krypto-Trojaner wie CryptoWall4, CryptoLocker, Tesla und CTB-Locker anhand ihres Verhaltens. Sobald massenhaft Dateien verschlüsselt werden, greift es ein und stoppt den Prozess. In einem Test des Fachmagazins „c’t“ fielen dem Trojaner dennoch 20 Dateien zum Opfer. Das Ergebnis sei trotzdem gut, fanden die Tester.

Online-Erpresser greifen auch das Smartphone-Betriebssystem Android an. Dabei verschlüsseln sie Fotos und andere Dateien zumeist mithilfe der Malware Cryptolocker/Simplocker. Bei einer solchen Infektion hilft das Tool Avast Ransomware Removal. Da beide Gratis-Tools auf Krypto-Trojaner spezialisiert sind, können sie einen herkömmlichen Virenschutz nicht ersetzen. Auch auf Backups sollte beim Einsatz der Programme keinesfalls verzichtet werden.

Erpresser-Trojaner erkennen

Auch wenn ein Erpresser-Trojaner bereits zugeschlagen hat, ist mit etwas Glück noch nicht alles verloren. Bevor Sie sich an das Entfernen des Schädlings oder das Entschlüsseln wagen können, müssen Sie jedoch wissen, welcher Trojaner für das Schlamassel verantwortlich ist. Verwenden Sie das falsche Tool, gehen Ihre Daten womöglich verloren!

Im Idealfall haben die Online-Kriminellen den Namen ihres Schädlings im „Erpresser-Brief“ verraten. Dieser öffnet sich in der Regel automatisch in einem Windows-Fenster oder als Desktop-Hintergrund. Ist der Name des Krypto-Trojaners unbekannt, können die Dateiendungen der verschlüsselten Dateien weiterhelfen. Während TeslaCrypt zum Beispiel ein „.xxx“, „.ttt“ oder „micro“ an die Dateinamen anhängt, verwendet der Cerber-Trojaner die Endung „.cerber“. Aktivieren Sie die Anzeige der Dateitypen in Windows, um dem Schädling auf die Schliche zu kommen.

In der unten stehenden Tabelle haben wir einige Kryptotrojaner, ihre Erkennungsmerkmale und verfügbare Entschlüsselungs-Tools zusammengefasst.

Windows von Schadsoftware befreien

Wer ein umfassendes Backup angelegt hat, kann Windows einfach „plattmachen“ und neu installieren. Dieser Prozess ist jedoch langwierig und kann verschlüsselte Dateien nicht wiederherstellen. Mitunter reichen schon ein paar Windows-Tricks aus, um das Problem zu lösen. Bevor sie loslegen, sollten Sie zwei Informationen sichern, die zur Entschlüsselung der Dateien wichtig sein könnten:

  1. Notieren Sie sich zunächst die von der Erpresser-Software angegebene „Bitcoin wallet“-Adresse
  2. Notieren Sie nach Möglichkeit auch die Liste verschlüsselter Dateien, die einige Trojaner angeben.
  3. Versuchen Sie anschließend mithilfe der Systemwiederherstellung Windows auf einen früheren Zeitpunkt zurückzusetzen.

Dadurch werden die verschlüsselten Daten zwar nicht befreit, bösartige Veränderungen am System und an Programmen lassen sich aber womöglich rückgängig machen. In jedem Fall sollten Sie einen vollständigen System-Scan mit einem aktuellen Virenscanner durchführen. Allerdings werden viele Krypto-Trojaner nicht von allen Viren-Wächtern erkannt. Daher ist ein zusätzlicher System-Scan mit einem spezialisierten Programm wie Malwarebytes Anti Malware, HitmanPro oder Trend Micros Anti-Ransomware Tool notwendig. Letzteres ist auf Ransomware spezialisiert, die keine Dateien verschlüsselt, aber den Zugriff auf Windows sperrt.

  1. Fahren Sie Windows mit einem Neustart im abgesicherten Modus mit Netzwerktreibernhoch (Drücken der Taste „F8“ kurz nach dem Boot-Vorgang).
  2. Führen Sie nun einen vollständigen System-Scan mit einem aktualisierten Virenscanner durch.
  3. Holen Sie sich nach Ablauf des ersten Suchlaufs eine „zweite Meinung“ von einem Spezial-Scanner ein.