Verschlüsselungstrojaner sind immer noch ein großes Problem, ein Erfahrungsbericht.
Etwas verzweifelt rief mich diese Woche ein Kunde an, alle Dateien auf seinem Rechner haben eine neue Dateiendung bekommen. Die Dateien haben nun eine .craa Endung und lassen sich nicht mehr öffnen, nachdem eine Software aus dem Internet getestet wurde.
Schnell wurde mir klar, dass hier vermutlich ein Verschlüsselungstrojaner die Ursache ist, was eine kurze Google Suche auch bestätigte. Hinter der Sache steckt die Djvu Ransomware, welche seit vielen Jahren ihr Unwesen treibt. Sobald man sich das Ding eingetreten hat, fängt die Software im Hintergrund an, die Daten zu verschlüsseln.
Betroffen sind Dokumente, Textdateien, Bilder, Videos.
Zusätzlich legt der Trojaner eine “readme” Datei ab, welche das Opfer entsprechend informiert und das Geld einfordert.
Preislich richtet sich die Variante an Privatanwender. Knapp 1000 Dollar werden fällig und in den ersten 72 Stunden gibt es einen Rabatt. Eine Datei darf man kostenlos entschlüsseln lassen, als Beweis, dass die Gauner in der Tat über den Schlüssel verfügen.
Ob das in der Praxis klappt, haben wir nicht ausprobiert. Ohnehin ist es keine gute Idee, den Betrügern auch noch Geld hinterherzuwerfen und daher sollte man dies nur in absoluten Ausnahmefällen überhaupt erwägen. Besser ist ein Backup bzw. eine Backupstrategie. Dazu später mehr.
Rechner bereinigen
Als erste Maßnahme sollte der Rechner vom Internet getrennt werden. Anschließend sollte der Rechner heruntergefahren werden. Dies stoppt ggf. eine weitere Verschlüsselung von Dateien.
USB-Festplatten sollten vom Rechner getrennt werden. Sofern ein komplettes Backup des Systems vorhanden ist, kann dieses eingespielt werden.
Eine Bereinigung ist möglich, sollte aber ohne gestartetes Betriebssystem durchgeführt werden, z.B. mit Windows ToGo.
Sofern es kein Backup ist, sollte eines erstellt werden, z.B. ebenfalls aus Windows ToGo heraus. Die Dateien sollten nicht direkt weiterverwendet werden, sondern dienen erstmal nur als weitere Sicherheit, z.B. für den Fall, dass Windows neu installiert wird.
Windows neu zu installieren, ist die sicherste Variante. Wer ein Backup der Daten hat, für den ist dies der beste Weg.
Entschlüsselung mit Tool
Ich habe mir ein paar Dateien zusenden lassen. Alles Textdateien. Ein Blick in die Datei zeigt das Desaster. Lesbar ist hier nichts mehr, alles ist verschlüsselt.
Etwas Hoffnung gibt es in Form eines Entschlüsselungstools. Allerdings dämpft dieses bereits beim Start die Hoffnung.
Eine Entschlüsselung ist derzeit nur für alte Varianten möglich, bzw. für Schlüssel, welche bereits bekannt sind. In unserem Fall heißt es “Pech gehabt”.
Natürlich wissen auch die Entwickler der Ransomware, dass es diese Programme zur Entschlüsselung gibt und passen ihre Software entsprechend an.
Links
Keine Entschlüsselung möglich? Was nun?
Sofern keine Entschlüsselung möglich ist, sollten die verschlüsselten Daten nicht gelöscht werden. Es bietet sich hier eine Archivierung an. So ist es möglich, dass die Schlüssel irgendwann bekannt werden und das Entschlüsselungstool diese in der Zukunft verwenden kann.
Backup-Strategie für Privatanwender
Wie beugen Privatanwender vor? Die Antwort lautet in erster Linie Backups. Idealerweise machen wir regelmäßig ein Backup auf mindestens zwei USB-Festplatten. Davon sollte eine nicht immer am Rechner hängen, da diese sonst gleich mit verschlüsselt wird.
Haben wir ein Backup, können wir die Dateien nach dem Befall wieder einspielen. Idealerweise machen wir auch ein regelmäßiges Backup unseres Rechners, sodass wir diesen nicht bereinigen müssen, sondern zu einem früheren Stand zurückkehren können.
Nutzung von Clouddiensten
Eine weitere gute Option ist die Nutzung von Clouddiensten, wie Microsoft OneDrive. Die Dateien werden außer Haus auf den Servern des jeweiligen Anbieters gespeichert. Auch hier würden die lokalen Dateien verschlüsselt und anschließend mit dem Cloud-Dienst synchronisiert, allerdings speichern die Cloud-Dienste ältere Versionen der Dateien, sodass diese wiederherstellbar sind. Viele Cloud-Dienste erkennen auch, wenn ein Verschlüsselungstrojaner aktiv wird und blockieren die Änderungen.
Auch ist es möglich, den alten Stand des Cloud-Dienstes wiederherzustellen.
Grundsätzlich empfiehlt sich eine parallele Nutzung von Cloud und lokaler Sicherung.
Fazit
In unserem Fall lief es nicht besonders optimal. Ein Backup gab es nicht und die Dateien sind damit erstmal verschlüsselt. Zumindest für die Zukunft wurde nun eine Backupstrategie entwickelt.
