Meist werden E-Mails mit Absendern wie DHL, POST oder Banken vorgegeben. Nach dem Befall eines Rechners, durch Klick auf einen Link in einer E-Mail, beginnt der Trojaner sämtliche Daten auf dem befallenen Rechner, aber auch in sämtlichen verbundenen Netzlaufwerken mithilfe der Verschlüsselung AES-128 zu verschlüsseln. Die verschlüsselten Dateien haben dann zumeist die Dateiendung .encrypted. Jeder Ordner enthält dann zusätzlich eine Text- und eine HTML-Datei mit der Aufforderung Geld in Form von Bit-Coins an die Entwickler zu überweisen (zwischen € 200,– und € 400,–).
Eine Entschlüsselung der Daten ist nur mit dem dazugehörigen Schlüssel möglich. Experten warnen jedoch vor der Einzahlung, da eine 100% Sicherheit zur Wiederherstellung nicht gegeben ist. Es bleibt meist nur die Wiederherstellung der verschlüsselten Daten aus einer Sicherung.
Wir empfehlen Ihnen daher, mit E-Mails besonders sensibel umzugehen:
- Öffnen Sie E-Mails und eventuell enthaltene Anhänge nur, wenn Sie mit der Zusendung der Datei gerechnet haben.
- Ein Großteil der aktuellen Viren wird über Links in E-Mails in Umlauf gebracht. Klicken Sie daher niemals unbedarft auf Links, die in E-Mails enthalten sind. Prüfen Sie per Mouseover, ob der angezeigte Link und die tatsächliche Zieladresse übereinstimmen: Wenn Sie mit der Maus über einen Link fahren (NICHT KLICKEN), sehen sie links unten in Outlook, welches Ziel in diesem Link tatsächlich hinterlegt ist. Sollten sie also ein Mail von der Post bekommen und der Link zeigt nicht auf post.at handelt es sich mit großer Wahrscheinlichkeit um einen Link, der Schadsoftware installieren würde.
- Wenn Sie sich mit Dateianhängen unsicher sind, kopieren Sie den Anhang in einen leeren Ordner und überprüfen Sie ihn mit Ihrer aktuellen Virenschutzsoftware.
- Vorsicht gilt auch bei Nachrichten, deren Absender Sie gut kennen: Schadsoftware sucht auf infizierten PCs nach vorhandenen E-Mail-Adressen, um sich weiterzuverbreiten.
- Wenn Sie sich unsicher sind, informieren Sie ihren Administrator, bevor Sie eine Datei öffnen oder einen Link anklicken.
- Überprüfen Sie die Integrität Ihrer Datensicherung!
Vorgangsweise bei Befall:
- Identifizieren Sie den befallenen Rechner. Zumeist erscheint am Bildschirm ein entsprechender Text der Entwickler mit einer Anleitung zum Einzahlen der Bitcoins und zum erlangen des Schlüssels. Es gibt aber auch Varianten, welche am befallenen Rechner keine entsprechende Meldung anzeigen. Zumeist bemerkt man den Befall erst, wenn man auf Daten auf Netzlaufwerken nicht mehr zugreifen kann, oder wenn Programme, die Daten in Netzlaufwerken verwenden, nicht mehr funktionieren.
- Trennen Sie die Netzwerkkabel von allen PCs und Notebooks, oder deaktivieren Sie WLan-Verbindungen.
- Informieren Sie Ihren Administrator! Dieser wird den betroffenen Rechner ausfindig machen. Man erkennt den befallenen Rechner an .encrypted-Dateien auf der lokalen Festplatte.
- Eruieren Sie das Ausmaß des Schadens und stellen Sie die verschlüsselten Daten auf den Servern aus der letzten Sicherung wieder her. Eventuell können hier auch im Windows-Explorer Vorgängerversionen verwendet werden.
- Formatieren Sie den befallenen Computer und installieren Sie das Betriebssystem neu.
Überprüfung eines Links mittels Mouseover:
Der Link in unserem Beispiel E-Mail gibt an, auf die Seite sendungsverfolgung.diropa.at zu führen. Wenn wir nun mit der Maus über diesen Link fahren, sehen wir links unten im Outlook, dass das tatsächliche Ziel aber die Seite „hier-geht’s-zur-vireninstallation.com“ ist.
Gerne stehen Ihnen die Techniker der DIROPA IT GmbH bei Fragen, aber auch bei Befall zur Verfügung!