Erpresst von einem Computervirus

So meldet sich das Erpresservirus, nachdem es die Daten des Benutzers unbrauchbar gemacht hat. Bild: PD

Gestern habe ich auf einer Website Besuch von einem Virus erhalten. Ich kann nun keine Bilder oder Dateien mehr öffnen. Es heisst: «All your files were protected by a strong encryption with RSA-2048 using CryptoWall.» Soll ich ein Recovery machen, oder muss die Festplatte ersetzt werden?
Ernst Burgdorfer, Walenstadt

Sie haben sich eine «Ransomware» eingehandelt, also ein erpresserisches Computervirus. Es verschlüsselt Ihre Daten und verspricht, sie wieder freizugeben, wenn Sie ein erkleckliches Sümmchen herausrücken – beim «CryptoWall»-Virus 500 Euro oder 1,22 Bitcoins.

Stellt sich die Frage: Zahlen oder nicht zahlen? Meine Empfehlung ist, kein Lösegeld zu überweisen. Zahlungswillige Opfer gehen oft leer aus. Und zwar nicht einmal deswegen, weil die Erpresser nicht gewillt wären, Ihnen den Schlüssel zur Dechiffrierung der ­Daten auszuhändigen (obwohl das auch ein Grund sein kann). Meist sind die Websites, über die die Schlüssel hätten übermittelt werden sollen, nicht erreichbar, weil die Ermittlungsbehörden sie vom Netz genommen haben.

Ohne den Schlüssel lassen sich die Daten nicht wiederherstellen. Die RSA-2048-Verschlüsselung lässt sich nicht brechen. Es mag bei einzelnen Varianten dieser Schadprogramme die Möglichkeit geben, sie durch eine Lücke im Programmcode auszuhebeln – das verspricht Symantec zumindest zum «CryptoLocker»-Virus, das im September 2013 aktiv war. Bei den Nachfolgern, zu denen «CryptoWall» zählt, scheint es keine solche Lücke zu geben.

Das heisst: Gängige Sicherheitsprogramme (zum Beispiel Norton Power Eraser) entfernen das Virus. Ihre Bilder und Dokumente sind ohne Datensicherung aber leider verloren. Verwenden Sie möglichst eine Sicherungsmethode mit Versionierung. Die erlaubt es, auf frühere Versionen zuzugreifen. So gelangen Sie selbst dann an die unverschlüsselte Version Ihrer Dokumente und Bilder, wenn die verschlüsselten Versionen bereits datengesichert wurden. Bei Windows 8 bietet sich der «Dateiversionsverlauf» an. Bei Windows 7 könnten die Vorgängerversionen helfen. Diese Funktion wird, zusammen mit anderen Backup-Methoden, hier vorgestellt.

Update vom 8. August:

Melani stellt eine Methode vor, mit der sich von «CryptoLocker» verschlüsselte Dateien entschlüsseln lassen. Bei anderen Erpresserviren ist die Entschlüsselung nach wie vor nicht möglich – aber es sinnvoll, die Daten für den Fall aufzubehalten, falls in Zukunft eine Entschlüsselungsmethode bekannt werden sollte.

Erstellt: 08.08.2014, 09:13 Uhr