Zwar gibt es Ransomware inzwischen auch auf macOS, Android-Geräten und sogar Smart-Home-Komponenten, aber die überwiegende Mehrheit dieser Tools treibt weiterhin auf der Windows-Plattform sein Unwesen. Und obwohl natürlich die Hersteller entsprechender Schutzsoftware immer wieder Updates für ihre Produkte veröffentlichen, erwischt es doch jeden Tag wieder neue Opfer. Glücklicherweise taucht aber früher oder später für fast jede Ransomware ein entsprechendes Tool zur Entschlüsselung betroffner Dateien auf. In einigen Fällen haben die Entwickler entsprechender Software einfach geschlampt, in anderen Fällen taucht aus irgendwelchen Quellen plötzlich ein Schlüssel auf, der jede von einer Ransomware verschlüsselte Datei wieder entschlüsselt. Man muss einfach nur genügend Geduld haben.
Backup!
Natürlich sollten auf einem gut gewarteten System regelmäßig Backups angefertigt werden, so dass auch eine solche Ransomware im Idealfall nur denn Zugriff auf Änderungen seit dem letzten Backup verhindern kann. Wenn nun aber die Backup-Fesplatte dauerhaft am Rechner hängt oder aber beim Backup einfach nur der aktuelle Stand gesichert wird und keine Backups früherer Dateiversionen gemacht werden oder das Backup gar nicht funktioniert (niemals eingerichtet wurde), dann hat man als Betroffener selbst nach der Entseuchung des Rechners noch einen Haufen Dateien, die verschlüsselt sind. Und welche genau das sind, bemerkt man im Zweifel erst sehr viel später. An dieser Stelle soll CryptoSearch helfen.
Such die verschlüsselten Dateien
CryptoSearch erfüllt genau zwei Aufgaben:
- Die Suche nach verschlüsselten Dateien und
- das Archivieren der verschlüsselten Dateien.
Nach dem Start holt sich CryptoSearch erstmal aktuelle Ransomware-Definitionen von ID Ransomware – diese kann man aber auch offline aktualisieren. Nun wählt man aus, welche Ransomware man zum Opfer gefallen ist – direkt den Namen der Software oder anhand der verwendeten Dateiextension – und das Tool sucht dann alle entsprechenden Dateien zusammen. Im Idealfall kann man sich dann gezielt die zuletzt gesicherten, unverschlüsselten Versionen dieser Dateien aus dem Backup holen oder aber, wenn es kein aktuelles Backup gibt, die Funde von CryptoSearch in einem Rutsch auf eine externe Platte packen, wo sie in einer Ordnerstruktur analog zum Originalspeicherort abgelegt werden.
Eine verschlüsselte Datei unter C:\irgendein\Ordner\ wird dann also zum Beispiel unter G:\Backup\C\irgendein\Ordner abgelegt. Erscheint dann ein Entschlüsselungstool für die entsprechenden Dateien, dann holt man die Festplatte aus dem Schrank und kann alle betroffenen Dateien auf einen Rutsch entschlüsseln und wieder zurück an ihren ursprünglichen Speicherplatz kopieren
Backup ist trotzdem besser
Dieses Tool kann also im Ernstfall zumindest helfen, die betroffenen Dateien direkt zu identifizieren – statt erst so nach und nach zu merken, zu welchen Daten man keinen Zugriff mehr hat. Und auch wenn die Statistik dafür spricht, dass es für jede Ransomware irgendwann eine Entschlüsselungsmöglichkeit gibt, ohne irgendjemandem dafür Bitcoins nachschmeissen zu müssen, sollte man sich nicht darauf verlassen. Egal wie „gut“ der „Kundenservice“ bei Ransomware ist ;)
Test: Kundendienst bei Ransomware
Wir wiederholen uns, aber es gibt ein paar Grundregeln, die dafür sorgen können, dass die Wahrscheinlichkeit von Ransomware erwischt zu werden und den Schaden im Ernstfall minimieren:
- Macht regelmäßig ein manuelles Update eurer (hoffentlich installierten) Anti-Viren Software. Eventuell hat euer Hersteller bereits eine Erkennungsroutine gefunden. Macht – wie von de meisten Antivirenprogrammen vorgeschlagen – auch mal eine dieser lästigen vollständigen Systemüberprüfungen.
- Öffnet keine Datei-Anhänge von unbekannten Absendern. Öffnet keine Dateianhänge von bekannten Absendern, wenn die Mail selbst gar keinen Sinn ergibt – warum sollte euch eure Mutter eine Rechnung schicken?
- Verhindert die automatische Ausführung von Makros in Microsoft Word. (Datei -> Optionen -> Trust Center -> Einstellungen -> Makroeinstellungen)
- Macht regelmäßig Backups eurer wichtigen Daten. Benutzt dazu externe Medien wie z.B. einen USB-Stick. Trennt das Medium danach vom System. Verschlüsselt eure eigenen Daten und bewahrt sie an einem sicheren Ort auf. Nutzt im besten Fall zwei separate Backup-Medien, die ihr im Wechsel überschreibt.
