Hallo,
momentan gibt es wieder eine Welle so genannter "Ransomware"-Attacken im Netz. Beispielsweise in einem Word- oder PDF-Dokument, das als Mail-Anhang auf den Rechner kommt, steckt ein Virus, der sobald man den Anhang öffnet, alle auf dem Rechner greifbaren Datendateien (also Dokumente, Bilder, MP3s etc.) verschlüsselt. In jedem Verzeichnis, in dem der Virus Dateien verschlüsselt, hinterlässt er eine oder mehrere Hinweise (als .txt oder .html), was passiert ist, und wie man (angeblich) einen Schlüssel kaufen kann, um seine Daten wieder zu entschlüsseln.
Beim momentan grassierenden TeslaCrypt3-Virus gibt es noch keine Abhilfe, wenn die Verschlüsselung mal passiert ist. Die Dateien sind mit AES 256bit ziemlich wasserdicht verschlüsselt, der private key zur Entschlüsselung liegt nicht auf dem betroffenen Rechner und es werden z.T. auch die Windows Schattenkopien gelöscht. D.h. der Zugang zu den verschlüsselten Daten ist definitiv versperrt. Die Erpresser hinter dem Virus fordern dazu auf, 2,5 Bitcoins zu bezahlen (ca. 550 €), dann würde man den private Key bekommen. Aber auch nur, wenn man sehr rasch bezahlt. Falls man zögert, drohen die Kriminellen damit, das Lösegeld zu erhöhen.
Ich habe gerade das Notebook eines ziemlich verzweifelten Bekannten auf dem Labortisch. Immerhin hat er (weil ich ihm den Rechner vor ca. 9 Monaten aufgesetzt habe) ein vollständiges Systemabbild auf einem Stapel DVDs. Damit konnte ich heute Nacht den Rechner mit einer neuen Festplatte wieder verwendbar machen. Aber sämtliche Mails, Dokumente und Bilder etc. von einem 3/4 Jahr sind: weg.
Die infizierte und verschlüsselte Festplatte kommt in den Giftschrank, für den Fall, dass irgendwann doch jemand eine Entschlüsselungsmöglichkeit findet, wie das beim Virus CoinVault teilweise gelang, nach dem die holl. Polizei eine Gruppe Erpresser hochnehmen konnte und auf deren Server hunderte private Keys vorfand, die nun in Entschlüsselungstools z.B. von Kaspersky integriert wurden. Auch beim Virus TeslaCrypt2 gibt es eine Möglichkeit zur Entschlüsselung, weil die Programmierer des Virus bei der Implementierung der Verschlüsselungsfunktion etwas geschlampt hatten.
Das fiese an den aktuellen Ransomware-Viren: sie werden grossteils von den Virenscannern noch nicht erkannt und sie breiten sich auf alle vom infizierten Rechner aus erreichbaren Laufwerke aus. Ich kennen einen Betrieb mit knapp 300 PCs im Firmennetz. Dort ist es im letzten Herbst passiert: jemand öffnete einen Mail-Anhang und 7 (sieben) parallel und gleichzeitig laufende Virenscanner haben die Gefahr nicht erkannt und bis der erste Anwender was gemerkt hat, waren schon ein paar Terabyte Daten verschlüsselt. Zum Glück gibt es in dem Betrieb eine sehr gute Backup-Strategie (nächtliches Fullbackup auf Band und täglicher "Snapshot" aller User-Dateien zu einer bestimmten Uhrzeit).
Betroffen sind m.W. nur Windows-Systeme. Die Linux-Fraktion sollte sich aber nicht zu früh freuen, die hat mit der gestern bekanntgemachten Lücke in glibc ein ganz anderes Riesenproblem (es genügen zwei präparierte DNS-Pakete von aussen übers Netzwerk auf einen Linuxrechner geschickt, um die Kontrolle über den Rechner zu erlangen...betroffen sind alle Linuxe, die glibc verwenden, also alle). Mit Patches wird in den nächsten Tagen gerechnet. Man muss sie dann aber auch einspielen...
Grüsse
Tom
