Laut den Sicherheitsforschern von Malwarebytes ist der Schädling VirLocker wieder im Umlauf, infiziert Windows-Computer, verschlüsselt Dateien und fordert Lösegeld.

Dabei verschlüsselt der Erpessungs-Trojaner nicht nur Daten, sondern bettet diese in ausführbare .exe-Dateien ein, die wiederum auch den Schädling enthalten. Wenn so eine .exe-Datei auf einem anderen Windows-Computer ausgeführt wird, infiziert sich auch dieser mit VirLocker.

Allerdings können Opfer ohne das Lösegeld zu bezahlen und ohne ein Entschlüsselungstool wieder Zugriff auf ihre Daten erhalten. Allerdings sollte das Opfer vorher den infizierten Computer vom Netzwerk trennen, damit VirLocker sich nicht weiter verbreiten kann.

Malwarebytes zufolge müssen lediglich 64 Zeichen im Feld "Transfer ID" des Lösegeldformulars eingegeben werden, um wieder Zugriff zu erlangen. In ihrem Beispiel funktionierte dies, eigenen Angaben zufolge, mit 64 Nullen. Durch einen Bug ist nach der Eingabe das Lösegeld beglichen und VirLocker gibt die Daten wieder frei. Es ist nicht klar, wie lange dies auf diesem Weg noch funktioniert.

Anschließend muss jede .exe-Datei nach der "Lösegeldzahlung" manuell angeklickt werden, um die Original-Datei wiederherzustellen. Dadurch wird in diesem Fall nicht die Ransomware ausgeführt, sondern die eingesperrte Datei entpackt.

Der betroffene Computer sollte nach dem sichern der wiederhergestellten Daten komplett neu aufgesetzt werden. Dabei sollten keine der infizierten .exe-Dateien auf das neue System kopiert werden, da sich der Computer sonst gleich wieder infiziert.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE