Rettung bei Erpresser-Software: So entschlüsseln Sie Locky

Erpresser-Software verschlüsselt Daten und gibt sie nur gegen ein Lösegeld wieder frei. Eine Sicherheitsexpertin will ein Heilmittel dagegen gefunden haben.

von Michael Kurzidim 03.03.2016

Ransom-Software verschlüsselt Daten auf dem Desktop oder dem mobilen Device und gibt sie nur gegen Zahlung eines Lösegeldes wieder frei. Der Erpresser-Trojaner Locky machte in den letzten beiden Wochen von sich reden. Meist schleicht sich die Malware über ein Mailattachment auf das Gerät des Anwenders. Am besten ist natürlich, man klickt erst gar nicht auf bösartige Mailanhänge. Aber was tun, wenn man dem Erpresser bereits auf den Leim gegangen und der Zugriff auf die eigenen Daten gesperrt ist?

Backups helfen nicht immer

Experten empfehlen, aus Sicherheitsgründen täglich Backups zu machen. Verschlüsselt dann ein Erpresseralgorithmus die aktuellen Daten, kann man auf unverschlüsselte Daten auf dem Backup-Medium zurückgreifen. Schlimmstenfalls gehen die Daten eines Tages verloren. Dumm nur: Die Backup-Methode hilft nicht gegen sogenannte Schläfer. Schlafende Erpresser-Software bleibt zunächst inaktiv und schlägt erst im Abstand von einigen Tagen oder Wochen zu. Das Resultat: Beim Recovery, der Wiederherstellung, verschlüsselt der Trojaner auch die Backup-Daten.

Stellar Datenrettung ist es jetzt gelungen, die Daten eines Schweizer Mittelständlers zu «befreien». Die Firma hatte den Job am 17. Februar eingereicht. Ein Kryptovirus hatte die Daten auf einer Maxtor-HDD dechiffriert. Am 1. März konnte Stella die Daten wieder herstellen.

Erfolgsquote: 70 Prozent

In etwa 70 Prozent aller Fälle gelinge die Wiederherstellung der verschlüsselten Informationen, gab Stellar gegenüber Computerworld an. Garantien gäbe es jedoch keine, denn der Erfolg der Rettungsaktion hänge auch davon ab, welche Daten durch einen Erpresservirus verschlüsselt worden seien. Beim Schweizer Mittelständler, den Stellar Datenrettung als Referenz angibt, bestanden die wichtigen Firmendaten vor allem aus Fotos im JPG-Format, aber auch XLS- und DOC-Dateien waren dabei. «Wir konnten 16 GB zurückholen», so Stellar gegenüber Computerworld.

Die Zeitspannen, die für die Rettung benötigt werden, sind von Fall zu Fall unterschiedlich. Es könne drei bis vier Wochen dauern, oft auch schon schneller. In der Schweiz wüte der Cryptowallvirus besonders stark oder die Betroffenen meldeten sich einfach schneller. Im Ländervergleich Deutschland, Niederlande, Schweiz liege die Schweiz punkto Anzahl Cryptofälle klar an der Spitze.

Zum genauen Procedere der Wiederherstellung, also den technischen Details, will Stellar «aus wettbewerbsrechtlichen Gründen» keine Angaben machen. «Dann steigt uns unsere R&D-Abteilung aufs Dach.»


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.