PC Blog Berlin über PC Probleme

direkt vom Prenzlauer Berg

  • Top Kommentatoren

Neuer Virus, der die persönlichen Dateien verschlüsselt – jede Datei beginnt mit locked-

06.05.12 (Internet, PC Probleme)

 

Es gibt immer etwas Neues. Diesmal ging es wieder, wie so oft, um einen vireverseuchten Desktop-PC, der eine Variante des Bundespolizeivirus drauf hatte. Es war zuerst wie immer, beim Einloggen in das Windows XP des Rechners kam sofort ein Bild, das den Bildschirm voll ausfüllt und etwas von illegalen Aktivitäten erzählt und man 100,00€ zahlen müsse, dann wäre alles wieder in Ordnung. So weit, so bekannt, dann kam aber etwas für mich völlig Neues.

Nach diversen Reinigungsversuchen, die letztendlich scheiterten (der Rechner blieb teilweise verseucht), beschloss ich, die Daten zu sichern und Windows neu zu installieren. Bei der Datensicherung fiel mir dann auf, dass alle persönlichen Dateien unbenannt waren.

Beispiel: Datei „Bild1.jpg“ hieß jetzt „locked-Bild1.jpg.hjiu“, wobei die Buchstaben hinter dem letzten Punkt variierten. Man könnte denken, eine Umbennung der Datei zurück in „Bild1.jpg“ würde das Problem lösen, wird enttäuscht. Die Datei lässt sich nicht öffnen oder sie wird nicht korrekt dargestellt, ist auf jeden Fall unbrauchbar. Worauf ich ehrlich gesagt selbst nicht gekommen bin, habe ich in amerikanischen Foren erfahren. Die Dateien werden tatsächlich verschlüsselt und zwar nur die persönlichen Dateien in den Userordnern, Windows-Dateien und Programmdateien bleiben unberührt, sonst würde Windows gar nicht mehr starten. Was nun? Hier habe ich die Lösung gefunden. Aber es gibt einen Haken: Man muss 1 Originaldatei haben, um die Dateien zu entschlüsseln. Also z.B. ein Foto, das man auf dem Rechner gespeichert hat und nochmal auf er Kamera-Karte gespeichert ist. Oder eine Word-Datei, die man auf dem Stick gesichert hat oder per mail verschickt wurde. Die Datei darf aber nicht um ein bit verändert werden, weder im Dateinamen noch im Inhalt.

Die Kundin, der der betroffene Rechner gehörte, schickte mir per mail einige jpg’s und pdf’s. Ich war echt gespannt und siehe da, es klappte. Mit diesem Tool liest man die Originaldatei und die gelockte Datei ein und er entschlüsselt alle locked-Dateien. Das Glück ist, dass offenbar jede Datei gleich verschlüsselt wurde, der Schlüssel gilt also für alle verschlüsselten Dateien. Bei dieser Operation werden die locked-Dateien nicht gelöscht, wenn man die entschlüsselten Dateien geprüft hat, kann man diese dann löschen. da die ja in jedem Unterordner liegen, kann man den ganzen „User“-Ordner nach Dateien mit „locked-“ suchen, dann bekommt man alle aus allen Verzeichnissen aufgelistet und kann sie via „alles markieren“ bequem löschen.

Das ist schon perfide und für den Normalanwender nahezu unlösbar. Ich will mich ja nicht über Aufträge beschweren, aber andere Probleme sind mir lieber.

 

PC Blog Berlin über PC Probleme is powered by WordPress | ZyRed Theme von ZyBlog