Hannes Czerulla 10.06.2020

Gefälschte Entschlüsselungsprogramme im Umlauf

Betrügerische Programme aus dem Internet geben vor, von Ransomware verschlüsselte Daten entschlüsseln zu können. Sie machen die Lage aber nur noch schlimmer.

Die Webseite id-ransomware.malwarehunterteam.com — Erste Anlaufstellen bei einem Ransomware-Befall sollten seriöse Seiten wie id-ransomware.malwarehunterteam.com sein.

Hat man sich sogenannte Ransomware eingefangen, kann man schon mal verzweifeln: Die Schadsoftware verschlüsselt die eigenen Daten und fordert anschließend Lösegeld. So frustrierend die Situation auch sein mag: man sollte nicht auf angebliche Entschlüsselungsprogramme aus dem Internet hereinfallen.

Gibt man nämlich den Namen des Verschlüsselungstrojaners in eine Suchmaschine ein, stößt man neuerdings auf Tools, die vorgeben, von Ransomware verschlüsselte Daten zu entschlüsseln. Tatsächlich handelt es sich aber meist um Betrugsversuche und die Tools verschlüsseln die Daten noch einmal, warnt das Fachportal heise online.

Finger weg von “Decrypter Djvu”

Aktuell sei beispielsweise der Fake-Entschlüssler “Decrypter Djvu” im Umlauf. Er gibt vor, Opfern der Ramsomware “Stop Djvu” zu helfen. Doch hinter dem Tool sollen die Entwickler des Trojaners Zorab stecken. Wer das Tool ausführt, startet Zorab. Der Trojaner verschlüsselt die Daten erneut und fordert seinerseits Lösegeld. Unterm Strich wird das Opfer also doppelt zur Kasse gebeten.

Wer bei verschlüsselten Daten Hilfe sucht, sollte nur seriösen Quellen trauen – etwa dem ID Ransomware-Projekt, das anhand einer hochgeladenen Probedatei oft erkennen kann, um welchen Verschlüsselungstrojaner es sich genau handelt.

Europol-Projekt sammelt Entschlüssler

Das zu wissen, ist wichtig, wenn man sich auf die Suche nach einem Gegenmittel macht. Eines der wichtigsten vertrauenswürdigen Archive, das Entschlüssler-Tools samt Anleitungen sammelt, ist No more Ransom. Es wird unter anderem von Europol und IT-Security-Unternehmen betrieben.

Die Polizei rät Nutzerinnen und Nutzern grundsätzlich, sich nicht von erpresserischer Schadsoftware einschüchtern zu lassen. Opfer sollten kein Geld an die Täter zahlen, sondern Anzeige erstatten. Auch bei Lösegeldzahlung ist es unwahrscheinlich, dass man seine Daten danach wiederherstellen kann.

Verschlüsseltes niemals löschen

Von Ransomware verschlüsselte Dateien sollte man grundsätzlich nicht löschen. Schließlich ist es jederzeit möglich, dass passende Tools zur Entschlüsselung veröffentlicht werden.

Der beste Schutz vor Erpressung durch Ransomware – und jeglichen anderen Schadprogrammen – ist den Experten zufolge das regelmäßige Sichern aller oder zumindest der wichtigsten Dateien auf externen Datenträgern wie Festplatten und Speicher-Sticks. Nach dem Backup sollte man sie vom System trennen, damit sie im Ernstfall nicht mit infiziert werden. (dpa / hcz)