Virlocker kann sich polymorphen
Er ist besonders gefährlich, der Erpressungstrojaner VirLocker. Wie derstandard.at unter Berufung auf die Untersuchungen von Malwarebytes berichtet, kann er sich an jegliche Dateien anzuhängen, diese mit Fake-Code anzureichern und mit unterschiedlichen Programmierschnittstellen arbeiten. Bei seiner Fortpflanzung gleicht kein Klon dem anderen. Es ist letztlich diese Fähigkeit zum Polymorphismus, die es jeder Sicherheitssoftware schwer macht, die Malware zu erkennen.
Daneben befällt die Malware sämtliche Dateien, was auch neu heruntergeladene Inhalte betrifft. Man erkennt eine Infektion mit VirLocker daran, dass aus den eigentlichen Dateien nun ausführbare Dateien (.exe) geworden sind. Aus Bild.jpg macht der Schädling Bild.jpg.exe. Die Verbreitung erfolgt über bestehende Netzwerkverbindungen auf andere Rechner.
Die Lösegeldforderung
Sie sieht schon beeindruckend aus, die Lösegeldforderung, die nach der Infizierung angezeigt wird. Die Warnmeldung ist voll von Behörde-Logos und einer Warnung vor Strafverfolgung und sie beinhaltet natürlich auch die Forderung nach der Überweisung von Bitcoins.
Wie kann man Daten ohne Zahlung retten?
Um die Daten zu retten sollte man als erstes den Rechner vom Internet und lokalen Netzwerken trennen, um danach den Trojaner zu überlisten. Danach genügt es in das Feld für die Transaktionsnummer ("Transfer ID") einfach nur genau 64 Ziffern einzugeben, etwa einfach Nullen. Anschließend muss der "Pay Fine"-Button gedrückt werden. Daraufhin nimmt der Erpressungstrojaner fälschlicherweise an, dass der geforderte Betrag bezahlt worden ist.
Mit einem Doppelklick lassen sich anschließend die verschlüsselten Dateien wiederherstellen. Das Ausführen von Bild.jpg.exe fördert die ursprüngliche Bild.jpg zu Tage. Mit dieser Methode kann man allerdings nur die wichtigsten Inhalte retten, die man unbedingt auf einem externen Speicher sichern sollte. Keinesfalls sollen die .exe-Dateien überspielt werde, da damit die Gefahr einer erneuten Infektion besteht.
Rechner komplett neu aufsetzen
Die Sicherheitsexperten von Malwarebytes empfehlen den Rechner komplett neu aufzusetzen. Dazu gehört auch die Formatierung des Speichers. Denn eine zuverlässige Bereinigung eines bereits befallenen Systems ist kaum möglich.
Wie lange die beschriebene Methode noch anwendbar ist, ist unklar. Man kann wohl davon ausgehen, dass diese Schwachstelle bald behoben wird. Nutzer sollten deshalb im Umgang mit E-Mail-Anhängen besonders vorsichtig sein, da VirLocker sich auf diesem Wege ausbreitet.
Weiterführende Links:
MalwarebytesLABS: VirLocker’s comeback; including recovery instructions
derstandard.at: Ransomware: Wie man seine Dateien vor VirLocker retten kann
