Trojaner verschlüsselt wichtige Dateien auf dem befallenen Rechner
Vor kurzem ist ein Trojanisches Pferd im Internet aufgetaucht, das auf dem befallenen Rechner Dateien verschlüsselt. Betroffen sind unter anderem alle Dateien mit den Endungen DOC, TXT, PDF, XLS, JPG und PNG.
Erste Versuche, die Dateien wieder zu entschlüsseln, haben sich als nicht sehr Erfolg versprechend erwiesen. Nach Meinung von Fachleuten hätte man 15 Millionen PC ein Jahr lang rechnen lassen müssen um den Schlüssel zu knacken. Alternativ bietet der Autor des Schädlings ein Entschlüsselungsprogramm an, das man angeblich bei ihm kaufen kann.
Es ist leicht ersichtlich, dass man nur schwer wird ein Jahr auf eine wichtige Datei warten können. Zudem ist es absolut nicht sicher, ob man nach der Bezahlung des erpressten Geldes überhaupt ein Entschlüsselungsprogramm bekommt.
Zum Glück für die Betroffenen hat der Autor des Trojaners beim Programmieren geschlampt: das Schadprogramm verschlüsselt nicht die Originaldateien, sondern erstellt eine verschlüsselte Kopie und löscht daraufhin das Original. Zum Löschen verwendet der Schädling allerdings die Löschfunktion von Windows. Dabei wird nicht die Datei an sich gelöscht, sondern nur ein Eintrag im „Inhaltsverzeichnis“ der Festplatte, so dass die Datei nicht mehr angezeigt und irgendwann überschrieben wird.
Wenn man nun schnell genug nach der Infektion nach gelöschten Dateien sucht, so hat man gute Chancen, dass die Originaldateien noch nicht überschrieben wurden. In dem Fall kann man sie mit einem Datenrettungsprogramm wieder herstellen. Die Experten empfehlen hierzu das kostenlose Programm PhotoRec. Es sollte in der Lage seine, die Mehrzahl der gelöschten Dateien wieder herzustellen, falls diese noch nicht wieder durch spätere Dateien überschrieben wurden. Im Idealfall setzt man das Programm also direkt nach der Infektion (und der Löschung des Trojaners!) ein.
Der aktuelle Fall zeigt wieder einmal, wie wichtig eine gute Virenprävention ist. Heute kommt kein PC mehr um den Einsatz eines leistungsfähigen Virenscanners herum.