Der Erpressungs-Trojaner VirLocker bringt seine Opfer schon seit 2014 immer mal wieder zur Verzweiflung. Der Schädling infiziert Windows-Computer, verschlüsselt deren Dateien und fordert dann Lösegeld. Zurzeit ist der Schädling mal wieder in Umlauf, berichten Sicherheitsforscher von Malwarebytes.
VirLockers .EXE-Trick
VirLocker ist besonders heimtückisch, denn er verschlüsselt nicht nur Daten, sondern bettet die darüber hinaus auch noch in ausführbare .exe-Dateien ein, die natürlich zusätzlich auch den Schädling enthalten. Wenn man eine solche Datei auf einem anderen Computer ausführt, wird auch dieser mit VirLocker infiziert.
Ohne Zahlung entschlüsseln
Es gibt aber einen Weg aus dem Dilemma: Opfer können ganz ohne Lösegeldzahlung und auch ohne ein Entschlüsselungstool wieder Zugriff auf ihre Daten bekommen. Bevor man die nachstehenden Tipps befolgt, sollte man aber den infizierten Computer vom Netzwerk abtrennen, damit der Erpressungs-Trojaner sich nicht weiter verbreiten kann.
Erst die Zahlung vortäuschen…
Um wieder Zugriff auf die verschlüsselten Daten zu erhalten, muss man nach Angaben von Malwarebytes lediglich 64 Zeichen im Feld „Transfer ID“ des Lösegeldformulars eingeben. In deren Beispiel funktionierte das mit 64 Nullen. Wegen eines Bugs ist das Lösegeld nach dieser Eingabe beglichen und VirLocker gibt deshalb die Daten wieder frei.
Wie lange dieser Weg gangbar bleibt, ist natürlich nicht absehbar – die Gangster hinter dem Schädling könnten ja schnell den Fehler beseitigen…
… dann die Dateien wiederherstellen!
Nach erfolgreichem Vortäuschen der Lösegeldzahlung muss man nun manuell jede .exe-Datei einzeln anklicken, damit die darin steckende Original-Datei wiederhergestellt wird. Bei diesem Vorgehen wird nicht die Ransomware selbst ausgeführt, sondern nur die eingesperrte Datei entpackt.
Abschließend sollte man zur Sicherheit die wiederhergestellten Daten auf eine externe Festplatte oder einen USB-Stick kopieren und dann den infizierten Computer komplett neu aufsetzen. Opfer sollten besonders sorgfältig darauf achten, keine der .exe-Dateien mit dem Schadprogramm darin zu behalten – ansonsten infiziert sich auch ein neu installierter Computer direkt wieder mit VirLocker!
