Erpressungstrojaner (Ransomware) sind eine echte Geißel der Menschheit – was man leider immer erst dann realisiert, wenn es einen selbst erwischt hat. Ein gewöhnlicher Computervirus ist gegenüber der Verschlüsselung aller Bilder und Dokumente regelrecht harmlos, gerade wenn an letzterem ein kleines Business hängt. Seit kurzem ist der bekannte Erpressungstrojaner "Locky" in einer neuen Variante unterwegs – die Folgen dessen konnte ich soeben bei einem Bekannten sehen: 17.000 Dateien innerhalb gut einer halben Stunde verschlüsselt (der Fluch eines schnellen PCs) – und damit den Geschäftsablauf mehr als erheblich gestört, die benötigte Arbeit zur Wiedererlangung all dieser Dateien (meistens Bilder von Mietobjekten) dürfte Monate in Anspruch nehmen.

Wenn das Kind bereits derart tief in den Brunnen gefallen ist, helfen leider auch die meisten der im Internet zu findenden Rettungs-Anleitungen nicht mehr weiter. Wobei bei diesen genauso Vorsicht angesagt ist, mehr als genügend Rettungsanleitungen spulen nur allgemeine Hinweise ab, um dann am Ende irgendein obskures bzw. im besten Fall für die konkrete Aufgabe nutzloses Programm anzupreisen. Demzufolge soll an dieser Stelle eine kleine Anleitung folgen, was im Fall eines Erpressungstrojaner zu tun wäre:

Ob man etwas retten kann, ist reines Glück – darauf vertrauen sollte man nicht. Auch die Entwickler von Erpressungstrojanern verbessern ihre Software, somit dürfte die Fälle von funktionierenden Entschlüsselungs-Tools in Zukunft eher weniger als mehr werden. Auch auf irgendwann in der Zukunft auftauchende Entschlüsselungs-Tools braucht man nicht vertrauen – die bisherigen Fälle hierzu basieren auf speziellen Situationen wie schweren Fehlern in der Software oder aber der regelrechten Verhaftung der entsprechenden Hackergruppe. Im konkreten Fall bei der Infektion mit einer neuen Locky-Variante ist es beispielsweise unwahrscheinlich, noch irgendetwas der 17.000 verschlüsselten Nutzer-Daten jemals wiederzubekommen.

Das Lösegeld zu bezahlen, wäre natürlich auch noch ein möglicher Weg. In aller Regel weisen einem die Entwickler der Erpressungstrojaner einen Weg ins TOR-Netzwerk und verlangen dort dann die Überweisung von Bitcoins. Leider liegen zu wenige Erkenntnisse dazu vor, ob dies funktioniert – sprich, ob man nach der Zahlung des Lösegelds wirklich das passende Entschlüsselungs-Programm samt passendem Entschlüsselungs-Code bekommt. In den Medien wurde vor einiger Zeit über den Fall eines US-Krankenhauses berichtet, welches tatsächlich seine Daten nach Zahlung des Lösegelds entschlüsselt bekam. Aber dies ist ein spezieller Einzelfall und sicherlich nicht auf "Otto Normalsurfer" umzulegen. Vor allem fehlt ein sicherer Weg vorab zu verifizieren, ob man wirklich den passenden Entschlüsselungs-Code bekommt. Es ist somit ein Geschäft auf Treu und Glauben – etwas, wofür sich die Betreiber von Erpressungstrojanern denkbar schlecht eignen.

Wenn man diesem ganzen Wahnsinn doch lieber entgehen will, seien drei einfache Maßnahmen empfohlen: Erstens einmal, mit aktivem Radar zu surfen sowie eMails zu lesen. Die gilt insbesondere dafür, welche eMails und welche eMail-Anhänge geöffnet werden. Zweitens sei nochmals unsere Anleitung zum Schutz gegenüber Erpressungstrojanern von diesem Februar empfohlen. Die dort beschriebenen Schutzmaßnahmen ergeben kaum eine Nutzereinschränkung, sind aber sehr mächtig, da auch Erpressungstrojaner in aller Regel den einfachstmöglichen Weg wählen. Im konkreten Fall hätte beispielsweise die dort bereits beschriebene Deaktivierung des "Windows Scripting Hosts" die festgestellte Locky-Infektion glatt verhindert. Und drittens gibt es eine Maßnahme, die immer und für alle Fälle gilt und hilft: Backups, Backups, Backups! Und diese logischerweise auf externen Festplatten, die natürlich nicht die gesamte Zeit über am Rechner hängen (sofern nur periodisch fürs Backup angeschlossen werden).