Sonderfall: Erpresserviren
Eine ganz besondere Plage sind Erpresserviren, die seit Monaten PCs weltweit befallen und die darauf vorhandenen Daten verschlüsseln. Fürs Entschlüsseln fordern die Schadprogramme Geld vom PC-Besitzer. Die Hersteller der Antivirenprogramme haben den Schädlingen Namen wie Locky, Teslycrypt, Cryptowall4, CTB-Locker gegeben. Erstaunlich viele dieser Schädlinge schafften es, sich an einem aktiven und aktuellen Virenschutz vorbeizuschmuggeln. Der Grund: Die Kriminellen optimieren ihre Schädlinge mit viel Aufwand so lange, bis sie vom Antivirentool unbemerkt agieren können. Schlecht: Nicht nur, dass es vielen Erpresserviren gelingt, einen Virenschutz zu überwinden – auch bieten die wenigsten Antivirentools gute Reinigungsfunktionen gegen diese Schädlinge. Maik Morgenstern ist der CTO bei AV-TEST und erklärt, warum das so ist. Maik Morgenstern: Bei den 53 im Test verwendeten Schädlingen handelt es sich um Dropper, Viren, Würmer, Downloader, Password-Stealer, Backdoors und Trojanische Pferde. Erpresserviren einschließlich der Cryptolocker wurden nicht getestet, da diese Schädlinge sich nicht im System verstecken, sondern meist sofort eine Verschlüsselung auslösen und den passenden Entsperrcode ins Internet senden. So hilft es einem Reinigungstool in erster Linie nicht, wenn es den Schädling nur kennt. Das Tool muss auch den passenden Basiscode zur Entsperrung kennen. Viele Antivirenhersteller gehen bei Cryptolockern deshalb einen anderen Weg: Zuerst stellen sie ungeschützte, aber speziell überwachte PCs ins Internet, damit sie sich gezielt einen Cryptolocker einfangen. Dieser beginnt sofort mit der Verschlüsselung und schickt den Entsperrcode ins Internet. Auf diesem Weg wird der Code dann nicht nur abgefangen, sondern auch bis zu seinem Ablageserver verfolgt. Mit dieser Methode haben in der Vergangenheit einige Hersteller ganze Server voll mit Entsperrcodes gefunden. Liegt der Entschlüsselungscode vor, versuchen die Experten, den Algorithmus zu knacken. Gelingt das, wird ein spezielles Tool mit einer Art Generalschlüssel hergestellt und an betroffene Nutzer kostenlos verteilt. Es wird aber nicht Teil des großen Antivirenpakets. Tipp: Sollten Ihre Daten durch einen Cryptolocker verschlüsselt werden, dann löschen Sie sie nicht. Denn in vielen Fällen konnten Antivirenhersteller nach einigen Wochen ein Entschlüsselungstool bereitstellen. Einige aktuelle Varianten sind allerdings derart verschlüsselt, dass es vermutlich keine Hoffnung auf Entschlüsselung gibt. Als letzte Möglichkeit könnten Sie Geld an die Kriminellen zahlen. Ob Sie allerdings tatsächlich einen Entschlüsselungskey erhalten, ist ungewiss.