Seit kurzer Zeit sind mehrere verschiedene Trojaner aufgetaucht, die den Rechner faktisch unbrauchbar machen und dafür sorgen dass man nicht mehr an die Daten kommt.
Die Erpresser versprechen:
"Wenn du uns bezahlst, bekommst du einen Code oder ein Tool mit dem du die Daten wieder benutzen kannst"
Eins ist jedoch zu fast 100% sicher:
Wenn du bezahlst, ist dein Geld weg. Alles andere bleibt jedoch vernagelt. Im Zweifelsfall also nicht zahlen.
xxxxxxxxxxxxxxxxxxxxxxx
Unabhängig von einem bestimmten Erpresser-Trojaner , gibt es etwas , was man ganz allgemein tun kann, um einen Schaden zu verhindern oder zu begrenzen.
1) Bei eingehenden E-Mails gut überlegen , ob man sie öffnen soll
Betrüger benutzen gerne Betreffzeilen, die wichtig aussehen
Wenn man "Rechnung" oder "Mahnung" liest, wird man eine Mail eher beachten als wenn sie eine unwichtige Überschrift enthält.
ACHTUNG !
1) "richtige Rechnungen" werden NIE NIE NIE als zip-Datei verschickt
Wenn man eine "ehrliche Rechnung" bekommt, handelt es sich um eine PDF-Datei. Alle anderen Formate sind in Deutschland als Rechnung unzulässig.
Folgender Punkt betrifft Firmen, die selbst Rechnungen verschicken
Kommt scheinbar eine Antwort auf eine Rechnung, dass man die Rechnung ändern soll..
Prüft zunächst einmal, ob die Rechnungsnummer überhaupt durch eure Firma versendet werden konnte
Jede Firma hat ihre eigne Art, Rechnungen zu nummerieren und zu bezeichnen. Passt die angebliche Antwort auf eure Rechnung nicht in dieses Raster: Finger weg ! Mail nicht öffnen.
Dieser Hinweis kann aber auch Kunden nutzen, die regelmäßig Rechnungen von einer bestimmten Firma bekommen. Passt das Auftreten der Rechnung nicht in das übliche Schema, ruft den angeblichen Absender an.
Firmen ändern nie schlagartig das Erscheinungsbild von Rechnungen - und vor allem nicht innerhalb des laufenden Kalenderjahres
2) Wenn eine "wichtige Mail plausibel aussieht", öffnet sie trotzdem nicht einfach
Prüft zuerst die Absender-Mail-Adresse. Passt sie nicht zur angeblichen Rechnung , beachtet die Mail nicht weiter.
3) Richtige Rechnungen enthalten NIE einen Link, der zur Rechnung führt
Schaut euch ganz genau an, wo der Link hin führen soll.
Wenn ihr normalerweise mit einer Rechnungsinformation ( z.B. "eine neue Rechnung liegt vor" ) einen Link zum Anbieter bekommt, benutzt ihn NICHT, wenn die Mail ansonsten verdächtig aussieht.
Schließt die Mail und loggt euch manuell auf der Anbieterseite ein.
2) Sicherheitssoftware aktuell halten
Die neuesten Erpresser-Viren werden noch durch kaum ein Schutzprogramm entdeckt. Aus diesem Grund nenne ich solche Systeme auch nicht als Schutzmöglichkeit.
Es gibt aber immer Einstellungen am Rechner, mit denen man das Wirken von Trojanern und Co. verhindern kann.
Das kann eine Software-Firewall sein, die sofort meldet, wenn ein neues Programm Zugriff auf das Internet haben will oder eine "Positivliste" (Whitelist) die nur dort eingetragenen Programmen Zugriff zum System gewährt.
Schon der kleine Trick, dass man nie mit vollen Benutzerrechten ins Internet geht oder Mails abruft, kann Malware an der Ausführung hindern.
3) Notfallmaßnahmen, wenn alle Vorsicht nicht geholfen hat
1) Rechner sofort vom Internet trennen , wenn er sich seltsam verhält
Erpresser-Trojaner werden oft erst dann erkannt/bemerkt, wenn sie die eigentliche Schadsoftware nachladen. Das Trennen vom Internet verhindert eventuell, dass sie diesen Teil der Aufgabe komplettieren können.
2) Rechner sofort ausschalten
Die aktuellen Erpresser-Viren verschlüsseln die Festplatte. Durch das sofortige Abschalten kann der Schaden begrenzt werden.
Beim Abschalten sollte man keine Rücksicht nehmen, welche Prozesse gerade laufen. Stecker raus , egal wie der Rechner warnt.
3) Externe Festplatten und andere Wechseldatenträger sofort rausziehen
Schafft es der Virus, das Herunterfahren zu verhindern , greift er auch auf alle angeschlossenen Festplatten und Sticks zu und versucht sie zu verschlüsseln.
4) Anzeige erstatten
Erpresser wollen Geld . Sie lassen deshalb einen entsprechenden Hinweis erscheinen. Diesen Hinweis mit einer Kamera aufnehmen und der Polizei übergeben.
Danach sollte der Rechner erst einmal nicht mehr benutzt werden. Die Polizei braucht ihn eventuell, um dem Täter auf die Spur zu kommen.
In einigen Fällen hat das "Abwürgen" des Rechners dafür gesorgt, dass eine Schlüsselgenerierung nur teilweise erfolgte . Der Trojaner hätte den Schlüssel danach gesendet und wieder gelöscht. Über den generierten Schlüssel ist es aber möglich, dem Täter (wenigstens Ansatzweise) auf die Spur zu kommen. Noch war es nicht von Erfolg gekrönt, jedoch hilft es bei dem Aufspüren.
Nachdem der Rechner wieder benutzt werden kann ...
Schattendateien suchen
Während einer Verschlüsselung werden Shadow-Dateien angelegt. Diese werden erst nach erfolgter Verschlüsselung wieder gelöscht. Es besteht eine (geringe) Chance, dass mit diesen Dateien die verschlüsselten Inhalte doch wiederherstellen kann.
Die wichtigste Sicherheitsmaßnahme ist also ABSOLUTES MIISSTRAUEN !!!
Direkt danach kommt SOFORTIGES HANDELN , um den Schaden möglichst gering zu halten.
Ihr werdet den Schaden nie ersetzt bekommen - das ist schon jetzt klar.
Es liegt also nur an euch, ob ihr wichtige Daten verliert oder auch nicht.
Wenn ihr Daten auf einer externen Platte sichert, lasst sie nie dauerhaft/durchweg mit dem Rechner verbunden.
So kann sie auch ein sehr gut programmierter Erpresser-Virus nicht erreichen und die Daten vernichten