Das Erste-Hilfe-Kit gegen Krypto-Trojaner
Mit einer Reihe von Werkzeugen will ein Forscher den Opfern von Erpressungs-Trojanern helfen, ihre Daten zu retten und ihre Systeme zu reinigen. Allerdings ist bei der Anwendung Vorsicht geboten.
Ein Sicherheitsforscher hat eine Sammlung von Entschlüsselungs-Werkzeugen für verschiedene Cryptolocker-Trojaner zusammengestellt. Momentan enthält das Ransomware Response Kit [1] Entschlüsselungswerkzeuge für die Windows-Schädlinge CryptoLocker, CoinVault, FBIRansomWare und TeslaCrypt sowie das Ransomware Removal Tool von TrendMicro, welches mehrere Schädlinge entfernen kann. Zusätzlich stellt der Forscher Dokumentation bereit, die Opfern von Krypto-Trojanern helfen soll, solche Infektionen in Zukunft zu verhindern.
Der Forscher empfiehlt Opfern, auf die Lösegeldforderungen nie einzugehen. Stattdessen sollten sie versuchen, so genau wie möglich zu dokumentieren, welche Trojaner-Variante sie sich eingefangen haben. Genau zu wissen, welchem Schädling man zum Opfer gefallen ist sei wichtig, da der Einsatz des falschen Entschlüsselungs-Werkzeugs unter Umständen Daten unwiederbringlich zerstört.
Auch bei Backups ist Vorsicht geboten
Als Vorsorge sollte man regelmäßig Backups auf Platten anstellen, die ansonsten nicht an laufende Systeme angeschlossen sind. Aber auch hier ist Vorsicht geboten, da laut der von dem Forscher zusammengetragenen Dokumentation einige Schädlinge Daten heimlich im Hintergrund ver- und entschlüsseln, damit der Nutzer im Glauben gelassen wird, seine Daten und Backups sind in Ordnung. Bis der Trojaner plötzlich hinterlistig zuschlägt.
Dann kann es vorkommen, dass das Opfer versehentlich schon verschlüsselte Dateien ins Backup verschiebt. Da helfen nur Backups, die schon vor der Infektion passiert sind und seit dem nicht mehr angefasst wurden, oder Formate, welche der Schädling nicht als Backup erkennt – etwa verschlüsselte Dateien oder Windows-Wiederherstellungspunkte. (fab [2])
URL dieses Artikels:
https://www.heise.de/-2661154
Links in diesem Artikel:
[1] https://bitbucket.org/jadacyrus/ransomwareremovalkit
[2] mailto:contact@fab.industries
Copyright © 2015 Heise Medien