verschlüsselte Rohdaten einer Datei

Abermals Cryptolocker und CryptoWall

Nachdem in den letzten Tagen wieder vermehrt erpresserische Trojaner bei Windows-Anwendern per Mail ihr Unwesen treiben und auch die österreichischen Medien über ein Jahr nach den ersten Vorkommnissen (wieder) davon berichten, will auch ich mich nochmals dieser Problematik widmen.

Zumeist kommen die Mails vermeintlich von Paketzustellern (DHL) oder Telekommunikationsanbietern (Deutsche Telekom, A1, Vodafone) und enthalten einen Link zu einem Virus verseuchten ZIP Archiv. Sobald man dieses dann aber entpackt hat, ist dem Cryptolocker oder seinem Zwilling CryptoWall auf dem eigenen Rechner Tür und Tor geöffnet.

Die Bezeichnung Cryptolocker kommt nicht von ungefähr, denn es werden in der Regel sämtliche Benutzerdaten – bei einigen aktuellen Versionen sogar auch die auf Netzlaufwerken – verschlüsselt und der Zugriff auf das Benutzerkonto gesperrt. Auf dem gesperrten Bildschirm erscheint eine Meldung mit der Aufforderung zur Zahlung von „Lösegeld“ um die Dateien wieder zu erhalten. Von renommierten Experten wird jedoch davon abgeraten zu zahlen, da dies – ausgenommen der finanziellen Erleichterung des eigenen Kontos – keinen Effekt hat.

Schützen kann man sich einerseits durch zwei ohnehin bekannte Ansätze: keine Links oder Anhänge in E-Mails anklicken, die nicht aus einer 1000% seriösen Quelle stammen. Andererseits hilft im Fall der Fälle natürlich auch eines der externen Backups, welche in mehreren Generationen an verschiedenen Orten gelagert wurden.

Unserer bisherigen Erfahrung nach gab es im Laufe der vergangenen Monate zumindest fünf verschiedene Ausartungen an Cryptolockern:

  1. überschreibt die Inhalte der Dateien mit zufälligen Daten und vernichtet diese somit endgültig
  2. codiert die Daten nach einem „einfachen Algorithmus“, der zurückgerechnet werden kann
  3. verschlüsselt die Daten mit einem Key, der durch Tools  wie zum Beispiel https://decryptcryptolocker.com/ angeblich berechnet werden kann
  4. verschlüsselt die Daten mit einer bislang unbekannten Passphrase
  5. sperrt nur den Zugriff auf das Benutzerkonto

Wobei Variante 2 derzeit nur noch selten anzutreffen ist und Variante 5 überhaupt nur bei den ersten Versionen vor etwa einem Jahr gängig war. Sollte eine vollständige und bislang unwiderrufliche Verschlüsselung oder Vernichtung der Nutzerdaten erfolgt sein und kein Backup vorhanden sein, besteht noch die Möglichkeit unabhängig vom Dateisystem nach anonymen Daten (Schattenkopien, Reste von kürzlich gelöschten Daten) zu suchen.

Ein Anruf bei unseren Spezialisiten lohnt sich also auf jeden Fall! Weiterführende Informationen zur Datenrettung bei Verschlüsselung findet Ihr auch unter https://www.attingo.at/datenrettung/softwareschaden/crypto-software.html

[Gesamt:1    Durchschnitt: 5/5]

Schreibe einen Kommentar