Der TeslaCrypt 3 Trojaner ist ein Verschlüsselungstrojaner der neuesten Generation. Diese Weiterentwicklung von Schadprogrammen ist nicht nur in diesem Fall zu beobachten, nein auch in anderen Bereichen geht die Entwicklung und den damit verbundenen Kampf gegen diese Bedrohungen und die Sicherheit der Anwender unermüdlich weiter.

In diesem Beitrag möchte ich eine Anleitung und eine Hilfestellung für Betroffene geben. Ich muss vorweg schicken muss, dass diese aktuelle Version zum aktuellen Stand noch nicht geknackt werden kann und dass es, je nachdem wie weit der Trojaner bereits vorgedrungen ist, keine oder kaum eine Möglichkeit besteht, die Daten wiederherzustellen.

Nachdem es bereits vor einiger Zeit gelungen war, den TeslaCrypt Trojaner der ersten Generation zu knacken, gelingt dies mit der aktuellen Version nicht mehr so einfach. Die ältere Version dieses Trojaners speicherte den Schlüssel in einer Datei auf der Festplatte des Opfers.

Viren und Trojaner - Wege die zur einer Infektion führen können

über soziale Medien:

wenn man den Links in Beiträgen folgt, die zu bösartigen, oder infizierten Webseiten führen,

über den Download von Dateien aus nicht vertrauenswürdigen Quellen:

beim Download von Programmen, Software, Musik, Videos oder ähnlichem besteht immer die Möglichkeit sich einen Virus einzufangen.

über den Spam-Anhang in E-Mail Nachrichten:

über infizierte Dateianhänge in E-Mail Nachrichten, meist mit vertrauenerweckenden Bezeichnung, wie Rechnung, Zahlungserinnerung, Mahnung, oder ähnlichem besteht sehr oft die Gefahr einer Infektion mit einem Virus oder Trojaner.

über den Austausch von transportablen Speichern:

externe Festplatten und USB-Sticks, aber auch CD, DVD können aus Transportmedium für einen Virus oder Trojaner dienen. Die meisten Systeme sind so eingestellt, dass diese Medien mit Autostart Funktion versehen sind. Bereits diese Autostart-Funktion einer CD oder DVD, oder des USB-Stick kann zu einer Infektion führen.

TeslaCrypt Trojaner - Erscheinung und Auswirkung auf das System

Teslacrypt 3.0 ist ein Trojaner, der versucht die Dateien auf der Festplatte des Opfers zu verschlüsseln und nach erfolgreicher Verschlüsselung mithilfe von automatisch einblendenden Seiten und Hinweisen Geld für die Entschlüsselung der betroffenen Dateien zu fordern.

Auf keinen Fall sollten Sie den geforderten Betrag bezahlen. Stellen Sie sich vor, Sie zahlen den geforderten Betrag und Ihre Dateien werden nicht entschlüsselt, welche Chancen und Möglichkeiten bleiben dann noch aktiv zu werden?

Nehmen Sie sofort den Kampf gegen diesen fiesen Trojaner auf! Wenn Sie selbst unsicher sind, fahren sie den Computer sofort herunter und schalten sie den PC ohne Unterstützung nicht wieder ein. Der Trojaner verändert die Einträge in der Registry und startet immer, sobald sie den PC neu starten.

Wenn sie bemerken, dass Dateien verändert werden und sich nicht mehr öffnen lassen, weil sie eine bisher unbekannte Dateiendung „*.micro" aufweisen, sind sie mit dem Trojaner infiziert. Andere Dateiendungen könnten unter anderem *.ttt, *.xxx, *.ecc, *.ezz, *.exx, *.zzz, *.xyz, *.aaa, *.abc" oder *.vvv sein.

Betroffen sind meistens die persönlichen Dateien, Dokumente, Bilder und PDF. Zum Beispiel werden Dateien mit *.doc, *.pdf, *.xls, *.jpg und *.mp3 verschlüsselt. Das Problem dabei ist, dass auch die Schattenkopien, die Windows im Normalfall im Hintergrund anlegt durch den Trojaner gelöscht werden.

TeslaCrypt Trojaner entfernen

Mithilfe von sogenannten Live-CD-s, oder Rettungs-CD's mit Antiviren-Software lässt sich der gesamte PC auf Bedrohungen und Schwachstellen scannen, ohne das Windows gestartet sein muss. Gefundene Bedrohungen werden behoben und entfernt. Nicht zu vergessen ist, dass ein infiziertes System immer Schwachstellen aufweist, da nie komplett ausgeschlossen werden kann, dass es Lücken in der Registry gibt, oder Dateien, die für die Sicherheit des Systems notwendig sind, gelöscht wurden, so dass eine weitere Infektion nicht auszuschließen ist.

Ich empfehle immer, eine Neuinstallation des gesamten Systems, nachdem die Dateien gesichert wurden. Nicht ohne nochmal einen externen Scan über die Dateien laufen zu lassen. Aktuelle Betriebssysteme, wie

bringen eine Vielzahl an Verbesserungen und Software-Updates mit. In Verbindung mit einem sicheren Browser, eventuell deaktiviertem Java, Javascript und ActiveX, sowie einer Antviren Software auf dem PC sollte die Gefahr einer Infektion minimiert werden.

Diese Anleitung ist kein Garant für eine erfolgreiche Beseitigung eines Virus, oder Trojaners vom System. Wenn sie sich unsicher sind, nehmen sie Kontakt zu mir auf. Ich übernehme keine Garantie oder Gewährleistung für unsachgemäße Durchführung der Scans und Datenwiederherstellung. Gefährdung des Systems durch nicht erkannte Viren und Trojaner kann nie ganz ausgeschlossen werden, so dass eine Bereinigung in sachkundige Hände gegeben werden sollte.

Datenwiederherstellung nach einer Viren- oder Trojanerinfektion

Wenn der Virus oder Trojaner erfolgreich entfernt wurde, kann mithilfe von diversen Tools versucht werden gelöschte Dateien auf der Festplatte wiederherzustellen. Zum ersten bieten sich die Schattenkopien von Windows an, sofern der Trojaner diese noch nicht gelöscht hat. Der Prozess, den der Trojaner ausführt, um die Dateien zu löschen wird mit administrativen Rechten des Benutzers ausgeführt.

Technisch gesprochen wird folgender Befehl ausgeführt:
C:\Windows\System32\vssadmin.exe delete shadows /all /quiet

ganz allgemein ist VSSadmin ein Kommandozeilen-Tool, um die Schattenkopien-Funktion zu konfigurieren und zu nutzen.

delete shadows: löscht die Volumenschattenkopien
delete shadows /all: löscht alle Volumenschattenkopien, hingegen /oldest nur die ältesten löschen würde

/quiet es werden keine weiteren Hinweise ausgegeben, wenn der Prozess läuft,
quiet (engl.) bedeutet ruhig. Andere Mögliche Übersetzungen wären auch leise oder heimlich.

Kategorien: Anleitungen und Beschreibungen, PC Support und Dienstleistung | Schlagwörter: PC Sicherheit und Datenschutz, PC Support und Dienstleistung, PC Wiederherstellung, Probleme und Sorgen | Permalink