In letzter treibt ein sehr bösartiger Schädling namens Locky sein Unwesen auf Windows Computern. Außerdem ist er unter den Namen Samas, Surprise, oder Cerber im Umlauf. Die Besonderheit des Cerber-Erpressers: es kann auch sprechen. Es handelt bei allen sich dabei um eine Ransomeware, deren Ziel es ist Lösegeld zu erpressen. Wir erklären Ihnen, ob Sie diesen entfernen können.

Help Recover des Locky Virus

Locky- und die Help-Recover Datei

Wie kommt der Locky-Virus auf meinen Computer?

Der Locky-Schädling wird meist über Anhänge in Emails verbreitet. Aus eigener Erfahrung können wir mitteilen, dass sich der Inhalt der Emails fast immer über ausstehende, oder nicht bezahlte Rechnungen, teilweise angebliche Bewerbungen oder Lebensläufe handelt. Um ungehindert durch Antivirenprogramme „durchzurutschen“, werden die Schädlinge meist als ZIP-, oder RAR-Datei verpackt. Denn viele Antivirus Programme überprüfen Archive nur ungenügend, oder garnicht. Auch die Größe verrät meist, dass es sich nicht um eine Bewerbung, Rechnung, oder etwas wichtigen handelt. Nicht mehr als 10kB Schadcode reichen, um ihren gesamten Schriftverkehr zu vernichten. Wird nun das Archiv geöffnet, erscheint der Schädling in einem neuen Archivfenster, hat aber noch keinen Schaden verursacht. Spätestens hier sollte der Anwender merken, dass es sich nicht um eine PDF-Datei (wie üblich für Rechnungen) handelt, sondern Dateinamen mit der Endung „.js“
Einige Webseiten berichten ebenfalls von Word, oder Excel Dateien, die den Cerber enthalten. Jedoch besitzen neuere Microsoft Office Programme einen eingebauten Sicherheitsmechanismus und schützen den User vor Dateien aus unbekannten Quellen. Hierbei handelt es sich um Makros, die nicht ohne weiteres ausgeführt werden und erst durch Zustimmung des Nutzers (bei Bearbeitung) aktiviert werden.

Was ist das Ziel vom Locky-Virus?

Hatten früher Viren nur das Ziel einen möglichst großen Schaden anzurichten und viele Rechner zu befallen, geht es heute um viel mehr. Der Sinn dahinter ist es, persönliche Dokumente zu verschlüsseln und den Betroffenen in eine Notlage zu bringen. Hierbei verschlüsselt der Locky- alle Dokumente wie Word, Excel, Powerpoint und PDF und TXT-Dateien. Die Dokumentennamen werden mit .encrypted, oder .cerber umbenannt. Ein einfaches umbenennen, wieder zu .doc bleibt wie zu erwarten, ohne Erfolg. Die Verschlüsselung geschieht in sekundenschnelle und alle Dokumente sind verschlüsselt. Auch eingebundene Netzlaufwerke, oder externe Festplatten werden hier nicht verschont.
Um die mit dem Locky- verschlüsselten Dateien zu entschlüsseln, wird eine Zahlung über Bitcoin (eine schwer nach verfolgbare digitale Währung) verlangt, um den Entschlüsselungs-Key zu erlangen. Zudem lässt sich die Seite nur über den Tor-Browser aufrufen, um Datenspuren zu verwischen. Generell empfehlen Sicherheitsbehörden, hier keine Zahlung zu leisten, um sich nicht erpressbar zu machen und die Schädiger zu unterstützen. Was macht man aber, wenn es sich um unwiederbringliche Daten und Dokumente handelt? Die Frage lässt sich wohl erst beantworten, wenn man selber betroffen ist.

Über Tor-Browser aufgerufene Seite zum entschlüsseln

Captcha über Tor-Browser

Wie entferne ich den Locky-Virus?

Hat der Schädling seine Arbeit getan und man hat den Schaden bemerkt, will man den Schädling natürlich entfernen. Doch nach getaner Arbeit wird man nicht mehr viel von ihm finden. Letztendlich folgt der Locky- nur einer Routine, verrichtet seinen Dienst und hinterlässt keine Spuren und keine weiteren Schädlinge. Da nur die Datei im Anhang der Schädling ist, kann man nichts weiter tun, als diese zu löschen. Es handelt sich hierbei um eine JavaScript-Datei. Da sich jedoch die genauen Veränderungen am Computer nicht überprüfen lassen, sollen Sie ihren Computer wieder in den Werkszustand versetzen, eine Systemwiederherstellung zu einem früheren Datum ist nicht empfehlenswert und die Gefahr, dass sich etwas eingenistet hat, bleibt.

Screenshot einer Entschlüsselungsseite für Locky

Bitcoin Zahlung zum Entsperren der verschlüsselten Daten

Wie entschlüssele ich meine Dateien?

Hier kommt ein Punkt, an dem man erst die wahren Ausmasse feststellt. Ob Doktorarbeit, Einsatzplan, PDF-Rechnungen, oder Ebooks, es ist alles verschlüsselt. Derzeit existiert keine Entschlüsselungsmethode für den Locky-Virus. Antivirenhersteller und Verschlüsselungsexperten arbeiten fieberhaft an einer Lösung. Es gibt viele Programme, die dem Käufer suggerieren die Dateien ließen sich entschlüsseln, jedoch sind unsere Erfahrungen andere. Sofern man keine Sicherungskopien, oder Backups angefertigt hat, wird man wohl nicht an seine Daten kommen.

Kann ich mich gegen den Locky schützen?

Antivirenprogramme schützen leider nur ungenügend, gegen den Locker-Virus, weil sich auch die Signaturen ständig verändert. Dennoch sind Sie unverzichtbar im Abwehren von Schad-Software. Möchte man sich speziell gegen diesen Schädling wehren, so empfiehlt sich der Beta Ransomware Blocker von Malwarebytes. Die Anti-Ransomeware vefügt über eine andere Erkennungsfunktion, wenn ein Locky- Daten beginnt zu verschlüsseln. Auch wenn man den Schaden nicht ganz abwehren kann, soll nach ein paar verschlüsselten Daten weitere Vorgänge blockiert werden.

Falls Sie Malwarebytes Ransom-Ware Schutz herunterladen möchten, finden Sie die Datei zum Download auf der Chip.de Webseite (öffnet ein neues Fenster/Tab). Der Blocker sollte jedoch nur als zusätzliche Maßnahme, zu einer Antiviren-Schutzsoftware Lösung eingesetzt werden.
Selbstredend ist auch das Backup unverzichtbar und sollte regelmäßig angefertigt werden. Cloud-Lösungen wie Dropbox, Google-Drive, oder OneDrive sind der Gefahr ebenso ausgesetzt, so dass auch diese von den Viren nicht verschont werden.