Die neuen Erpresser-Trojaner kommen: So schützen Sie sich im Frühjahr 2019 wirksam
© sdecoret - Adobe Stock

Die neuen Erpresser-Trojaner kommen: So schützen Sie sich im Frühjahr 2019 wirksam

Sichern Sie Ihre Daten regelmäßig auf separaten Medien
Veröffentlicht am
Zuletzt aktualisiert am

Der Trojaner Rapid verschlüsselt zum Beispiel zuerst Ihre Daten und sucht dann gezielt nach Ihren Sicherheitskopien, damit Sie Ihre Daten nicht wiederherstellen können. Speichern Sie nach der Infektion weitere Dateien auf dem PC ab, werden auch diese verschlüsselt. Das erschwert das Entfernen des Schadprogramms. Der Trojaner Ordinypt sieht auf den ersten Blick aus wie ein gewöhnlicher Erpresser-Trojaner und verlangt nach der Infektion Ihres PCs ein Lösegeld. Das Schadprogramm verschlüsselt Ihre Dateien jedoch nicht nur, sondern verkleinert sie auf 1 Prozent der ursprünglichen Größe. Laut dem Sicherheitsunternehmen G DATA sind Ihre Dateien anschließend nicht wiederherzustellen. Es ist daher ganz wichtig, dass Sie für den Notfall eine aktuelle Datensicherung mit allen Ihren Daten vorhalten. 

Erpresser-Trojaner erkennen Sie leicht, denn sie machen durch eine Meldung beim Windows-Start sehr deutlich und unübersehbar auf sich aufmerksam. Die Meldung informiert Sie darüber, dass Ihre Daten verschlüsselt wurden.

Das Lösegeld wird meist in US-Dollar oder Euro angegeben. Teilweise fordern die Erpresser auch die digitale Währung Bitcoin.

Warnung: Die Webseite ID Ransomware der Sicherheitsfirma MalwareHunterTeam warnt seit Herbst 2017 vor dem neuen Erpresser-Trojaner nRansom, der als Lösegeld mindestens 10 Nacktbilder von seinen Opfern fordert. Die Nacktbilder der Opfer wollen die Täter im Internet verkaufen. Schicken Sie im Notfall keine Bilder. Drücken Sie stattdessen die Tastenkombination STRG+ALT+SHIFT+F4, wenn der Sperrbildschirm erscheint. Sie heben damit die Windows-Blockade durch das Schadprogramm auf und können es anschließend über Ihr Antiviren-Programm entfernen lassen. 

Diese 7 Vorsichtsmaßnahmen schützen Sie im Vorfeld

Damit es erst gar nicht zu einer Erpressung kommt, rate ich Ihnen zu diesen 7 einfachen Vorsichtsmaßnahmen:

1. Verwenden Sie nach Möglichkeit einen PC mit Windows 64 Bit, denn viele Erpresser-Trojaner funktionieren nur mit Windows 32 Bit.

2. Erpresser-Trojaner werden hauptsächlich per E-Mail verteilt. Öffnen Sie daher keine E-Mail-Anhänge, die Sie nicht erwarten. Klicken Sie nicht auf Links in E-Mails.

3. Installieren Sie kein Programm, das ich Ihnen nicht empfohlen habe oder das Sie selbst sehr gut kennen und für hundertprozentig unbedenklich halten.

4. Laden Sie die empfohlenen Schutzprogramme immer nur über unsere sichere Service-Webseite herunter: www.pc-sicherheitsberater.de.

5. Vertrauen Sie keinem fremden Datenträger. Insbesondere USB-Sticks sind häufig mit Schadprogrammen verseucht. Schon das Anstecken reicht, Ihr PC ist infiziert, wird sofort gesperrt und Ihre Daten werden verschlüsselt.

6. Verwenden Sie für fremde Internetseiten einen sicheren Browser wie Browser in the Box, der Sie durch den abgeschotteten Speicherbereich vor Erpresser-Trojanern schützen kann. Den Browser erreichen Sie über unsere sichere Service-Webseite www.pc-sicherheitsberater.de.

7. Erstellen Sie regelmäßig eine Sicherung von Windows und Ihren Daten, damit Sie im Notfall darüber Ihr Betriebssystem, Ihre Programme und Ihre Daten zurückerhalten. Rufen Sie zur Datensicherung die Systemsteuerung über das Start-Menü auf und wählen Sie SichernundWiederherstellen.

3 Schritte reichen: So erhalten Sie Ihre verschlüsselten Daten im Ernstfall wieder zurück

Sollte Ihr PC trotz aller Sicherheitsvorkehrungen verschlüsselt werden, unternehmen Sie mit den folgenden drei Schritten einen Rettungsversuch.

Schritt 1: Erstellen Sie einen Rettungs-Datenträger

Sie benötigen das Programm Kaspersky-Rettungs-Disk 10 auf einer CD, DVD oder einem USB-Stick. Ist Ihr PC bereits infiziert, verwenden Sie zum Anlegen des Rettungs-Datenträgers einen anderen, sauberen PC:

1. Laden Sie die Datei zum Erstellen Ihrer Rettungs-Disk hier herunter.

2. Klicken Sie die heruntergeladene Datei kav_rescue_10.iso mit der rechten Maustaste an und wählen Sie aus dem Kontextmenü den Eintrag Datenträgerabbild brennen oder den entsprechenden Befehl Ihres Brennprogramms, wie zum Beispiel Nero. 

Schritt 2: Entsperren Sie Windows mit WindowsUnlocker

Ihr installiertes Windows ist durch den Erpresser-Trojaner blockiert. Starten Sie Ihren PC daher mit der Kaspersky-Rettungs-Disk 10 und entsperren Sie den PC mit WindowsUnlocker:

1. Drücken Sie eine beliebige Taste, damit der Start über die CD bzw. den USB-Stick erfolgt.

2. Wählen Sie mit den Pfeiltasten die Sprache Deutsch und drücken Sie die Eingabetaste.

3. Wählen Sie als Startart den Grafikmodus und drücken Sie die Eingabetaste.

4. Drücken Sie 1, um die Endbenutzerlizenz zu bestätigen.

5. Klicken Sie auf die blaue Kaspersky-Start-Schaltfläche.

6. Wählen Sie Terminal und geben Sie anschließend den Befehl windowsunlocker gefolgt von der Eingabetaste ein. Der Erpresser-Trojaner wird nun entfernt und Windows startet wieder. Aber Ihre Dateien sind noch verschlüsselt.

Schritt 3: Entschlüsseln Sie Ihre Dateien

Ich zeige Ihnen nun am Beispiel der weitverbreiteten Erpresser-Trojaner Bitcryptor und CoinVault, wie Sie Ihre verschlüsselten Dateien retten. Dazu verwenden Sie das Tool CoinVaultDecryptor der Firma Kaspersky:

1. Laden Sie das Archiv CoinVaultDecryptor.

2. Öffnen Sie die ZIP-Datei wie einen Ordner mit dem Windows-Explorer und starten Sie das Programm CoinVaultDecryptor.exe.

3. Klicken Sie auf Start scan.

4. Geben Sie über das Dateifenster den Ordner mit der Datei filelist.cvlst an. Die Datei stammt von dem Erpresser-Trojaner und enthält eine Liste aller verschlüsselten Dateien.

5. Das Programm sucht nun nach einer verschlüsselten Datei und probiert daran alle gespeicherten CoinVaultSchlüssel aus, bis es den richtigen findet. Mit diesem Schlüssel werden Ihre Dateien entschlüsselt.

6. Voreingestellt werden die Namen der entschlüsselten Dateien geändert und decryptedKLR wird hinzugefügt. Aus EineDatei.doc wird also beispielsweise die Datei EineDatei.decryptedKLR.doc.

7. Öffnen Sie die entschlüsselten Dateien testweise. Treten beim Öffnen keine Fehler auf und die Dateien sind inhaltlich vollständig lesbar, ändern Sie den Dateinamen in den ursprünglichen Namen.

Sind die Dateien nicht lesbar, ist das Entschlüsseln fehlgeschlagen. Das kann passieren, wenn es sich bei dem Erpresser-Trojaner um eine neuere Version handelt, deren Dateien sich noch nicht wiederherstellen lassen. Stellen Sie die Dateien dann über Ihre Datensicherung wieder her.

Wenn Sie mehr über Gefahren durch Trojaner erfahren möchten, testen Sie jetzt ohne Risiko "PC-Wissen für Senioren" - hier klicken!