Zerstörte Dateien – was tun?

Seit langem haben viele Nutzer mit Lösegeldforderungen zu kämpfen, um wieder Zugriff auf ihre Rechner zu erhalten. Die Computer sind mit Ransomware verseucht, einer Software, die Lösegeld (ransom) einfordert. Im folgenden Beispiel zeige ich eine Variante auf, die (noch) kein Lösegeld gefordert hat, allerdings Dateien verschlüsselte, so dass sie unbrauchbar wurden. Ich nutze eine Firewall und Trend Micro Maximum Security. Aber der Trojaner wurde noch nicht erkannt!

Es fing ganz harmlos an: Beim Öffnen einer Datei mit der Endung TXT der Schock: nur kryptische Zeichen. Ich öffnete weitere und stieß auf Inhalte mit chinesischen Schriftzeichen oder irgendwelchen kryptischen Codes. Auch ein Wechsel des Zeichensatzes brachte keine Lösung. Da war mir klar: Hier stimmt etwas nicht!

Alle Dateien hatten eine Gemeinsamkeit: Sie waren an einem bestimmten Tag zu einer ganz bestimmten Uhrzeit geändert worden. Auf der Suche nach Dateien mit genau diesem Änderungsdatum der nächste Schreck: Auch andere Dateiformate, wie CSS, HTML, PHP, JPG, GIF usw. waren betroffen. Sie befanden sich allesamt in einem bestimmten Ordner und dessen Unterordnern. Die erste Maßnahme: löschen und vernichten. Glücklicherweise konnte ich die meisten Dateien von einer Datensicherung zurückspielen.

Es existieren zwar etliche Tools zum Entschlüsseln verschlüsselter Dateien, aber so vielfältig wie diese Werkzeuge sind, so unglaublich viee Varianten der Schädlinge gibt es. Wie will man da noch eingreifen können?

Kollegen berichten von massenhaften Angriffen auf Rechner ihrer Kunden und wie schwer es ist, dem Trojaner beizukommen. Nachfolgende Schritte können dem einen oder anderen Leser vielleicht helfen, seinen Computer wieder flott zu bekommen:
ransomeware_scan

  • Anti-Ransomware Tool: herunterladen und im abgesicherten Modus (Windos-Taste F8 beim Start halten) installieren
  • Rechner durchsuchen: Scan-Taste drücken => die Software listet gefundene Dateien
  • säubern: gefundene Dateien markieren und auf „clean“ drücken
  • Rechner neu starten: Das Tool fordert zum Neustart auf.

Für mich stand die Frage im Raum, ob ich nun auch False Positives erwischt habe. Hierfür wende ich mich demnächst an den Support von Trend Micro.
Zumindest hat das Tool einige Dateien gänzlich gelöscht. Ich musste daher die Maus neu installieren, eine Programm- und eine Windows-Reparatur durchführen und die Windows-Konfiguration (Sound, Ansicht und andere Kleingkeiten) überarbeiten. Mit der Zeit stoße ich vielleicht auf andere Probleme, abwarten.
antiransomeware
Um meinen Computer vor Lock-Schadsoftware zu schützen, installierte ich Anti-Ransomware von Megabytes. Auf der Seite von chip.de findet sich folgender wichtiger Hinweis:

laut Malwarebytes können 2-3 Files befallen werden, bevor der Block greift

Das Programm läuft ohne merkbare Last im Hintergrund.

Nützliche Adressen für Hilfesuchende

Bedrohung

Aktualisierung, 01.03.2016
chat1
Nicht benötigte Dienste habe ich deaktiviert, einige Browser-Add-ons gelöscht (meist manuell) u. v. m. – ein Großaufräumen war angesagt. Das sollte jeder ab und zu tun, nicht nur bei Problemen.
Wie angekündigt habe ich den Trend Micro Support kontaktiert, ebenso die Geräte-Hersteller Evoluent und Auerswald. Das Trend Micro Tool hatte ja einige infizierte Dateien in der Software der Hersteller erkannt. Wie ich bereits vermutete, handelt es sich um False Positives.
Inzwischen habe ich weitere Tools von Trend Micro genutzt, die mir der Support genannt hatte. Zudem folgte ich der Anweisung eines Mitarbeiters, den ich im englischsprachigen Chat kontaktierte, die Tastenkombination Strg+Alt+T+M gleichzeitig zu drücken. Dadurch wurde ein Suchlauf der Trend Micro Software aktiviert, der Computer war in dieser Zeit für sämtliche Arbeiten gesperrt. Nach dem Durchsuchen startete der Rechner automatisch neu. Danach fehlten wiederum die Dateien für die Maus und das Fax (siehe Screenshot oben), die False Positives eben. Aber seitdem scheint der Computer wieder besser zu laufen.

Sehr positiv: Evoluent (per Mail) und Auerswald (telefonisch) reagierten sehr schnell.

The problem you are having isn’t caused by our software. Not all the files
AntiRansomware calls suspicious are bad.

Ähnlich äußerte sich der Mitarbeiter von Auerswald.
Evoluent gab mir den Tipp, verdächtige Dateien mit diesem Tool zu scannen:
Virustotal. Das Ergebnis war einwandfrei:

Virsuscan

Heute habe ich noch keine verschlüsselten Dateien gefunden. Das muss nichts heißen, vermutet auch Claudia Troßmann. Für ihren Beistand und die Ratschläge, u.a. sämtliche Geräte vom Computer zu trennen, wie Router, externe Festplatten usw. Ich empfehle, ihren Beitrag CTB-Locker, Locky und WordPress im Blog zu lesen! An dieser Stelle auch herzlichen Dank für den Rückruf des IT-Experten Christan Perst.

Über Ramona Hapke

Hapke Media bei Google +

Zeige alle Beiträge von Ramona Hapke

Ein Kommentar
  1. Ramona Hapke sagt:

    Keine Entwarnung trotz oben genannter Maßnahmen! Auch wieder nur zufällig fand ich heute erneut einen Ordner mit verschlüsselten Dateien. Die Verschlüsselung muss lt. Datum erst passiert sein. Auffällig ist, dass beim Herunterfahren von Windows Updates installiert werden. Doch ich hatte genau darauf geachtet, dass kein Update ansteht. Damit liegt die Vermutung nahe, dass der Trojaner nachlädt und sich modifiziert.