Abermals Cryptolocker und CryptoWall
Wir übernehmen für Sie die professionelle Wiederherstellung von Daten und haben langjährige Erfahrung mit allen gängigen Systemen.
DIREKT ZUR ANFRAGE

Abermals Cryptolocker und CryptoWall

04. Dezember 2014 - DI (FH) Markus Häfele

Nachdem in den letzten Tagen wieder vermehrt erpresserische Trojaner bei Windows-Anwendern per Mail ihr Unwesen treiben und auch die österreichischen Medien über ein Jahr nach den ersten Vorkommnissen (wieder) davon berichten, will auch ich mich nochmals dieser Problematik widmen.

Zumeist kommen die Mails vermeintlich von Paketzustellern (DHL) oder Telekommunikationsanbietern (Deutsche Telekom, A1, Vodafone) und enthalten einen Link zu einem Virus verseuchten ZIP Archiv. Sobald man dieses dann aber entpackt hat, ist dem Cryptolocker oder seinem Zwilling CryptoWall auf dem eigenen Rechner Tür und Tor geöffnet.

Die Bezeichnung Cryptolocker kommt nicht von ungefähr, denn es werden in der Regel sämtliche Benutzerdaten – bei einigen aktuellen Versionen sogar auch die auf Netzlaufwerken – verschlüsselt und der Zugriff auf das Benutzerkonto gesperrt. Auf dem gesperrten Bildschirm erscheint eine Meldung mit der Aufforderung zur Zahlung von „Lösegeld“ um die Dateien wieder zu erhalten. Von renommierten Experten wird jedoch davon abgeraten zu zahlen, da dies – ausgenommen der finanziellen Erleichterung des eigenen Kontos – keinen Effekt hat.

Schützen kann man sich einerseits durch zwei ohnehin bekannte Ansätze: keine Links oder Anhänge in E-Mails anklicken, die nicht aus einer 1000% seriösen Quelle stammen. Andererseits hilft im Fall der Fälle natürlich auch eines der externen Backups, welche in mehreren Generationen an verschiedenen Orten gelagert wurden.

Unserer bisherigen Erfahrung nach gab es im Laufe der vergangenen Monate zumindest fünf verschiedene Ausartungen an Cryptolockern:

  1. überschreibt die Inhalte der Dateien mit zufälligen Daten und vernichtet diese somit endgültig

  2. codiert die Daten nach einem „einfachen Algorithmus“, der zurückgerechnet werden kann

  3. verschlüsselt die Daten mit einem Key, der durch bestimmte Tools angeblich berechnet werden kann

  4. verschlüsselt die Daten mit einer bislang unbekannten Passphrase

  5. sperrt nur den Zugriff auf das Benutzerkonto

Wobei Variante 2 derzeit nur noch selten anzutreffen ist und Variante 5 überhaupt nur bei den ersten Versionen vor etwa einem Jahr gängig war. Sollte eine vollständige und bislang unwiderrufliche Verschlüsselung oder Vernichtung der Nutzerdaten erfolgt sein und kein Backup vorhanden sein, besteht noch die Möglichkeit unabhängig vom Dateisystem nach anonymen Daten (Schattenkopien, Reste von kürzlich gelöschten Daten) zu suchen.

Verwandte Themen

Attingo-Magazin

Pressemeldungen & Aktuelles
Attingo in der Presse
Messetermine und Konferenzen
Blog
Stichwortverzeichnis
FAQ - Häufig gestellte Fragen
Fallstudien: Datenrettung