Ramona Hapke

Ramona Hapke

Journalist, Blogger & Publisher

Zerstörte Dateien – was tun?

Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on xing
XING

Seit langem haben viele Nutzer mit Lösegeldforderungen zu kämpfen, um wieder Zugriff auf ihre Rechner zu erhalten. Die Computer sind mit Ransomware verseucht, einer Software, die Lösegeld (ransom) einfordert. Im folgenden Beispiel zeige ich eine Variante auf, die (noch) kein Lösegeld gefordert hat, allerdings Dateien verschlüsselte, so dass sie unbrauchbar wurden. Ich nutze eine Firewall und Trend Micro Maximum Security. Aber der Trojaner wurde noch nicht erkannt!

Es fing ganz harmlos an: Beim Öffnen einer Datei mit der Endung TXT der Schock: nur kryptische Zeichen. Ich öffnete weitere und stieß auf Inhalte mit chinesischen Schriftzeichen oder irgendwelchen kryptischen Codes. Auch ein Wechsel des Zeichensatzes brachte keine Lösung. Da war mir klar: Hier stimmt etwas nicht!

Alle Dateien hatten eine Gemeinsamkeit: Sie waren an einem bestimmten Tag zu einer ganz bestimmten Uhrzeit geändert worden. Auf der Suche nach Dateien mit genau diesem Änderungsdatum der nächste Schreck: Auch andere Dateiformate, wie CSS, HTML, PHP, JPG, GIF usw. waren betroffen. Sie befanden sich allesamt in einem bestimmten Ordner und dessen Unterordnern. Die erste Maßnahme: löschen und vernichten. Glücklicherweise konnte ich die meisten Dateien von einer Datensicherung zurückspielen.

Es existieren zwar etliche Tools zum Entschlüsseln verschlüsselter Dateien, aber so vielfältig wie diese Werkzeuge sind, so unglaublich viee Varianten der Schädlinge gibt es. Wie will man da noch eingreifen können?

Kollegen berichten von massenhaften Angriffen auf Rechner ihrer Kunden und wie schwer es ist, dem Trojaner beizukommen. Nachfolgende Schritte können dem einen oder anderen Leser vielleicht helfen, seinen Computer wieder flott zu bekommen:
ransomeware_scan

  • Anti-Ransomware Tool: herunterladen und im abgesicherten Modus (Windos-Taste F8 beim Start halten) installieren
  • Rechner durchsuchen: Scan-Taste drücken => die Software listet gefundene Dateien
  • säubern: gefundene Dateien markieren und auf „clean“ drücken
  • Rechner neu starten: Das Tool fordert zum Neustart auf.

Für mich stand die Frage im Raum, ob ich nun auch False Positives erwischt habe. Hierfür wende ich mich demnächst an den Support von Trend Micro.
Zumindest hat das Tool einige Dateien gänzlich gelöscht. Ich musste daher die Maus neu installieren, eine Programm- und eine Windows-Reparatur durchführen und die Windows-Konfiguration (Sound, Ansicht und andere Kleingkeiten) überarbeiten. Mit der Zeit stoße ich vielleicht auf andere Probleme, abwarten.
antiransomeware
Um meinen Computer vor Lock-Schadsoftware zu schützen, installierte ich Anti-Ransomware von Megabytes. Auf der Seite von chip.de findet sich folgender wichtiger Hinweis:

laut Malwarebytes können 2-3 Files befallen werden, bevor der Block greift

Das Programm läuft ohne merkbare Last im Hintergrund.

Nützliche Adressen für Hilfesuchende

Bedrohung

Aktualisierung, 01.03.2016
chat1
Nicht benötigte Dienste habe ich deaktiviert, einige Browser-Add-ons gelöscht (meist manuell) u. v. m. – ein Großaufräumen war angesagt. Das sollte jeder ab und zu tun, nicht nur bei Problemen.
Wie angekündigt habe ich den Trend Micro Support kontaktiert, ebenso die Geräte-Hersteller Evoluent und Auerswald. Das Trend Micro Tool hatte ja einige infizierte Dateien in der Software der Hersteller erkannt. Wie ich bereits vermutete, handelt es sich um False Positives.
Inzwischen habe ich weitere Tools von Trend Micro genutzt, die mir der Support genannt hatte. Zudem folgte ich der Anweisung eines Mitarbeiters, den ich im englischsprachigen Chat kontaktierte, die Tastenkombination Strg+Alt+T+M gleichzeitig zu drücken. Dadurch wurde ein Suchlauf der Trend Micro Software aktiviert, der Computer war in dieser Zeit für sämtliche Arbeiten gesperrt. Nach dem Durchsuchen startete der Rechner automatisch neu. Danach fehlten wiederum die Dateien für die Maus und das Fax (siehe Screenshot oben), die False Positives eben. Aber seitdem scheint der Computer wieder besser zu laufen.

Sehr positiv: Evoluent (per Mail) und Auerswald (telefonisch) reagierten sehr schnell.

The problem you are having isn’t caused by our software. Not all the files
AntiRansomware calls suspicious are bad.

Ähnlich äußerte sich der Mitarbeiter von Auerswald.
Evoluent gab mir den Tipp, verdächtige Dateien mit diesem Tool zu scannen:
Virustotal. Das Ergebnis war einwandfrei:

Virsuscan

Heute habe ich noch keine verschlüsselten Dateien gefunden. Das muss nichts heißen, vermutet auch Claudia Troßmann. Für ihren Beistand und die Ratschläge, u.a. sämtliche Geräte vom Computer zu trennen, wie Router, externe Festplatten usw. Ich empfehle, ihren Beitrag CTB-Locker, Locky und WordPress im Blog zu lesen! An dieser Stelle auch herzlichen Dank für den Rückruf des IT-Experten Christan Perst.

Weitere Beiträge

Keine Texte für lau

„How dare you!“ Wenn diese Worte Harlan Ellison über die Lippen kommen, dann aber richtig deutlich und mit

Was gehört (nicht) in die Pressemappe?

Es gibt sie noch, die „klassischen“ Pressemappen: Auf Messen und Presseveranstaltungen werden sie gedruckt überreicht oder liegen in

Bezahlschranken – Geht die Rechnung für Autoren auf?

Was bleibt einem Blogger übrig, wenn er eine Bezahlschranke vor seinen Content setzt? Im Beitrag stelle ich eine beispielhafte Rechnung anhand von drei Lösungsansätzen auf und betrachte dazu sowohl die Nutzung eines Plugins auf dem eigenen Webspace als auch Lösungen von Drittanbietern. Mircopayment, kleine Beträge für den Zugriff auf Inhalte, lohnt sich das für Content-Produzenten? Wie hoch sind die Kosten für die Bezahlabwicklung?

Hat Ihnen der Beitrag gefallen?
0/5

1 Kommentar zu „Zerstörte Dateien – was tun?“

  1. Keine Entwarnung trotz oben genannter Maßnahmen! Auch wieder nur zufällig fand ich heute erneut einen Ordner mit verschlüsselten Dateien. Die Verschlüsselung muss lt. Datum erst passiert sein. Auffällig ist, dass beim Herunterfahren von Windows Updates installiert werden. Doch ich hatte genau darauf geachtet, dass kein Update ansteht. Damit liegt die Vermutung nahe, dass der Trojaner nachlädt und sich modifiziert.

Kommentarfunktion geschlossen.