Seit über einem Jahr verbreiten sich Erpresser-Viren, die die Daten eines PCs verschlüsseln und dann Lösegeld für die Entschlüsselung fordern. Ältere Versionen dieser Schädlinge waren nicht besonders ausgefeilt, so dass sich die verschlüsselten Dateien doch noch retten ließen. Das klappt heute kaum mehr. Und leider hilft es meist auch nichts, wenn Sie das geforderte Lösegeld zahlen. Sie erhalten nur sehr selten einen funktionierenden Entschlüsselungs-Code. Meist reagieren die Kriminellen auf die Zahlung gar nicht oder senden einen Code, der nicht funktioniert.

Natürlich sollte ein Erpresser-Virus eigentlich nicht aktiv werden können, da Ihr Antiviren-Programm diesen blockieren sollte. Doch selbst das beste Antiviren-Programm verpasst mal einen Schädling. Damit Ihre Daten bei einem solchen Unglücksfall geschützt sind, benötigen Sie ein Backup, auf das Sie im Notfall zurückgreifen können. Aber Achtung, die Software ist nämlich unangenehmer als man denkt.

Nach einer Infektion, wohl zumeist über das Anklicken eines Emails das angeblich von einem Faxgateway oder einem Express Kurier oder einer anderen Firma kommt. Dann beginnt die Software erst mal damit dass sie versucht, die Schattenkopien die das Windows Betriebssystem anlegt, zu löschen, damit eine Wiederherstellung daraus nicht möglich ist. Dann verschlüsselt, sie jede einzelne Datei auf dem Rechner mit einem langen Schlüssel. Bis dahin glaubt sie vermutlich noch sicher zu sein mit einem Täglichen Backup.

Aber die Software geht dann auch an alle angeschlossenen Laufwerke (soweit sie über einen Laufwerksbuchstaben verfügen) und verschlüsselt auch diese. Damit hätte es ihren Backup leider auch erwischt, dieser ist nämlich im Normalfall nicht offline. Und wer seine Cloud-Storage, z.B. Dropbox, über einen Laufwerksbuchstaben erreicht, dem wird auch noch die Cloud verschlüsselt.

Für Firmen verschlüsselt er auch die Shares auf die der infizierte PC über Laufwerksbuchstaben schreibend zugreifen darf. Die Verschlüsselung läuft langsam und das Programm meldet sich erst, wenn alles verschlüsselt ist. D.h. wenn erst die Hälfte von C: verschlüsselt ist und jemand dann Datensicherung macht, dann wird die bereits verschlüsselte Hälfte der Dateien in die Sicherung übernommen.

Dass heisst, es ist nicht nur wichtig, täglich die Daten zu sichern, sondern auch dafür zu sorgen, dass diese Sicherung wirklich nur bei Bedarf mit dem Rechner verbunden ist. Des weiteren muss unbedingt beachtet werden dass möglichst viele Generationen von Backups vorhanden sind damit man sicher auch noch unverschlüsselte Daten zurückgreifen kann.

Wie man sich schützen kann

Zum Schutz vor CryptoLocker sollten Unternehmen zusätzlich zu ihrem Virenschutz webbasierte Spam-Filter einsetzen. Sie reagieren schneller auf neue Spam-Wellen und Malware-Bedrohungen als herkömmliche Lösungen und können als Security-Services in Minutenschnelle aktiviert werden. Sowohl Betriebssystem als auch installierte Applikationen (z.B. Adobe Reader, Adobe Flash, Sun Java etc.) müssen immer auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update Funktion. Eine Personal Firewall muss installiert und auf dem neusten Stand sein. Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.

Im im Fall einer Infektion auf aktuelle Daten für eine Wiederherstellung zurückgreifen zu können, möchte ich sie daran Erinnern, die Datensicherung sehr ernst zu nehmen und Backups regelmäßig durchzuführen.

Wenn sie den Cloud Backup Service von swissbackup24.ch einsetzen sind sie vor solchen angriffen auf ihre Daten sehr gut geschützt. Dies weil das Backup getrennt von den Daten und somit „offline“ ist. Der Virus kann also nicht direkt auf die Backup Daten zugreifen. Die Aufbewahrungszeiten (Versionen) sind frei wählbar und sollten mindestens auf 30 Tage eingestellt sein. So können sie sicherstellen das auch schon verschlüsselte Daten wieder verfügbar gemacht werden können.