Foto: Bacho - Shutterstock.com
Erpresserviren zählen für PC-Nutzer aktuell zu den ärgsten Bedrohungen. Laut Sicherheitsspezialist Kaspersky sind im ersten Quartal 2016 rund 30 Prozent mehr dieser Schädlinge aufgetaucht. Der Erpresservirus Locky etwa infizierte in seiner Hochphase Anfang 2016 bis zu 5000 Rechner in einer Stunde. Auch der Schädling Petya ist sehr verbreitet. Er überschreibt auf einem befallenen Rechner den Master Boot Record und verhindert so den Zugriff auf die Festplatte. Weitere Schädlinge wie Cryptowall oder Teslacrypt verschlüsseln auf tausenden PCs alle wichtigen Dateien und fordern dann, wie die anderen Erpresserviren auch, ein Lösegeld für die Freigabe. Hier finden Sie alle wichtigen Infos zu der Bedrohung durch diese Schädlinge, und Sie erfahren auch, wie Sie im Notfall richtig reagieren.
1. Was sind Erpresserviren und wie funktionieren sie?
Erpresserviren nehmen Ihnen etwas weg und fordern für die Rückgabe ein Lösegeld. Es gibt mehrere Arten von Erpresserviren.
Desktop-Locker: Schädlinge dieser Art sperren den Log-in zu Windows und zeigen stattdessen eine erpresserische Nachricht an. Darin steht, wie das Opfer das Lösegeld bezahlen soll. Schädlinge dieser Art gibt es bereits seit Jahren. Sie versuchen oft, den Druck auf das Opfer zu erhöhen, indem sie vorgeben, vom Bundeskriminalamt (BKA) zu stammen. In der Nachricht behaupten sie, illegale Dateien auf dem PC gefunden zu haben. Varianten dieser Schädlinge geben vor, von Microsoft zu stammen und geben vor, illegal genutzte Software festgestellt zu haben. Desktop-Locker sind nicht mehr so aktiv, da die Kriminellen deutlich gefährlichere Schädlinge entwickelt haben: die Verschlüsselungstrojaner.
Verschlüsselungsviren: Schädlinge dieser Art verschlüsseln Ihre Dateien meist abhängig vom Dateityp. So werden beispielsweise alle Dateien mit den Endungen .jpg, .docx und .xlsx unbrauchbar gemacht. Da es sich um Anwenderdateien handelt, benötigt der Schädling keine besonderen Zugriffsrechte. Neuere Varianten versperren den Zugang zur kompletten Festplatte.
Auch diese Schädlinge fordern ein Lösegeld. Nur wer den Kriminellen das Geld überweist, hat die Chance, wieder an seine Daten zukommen. Als Zahlungsmittel sind meist Bitcoins oder Paysafe-Karten vorgesehen, da so der Empfänger anonym bleiben kann.
Einige der Schädlinge erhöhen den Druck auf ihre Opfer, indem sie mit einem Ultimatum drohen. Wer etwa nicht innerhalb eines Tages das Lösegeld in Höhe von 200 Dollar zahlt, muss anschließend 400 Dollar bezahlen. Und wer nach einer Woche noch nicht gezahlt hat, dessen Daten werden unwiederbringlich zerstört. Fatalerweise werden diese Drohungen auch wahr gemacht.
Weitere Schädlinge: Die Masche mit der Erpressung macht die Kriminellen erfinderisch und lässt sie neue Angriffsvarianten ausprobieren. Wie der Antivirenhersteller Panda Security berichtet, haben bereits Erpresserattacken auch auf Websites stattgefunden. Die Kriminellen brechen über Sicherheitslücken in Wordpress in die Server ein, verschlüsseln den Inhalt und ersetzen die Startseite index.html oder index.php durch ihre Erpressernachricht. Auch für Apple-Rechner sind bereits Erpresserschädlinge aufgetaucht, wenn auch mit einer viel geringeren Verbreitung, als es unter Windows der Fall ist.
Übrigens: Meist wird bei den Erpresserviren von Trojanern gesprochen, etwa Crypto-Trojaner, Verschlüsselungstrojaner oder Erpressungstrojaner. Als Trojaner werden generell Schädlinge bezeichnet, die sich nicht selbstständig verbreiten, sondern mit einem Trick auf dem PC platziert werden. Als englischsprachiger Oberbegriff dient Ransomware (ransom gleich Lösegeld) oder Locker für Schließfach. Wie in der Computerwoche üblich gilt "Virus" als Oberbegriff für schädlichen Code jeder Art.
2. Warum sind Erpresserviren so stark verbreitet?
Sehr gut gemachte PC-Viren konnten sich schon immer an einem installierten Antivirenprogramm vorbeischleichen. Das gelingt den Schädlingen, wenn ihr Code neu ist und der Antivirenhersteller ihn deshalb noch nicht kennt. Zudem aktivieren sich diese Schädlinge auf eine bis dahin unbekannte Weise. So überlisten sie die verhaltensbasierte Erkennung des Antivirenprogramms. Den Viren diese Tricks beizubringen, erfordert aber viel Zeit und Geld. Doch offensichtlich verdienen die Kriminellen mit den Erpresserviren reichlich und haben dadurch die nötigen Ressourcen zur Verfügung, um ihre Viren weiter zu optimieren, so dass sie von einem Schutzprogramm nicht erkannt werden.
Ein konkretes Beispiel dafür hat der Antivirenhersteller Trendmicro analysiert. Laut den Experten nutzt eine Variante der Erpressersoftware Locky nicht nur die bereits bekannten Sicherheitslücken in Adobe Flash aus, sondern auch eine im Windows-Kernel. Die Angriffsroutine sieht dadurch wie ein legitimer Windows-Systemprozess aus, denn sie schleicht sich in das Windows-Programm svchost.exe ein. Der Schädling erzeugt selbst keine Dateien, sondern startet ausschließlich im Arbeitspeicher. Das macht es selbst modernen Abwehrmechanismen wie der Sandbox-Technologie oder der Verhaltensanalyse schwer, den Angriff zu erkennen und zu verhindern.
Für technisch Interessierte: Konkret nutzt die von Trendmicro untersuchte Locky-Variante die Sicherheitslücke CVE-2016-1019 im Adobe Flash Player und die Lücke CVE-2015-1701 im Windows-Kernel. Letztere erlaubt es dem Schadcode, sich höhere Nutzerrechte im befallenen System einzuräumen. Der Code kompromittiert den Windows-Systemprozess svchost.exe, der für das Hosten von Services zuständig ist. Zudem prüft der Code die auf dem befallenen System eingesetzte Windows-Version. Erweist sie sich als nicht angreifbar für die Verschlüsselung, stellt er stattdessen eine Verbindung zum Kontrollserver der Kriminellen her. So kann der Code zu einem späteren Zeitpunkt Befehle erhalten, etwa zum Download von geändertem Schadcode, der dann eine erpresserische Verschlüsselung auf dem Rechner vornehmen kann.
Der Sicherheitsexperte Udo Schneider von Trendmicro nennt dieses Vorgehen ausgeklügelt. "Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, sodass auch der von der Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint."
Quick-Tipps gegen Erpresserviren Aktuelle Erpresserviren verschlüsseln Ihre Dateien und fordern für die Freigabe Lösegeld. Diese drei grundlegenden Tipps zu Ihrem Schutz sollten Sie kennen. 1. Die beste Versicherung gegen Erpresserviren ist ein stets aktuelles Daten-und System-Backup. Erstellen Sie am besten jetzt gleich eine aktuelle Sicherung. Lagern Sie diese vom Rechner getrennt. 2. Antivirenhersteller entwickeln laufend Entschlüsselungstools, mit denen sich die von verbreiteten Erpresserviren gefangen genommenen Daten wieder entschlüsseln lassen. Allerdings vergehen oft viele Wochen, bis ein solches Tool bereitsteht, und gegen einige Schädling gibt es keine Entschlüsselungstools. Sind bei Ihnen sehr wertvolle Daten verschlüsselt worden und ist aktuell auch kein Entschlüsselungstool zu finden, könnte eine Zahlung des Lösegelds sinnvoll sein. Es ist allerdings nicht gewährleistet, dass Sie für Ihr Geld auch einen funktionierenden Schlüssel erhalten. 3. Mit Spezialtools können Sie sich gezielt gegen Verschlüsselungsviren schützen. Nutzen Sie zusätzlich zur Ihrer Antivirensoftware das Tool Bitdefender Anti-Ransomware oder das Malwarebytes Anti-Ransomware. |
3. Wie kommt der Schadcode auf meinen PC?
Als Verbreitungsweg nutzen die Erpresserviren die klassischen Pfade für PC-Schädlinge.
Mails: Erpresserviren kommen hauptsächlich über spamartig verbreitete Mails. Doch anders als viele Spammails sind diese Nachrichten meist sehr gut gemachte Trickmails. Das Aussehen der Mails wirkt echt, die Nachricht scheint plausibel, und der Anhang ist meist ein harmlos wirkendes PDF oder eine Word-Datei. So öffnen die Empfänger der Nachricht häufig das angehängte Dokument. In der Datei befinden sich aber gefährliche Codeteile, die Sicherheitslücken von Word oder dem Acrobat Reader ausnutzen und im nächsten Schritt weiteren Code, meist den eigentlichen Verschlüsselungstrojaner, aus dem Internet nachladen und auch gleich starten.
Als schwer kontrollierbare Download-Quelle nutzen die Kriminellen übrigens auch private Dropbox-Konten. Die Kontrolle über diese Konten können sie entweder über gestohlene Log-in-Daten erlangen, oder der schädliche Code erschleicht sich den Zugriff über zuvor befallene PCs.
Peer2Peer-Netze: In diesen Netzen tarnen sich die Erpresserviren als Aktivierungscodes für beliebte Software, etwa Microsoft Office oder Adobe Photoshop. Es handelt sich um EXE-Dateien, die vom Opfer bereitwillig gestartet werden, da es einen Key-Generator erwartet. Tatsächlich starten sie den Schadcode, der entweder umgehend mit der Verschlüsselung der Dateien beginnt oder aber erst noch den eigentlichen Verschlüsselungstrojaner aus dem Internet nachlädt.
Websites: Einige Erpresserviren sollen auch über Werbebanner auf eigentlich harmlosen Websites auf die PCs gelangt sein. In den vergangenen Monaten ist dazu allerdings nichts mehr bekannt geworden.
4. Wenn ein Erpresservirus meine Daten sperrt: Soll ich zahlen?
Sicherheitsexperten empfehlen in der Regel, das Lösegeld nicht zu zahlen. Denn Sie können sich nicht darauf verlassen, dass Sie nach der Zahlung einen funktionierenden Code zum Entschlüsseln oder Entsperren erhalten. Zum anderen würde man mit einer Zahlung die Kriminellen dazu ermutigen, weiter Schädlinge zu verbreiten. Mit Ihrem Lösegeld bezahlen Sie also indirekt die Entwicklung weiterer Erpresserviren.
Doch das ist nur die eine Seite. Viele Betroffene sehen für sich keinen anderen Ausweg, als das Lösegeld zu bezahlen. Es fehlt ihnen schlichtweg ein Backup ihrer wichtigen Daten.
Leider sind in den vergangen Monaten auch die PCs von etlichen Krankenhäusern mit Erpresserviren verseucht worden. Von einem US-Hospital wurde bekannt, dass es rund 17 000 Dollar in Form von 40 Bitcoins gezahlt hat . Auch in Deutschland sind laut Presseberichten in diesem Jahr wohl mindestens fünf Krankenhäuser Opfer von Erpresserviren geworden. Wie viele von ihnen gezahlt haben, ist nicht bekannt. Im März 2016 hatte sich aber die Stadt Dettelbach bei Würzburg dazu entschieden, das Lösegeld zur Befreiung der gefangen genommenen Daten zu zahlen. Der Erpresservirus Teslacrypt hatte sich dort erfolgreich über einen Mailanhang in das IT-System geschleust. Dettelbach zahlte rund 500 Dollar in Form von Bitcoins und erhielt einen Code, mit dem sich die meisten Daten wiederherstellen ließen. Es gibt also viele Betroffene, die bezahlt haben.
Grundsätzlich gilt: Einen Erpresservirus, der nur den Zugang zu Windows sperrt, bekommen Sie auch ohne Zahlung des Lösegelds wieder los (Punkt 5). Anders sieht es bei Schädlingen aus, die Ihre Daten verschlüsseln. Wenn Sie kein Backup Ihrer wertvollen Daten haben, kann die Zahlung des Lösegelds eine Chance sein, die Dateien zurückzuerhalten. In einigen Fällen lassen sich die gekidnappten Daten aber auch mit Tools retten (Punkt 6).
Übrigens: Ende Mai haben die Macher des Erpresserschädlings Teslacrypt das Ende ihrer Machenschaften verkündet und den Generalschlüssel für alle Opfer zur Verfügung gestellt. Nun können Sie beispielsweise mit dem Tool Eset Teslacrypt Decrypter gefangene Dateien befreien.
5. Wie reagiere ich richtig, wenn mein PC betroffen ist?
Desktop-Locker: Falls Ihnen der Zugriff auf Windows verwehrt wird, sollten Sie der erpresserischen Meldung natürlich keinen Glauben schenken: Weder das BKA oder das FBI noch Microsoft oder Adobe haben Ihren PC gesperrt. Das waren die kriminellen Virenverbreiter. Versuchen Sie zunächst die einfachen Tricks. Der simpelste Desktop-Locker zeigt einfach ein Bild mit der erpressereischen Nachricht im Vollbildmodus an. Die Tasten Esc oder F11 verkleinern das Bild und Sie haben wieder Zugriff. Schwerere Geschütze sperren den Log-in tatsächlich. Versuchen Sie es mit dem abgesicherten Modus von Windows. Dazu drücken Sie vor dem Starten von Windows die Taste F8 (bis Windows 10) oder die Tastenkombination Strg-F8 (Windows 10). Konnten Sie so den abgesicherten Modus wählen, starten Sie über die Tastenkombination Windows-R und die Eingabe von msconfig.exe die Systemkonfiguration. Auf der Registerkarte "Systemstart" suchen Sie nach unerwünschten Einträgen und entfernen diese.
Gelingt der Start in den abgesicherten Modus nicht, empfiehlt sich das Booten des PCs mit einer Notfall-DVD, etwa der PC-WELT Notfall-DVD . Damit können Sie Ihre Daten zur Sicherheit auf ein externes Medium kopieren. Anschließend sollte ein Scan mit dem integrierten Antivirentool von Avira den Schädling aufspüren und beseitigen. Klappt das nicht, starten Sie Ihren Rechner mit der Bitdefender Rescue-CD und scannen ihn mit diesem Tool.
Verschlüsselungstrojaner: Die meisten dieser Schädlinge verschlüsseln Ihre Daten zunächst still und leise im Hintergrund und zeigen erst dann ihre Erpressernachricht an. Wenn Sie die Nachricht sehen, ist das Unheil also bereits geschehen. Es gibt somit keinen Grund für überstürzte Maßnahmen. Allerdings drohen einige Schädlinge damit, ihre Lösegeldforderung nach einiger Zeit zu erhöhen. Das ist ernst zu nehmen. Prüfen Sie, ob Sie ein vollständiges Backup Ihre Daten besitzen und damit auf die verschlüsselten Dateien verzichten können. Falls das nicht der Fall ist, prüfen Sie, ob es gegen Ihren Schädling ein Entschlüsselungsprogramm gibt (siehe Punkt 6).
Sollte es kein Entschlüsselungstool geben und sollten Sie kein Backup haben, bleibt zur Not die Möglichkeit, das Lösegeld zu bezahlen (siehe Punkt 4). Möchten Sie das nicht, sollten Sie die verschlüsselten Daten dennoch aufbewahren. Denn immer wieder gelingt es den Antivirenspezialisten ein paar Wochen nach einer Infektionswelle, den Code eines Erpresservirus zu knacken und nachträglich ein Entschlüsselungstool bereit zustellen.
In jedem Fall ist eine Virenbeseitigung fällig. Da Ihr aktuelles Antivirenprogramm gegen den Schädling zunächst versagt hat, empfiehlt sich eine andere Software, etwa Avira Free Antivirus oder Bitdefender Total Security .
Alternativ starten Sie den PC etwa mit der Bitdefender Rescue-CD und lassen Sie darüber den Schädling suchen und entfernen. Der sauberste Schritt nach einer Vireninfektion ist aber immer noch die Neuinstallation von Windows. Erstellen Sie zuvor eine Backup aller Daten. Eine Backup-Checkliste finden Sie hier .
6. Wie kann ich meine verschlüsselten Daten retten?
Einige Antivirenhersteller arbeiten laufend daran, neue Entschlüsselungstools bereitzustellen. So brachte etwa Ende Mai der Hersteller Eset ein Entschlüsselungstool für Teslacrypt-Opfer heraus. Das Tool soll auch Schäden von Teslacrypt Version 3 bis 4.2 beseitigen können. Kaspersky bietet schon länger Decrypter gegen einige Erpresserviren. Sehr aktiv ist auch der Antivirenspezialist Emsisoft. Er bietet Entschlüsselungstools für zahlreiche Erpresserviren . Es tut sich aktuell also einiges im Kampf gegen die Verschlüsselungsviren. Wenn Sie betroffen sind, bietet die Tabelle auf Seite 31 eine erste Orientierung bei der Suche nach Entschlüsselungstools.
7. Bin ich nach einer Virenreinigung sicher?
Konnte ein Antivirenprogramm den Schädling von Ihrem PC beseitigen, dann ist der Rechner in der Regel wieder sicher. Aber: Einige der Erpresserviren stehlen auch persönliche Daten, etwa die Passwörter zu Online-Konten, wenn diese auf dem PC gespeichert sind. Somit ist Ihr PC zwar wieder sicher, doch Ihre Konten sind in Gefahr. Ändern Sie deshalb so schnell wie möglich die Log-in-Passwörter zu allen Ihren Diensten, angefangen bei Bezahldiensten wie Paypal über Ihr Mailaccount bis hin zu Shoppingsites wie Ebay und Amazon.
8. Wie schütze ich mich vor Erpresserviren?
Grundsätzlich schützen Sie sich vor den Erpresserviren genauso wie vor jedem anderen Virus: mit einer guten Antivirensoftware, etwa Bitdefender . Die Software schneidet in Antivirentests seit Jahren stets gut bis sehr gut ab. Oder Sie nutzen das dauerhaft kostenlose Avira Free Antivirus . Zudem sollten Sie Updates für Windows und installierte Programme stets umgehend einspielen, damit Sie bekannte Sicherheitslücken schließen.
Spezialtools: Uns sind zwei empfehlenswerte Spezialtools bekannt. Bitdefender lieferte im Mai ein kostenloses Zusatzschutztool gegen Verschlüsselungstrojaner, das einen recht interessanten Ansatz verfolgt: Da die Erpresserviren es offensichtlich oft schaffen, ein klassisches Antivirenprodukt auszutricksen, überwacht das Tool Bitdefender Anti-Ransomware das Dateisystem auf Verschlüsselungsversuche. Sobald ein Prozess Dateien verschlüsselt, stoppt das Tool den Vorgang und meldet ihn. Schon länger bietet Malwarebytes das Tool Anti-Ransomware an, das ebenfalls speziell vor Erpresserviren schützen soll. Weitere Schutztools könnten bei weiterhin hoher Bedrohungslage folgen.
Backup: Gegen Erpresserviren ist ein aktuelles und umfassendes Backup Ihrer Daten und Ihres Systems die beste Versicherung. Beim Backup der persönlichen Daten müssen Sie allerdings auch an wirklich alle wichtigen Daten denken. Wer etwa seine Mails ausschließlich auf seinem PC speichert, muss auch diese mitsichern.
9. Gibt es Erpresserviren auch auf dem Smartphone?
Tatsächlich sind bereits ein paar erpresserische Apps für Android aufgetaucht. Wie die meisten schädlichen Apps, stammen auch die Erpresser-Apps nicht aus dem offiziellen Store . Man muss sie sich als APK-Datei aufs Smartphone laden und installieren. Einige der schädlichen Apps verlangen bei der Installation auch noch Rootzugriff. Wer den gewährt hat, ist in größeren Schwierigkeiten, da die Entfernung schwierig wird. Unter Umständen hilft hier nur das Zurücksetzen des Handys auf die Werkseinstellungen. Hat sich der Virus keine Rootrechte geschnappt, klappt eine Reinigung ab Android 4.1 meist so:
Versuchen Sie, Ihr Smartphone im abgesicherten Modus zu starten. Android bootet dann nur mit einer minimalen Konfiguration, was die Ausführung der Schadsoftware in vielen Fällen verhindert. So haben Sie die Möglichkeit, den Virus über die Einstellungs-App zu deinstallieren. In den abgesicherten Modus kommen Sie über eine Taste oder Tastenkombination. Diese unterscheidet sich allerdings nicht nur von Hersteller zu Hersteller, sondern teilweise auch von Modell zu Modell. Doch fast alle Geräten müssen Sie zuerst ausschalten. Sollte das der Erpresservirus verhindern, entfernen Sie kurz die Batterie. Geht das nicht, müssen Sie warten, bis diese leer ist.
Bei vielen Samsung-Geräten etwa schalten Sie das Gerät wie gewohnt über den Ein-/Ausschalter ein. Kurz nach dem Einschalten vibriert das Handy. Von da an drücken Sie die Leisetaste und halten Sie gedrückt, bis die PIN-Abfrage für die SIM-Karte erscheint. Nun sollte bereits in der linken unteren Ecke "Sicherer Modus" stehen. Wie Sie bei Ihrem Handy in diesen Modus gelangen, verrät eine Google-Suche nach "Modellname sicherer Modus". Über einen Neustart des Geräts gelangen Sie wieder in den normalen Modus. Sollte der Virus tatsächlich Dateien verschlüsselt haben, bleiben diese allerdings verschlüsselt. Auch hier hilft nur ein regelmäßiges Backup Ihrer Daten.
10. Wie kann ich mein Smartphone schützen?
Die meisten Hersteller von Antivirensoftware für Windows bieten auch Schutzapps für Android an. Diese prüfen jede neue App, ob sie als gefährlich bekannt ist. Das leisten die Tools meist schon in der kostenlosen Basisvariante. Wer die Pro-Version bezahlt, erhält Zusatzfunktionen. Empfehlenswert sind etwa die beiden Apps Avira Antivirus Security und Lookout Antivirus & Sicherheit .
Virenname | Schaden | Entschlüsselungstool beziehungsweise Abhilfe |
777 | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for 777 hilft. |
Auto Locky | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for AutoLocky hilft. |
Autoit | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>@<Mail-Domäne>_.<zufällige_Zeichen> | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Coinvault | Verschlüsselt Anwenderdateien. | Das Coinvault Decryption Tool von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 29. April 2016). |
Crybola und Fury | Verschlüsselt Anwenderdateien. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
CryptXXX | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>.crypt. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Desktop-Locker (diverse Varianten) | Die Anmeldung in Windows ist nicht möglich. Statt des Log-ins zeigt der Schädling die erpresserische Nachricht an. | Bevor Sie diesen Schädlingen zu Leibe rücken, sollten Sie Ihren PC mit einer Rettungs-CD starten und Ihre persönlichen Daten auf einen externen Datenträger sichern. Dann versuchen Sie den Schädling mit einer Antiviren-CD zu beseitigen. Empfehlenswert ist etwa die Bitdefender Rescue-CD . |
DMA Locker 2 | Verschlüsselt Anwenderdateien. | |
Hydracrypt | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Hydracrypt hilft. |
Locky | Verschlüsselt Anwenderdateien und verpasst ihnen die Endung .locky. | Es ist uns kein Entschlüsselungstool bekannt. |
Nemucod | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Nemucod hilft. |
Petya | Der Erpresserschädling Petya manipuliert den Startbereich der Systemfestplatte und macht sie so unzugänglich. Statt Windows startet Petya mit einer Erpressernachricht. | Das Tool Petya Sector Extractor liest Verschlüsselungsinfos aus der befallenen Festplatte aus. Diese Infos lassen sich in ein kostenloses Webformular eingeben und generieren darüber den Entschlüsselungscode. |
Rannoh | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: locked-<ursprünglicher_Name>.<4 zufällige Buchstaben>. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Teslacrypt Version 1 und 2 | Verschlüsselt Anwenderdateien. | Technisch versierte Nutzer können die Dateien mit dem Tool Tesladecrypt knacken. |
Teslacrypt Version 3 und 4 | Verschlüsselt Anwenderdateien. | Antivirenspezialist Eset bietet mit Eset Teslacrypt Decryptor ein Tool zur Entschlüsselung an. |
Xorist | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Xorist hilft. |
(PC-Welt)