9. Gibt es Erpresserviren auch auf dem Smartphone?
Tatsächlich sind bereits ein paar erpresserische Apps für Android aufgetaucht. Wie die meisten schädlichen Apps, stammen auch die Erpresser-Apps nicht aus dem offiziellen Store . Man muss sie sich als APK-Datei aufs Smartphone laden und installieren. Einige der schädlichen Apps verlangen bei der Installation auch noch Rootzugriff. Wer den gewährt hat, ist in größeren Schwierigkeiten, da die Entfernung schwierig wird. Unter Umständen hilft hier nur das Zurücksetzen des Handys auf die Werkseinstellungen. Hat sich der Virus keine Rootrechte geschnappt, klappt eine Reinigung ab Android 4.1 meist so:
Versuchen Sie, Ihr Smartphone im abgesicherten Modus zu starten. Android bootet dann nur mit einer minimalen Konfiguration, was die Ausführung der Schadsoftware in vielen Fällen verhindert. So haben Sie die Möglichkeit, den Virus über die Einstellungs-App zu deinstallieren. In den abgesicherten Modus kommen Sie über eine Taste oder Tastenkombination. Diese unterscheidet sich allerdings nicht nur von Hersteller zu Hersteller, sondern teilweise auch von Modell zu Modell. Doch fast alle Geräten müssen Sie zuerst ausschalten. Sollte das der Erpresservirus verhindern, entfernen Sie kurz die Batterie. Geht das nicht, müssen Sie warten, bis diese leer ist.
Bei vielen Samsung-Geräten etwa schalten Sie das Gerät wie gewohnt über den Ein-/Ausschalter ein. Kurz nach dem Einschalten vibriert das Handy. Von da an drücken Sie die Leisetaste und halten Sie gedrückt, bis die PIN-Abfrage für die SIM-Karte erscheint. Nun sollte bereits in der linken unteren Ecke "Sicherer Modus" stehen. Wie Sie bei Ihrem Handy in diesen Modus gelangen, verrät eine Google-Suche nach "Modellname sicherer Modus". Über einen Neustart des Geräts gelangen Sie wieder in den normalen Modus. Sollte der Virus tatsächlich Dateien verschlüsselt haben, bleiben diese allerdings verschlüsselt. Auch hier hilft nur ein regelmäßiges Backup Ihrer Daten.
10. Wie kann ich mein Smartphone schützen?
Die meisten Hersteller von Antivirensoftware für Windows bieten auch Schutzapps für Android an. Diese prüfen jede neue App, ob sie als gefährlich bekannt ist. Das leisten die Tools meist schon in der kostenlosen Basisvariante. Wer die Pro-Version bezahlt, erhält Zusatzfunktionen. Empfehlenswert sind etwa die beiden Apps Avira Antivirus Security und Lookout Antivirus & Sicherheit .
Virenname | Schaden | Entschlüsselungstool beziehungsweise Abhilfe |
777 | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for 777 hilft. |
Auto Locky | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for AutoLocky hilft. |
Autoit | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>@<Mail-Domäne>_.<zufällige_Zeichen> | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Coinvault | Verschlüsselt Anwenderdateien. | Das Coinvault Decryption Tool von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 29. April 2016). |
Crybola und Fury | Verschlüsselt Anwenderdateien. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
CryptXXX | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: <ursprünglicher_Name>.crypt. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Desktop-Locker (diverse Varianten) | Die Anmeldung in Windows ist nicht möglich. Statt des Log-ins zeigt der Schädling die erpresserische Nachricht an. | Bevor Sie diesen Schädlingen zu Leibe rücken, sollten Sie Ihren PC mit einer Rettungs-CD starten und Ihre persönlichen Daten auf einen externen Datenträger sichern. Dann versuchen Sie den Schädling mit einer Antiviren-CD zu beseitigen. Empfehlenswert ist etwa die Bitdefender Rescue-CD . |
DMA Locker 2 | Verschlüsselt Anwenderdateien. | |
Hydracrypt | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Hydracrypt hilft. |
Locky | Verschlüsselt Anwenderdateien und verpasst ihnen die Endung .locky. | Es ist uns kein Entschlüsselungstool bekannt. |
Nemucod | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Nemucod hilft. |
Petya | Der Erpresserschädling Petya manipuliert den Startbereich der Systemfestplatte und macht sie so unzugänglich. Statt Windows startet Petya mit einer Erpressernachricht. | Das Tool Petya Sector Extractor liest Verschlüsselungsinfos aus der befallenen Festplatte aus. Diese Infos lassen sich in ein kostenloses Webformular eingeben und generieren darüber den Entschlüsselungscode. |
Rannoh | Verschlüsselt Anwenderdateien. Die Dateien werden nach dem folgenden Muster umbenannt: locked-<ursprünglicher_Name>.<4 zufällige Buchstaben>. | Das Tool Rannoh Decryptor von Kaspersky ermöglicht die Entschlüsselung der Daten (Stand 17. Mai 2016). |
Teslacrypt Version 1 und 2 | Verschlüsselt Anwenderdateien. | Technisch versierte Nutzer können die Dateien mit dem Tool Tesladecrypt knacken. |
Teslacrypt Version 3 und 4 | Verschlüsselt Anwenderdateien. | Antivirenspezialist Eset bietet mit Eset Teslacrypt Decryptor ein Tool zur Entschlüsselung an. |
Xorist | Verschlüsselt Anwenderdateien. | Das Tool Emsisoft Decrypter for Xorist hilft. |
(PC-Welt)