Werbung

Home Internet Viruswarnung: HELP_TO_SAVE_FILES

Viruswarnung: HELP_TO_SAVE_FILES

Werbung

Kürzlich habe ich einen Computer begutachtet, der mit einer Schadsoftware befallenen war, deren Vorgehensweise sehr bösartig ist.

Die Schadsoftware verschlüsselt im Hintergrund alle Benutzerdateien.

Anschließend wird der Eigentümer des befallenen Computers erpresst.

Er soll Geld bezahlen, um seine Dateien wieder entschlüsseln zu können und das auch noch innerhalb kurzer Zeit.

Der Fachbegriff für derartige Schadsoftware lautet Crypto Ransomware, zusammengesetzt aus den englischen Begriffen Cryptography (Verschlüsselung), Ransom (Lösegeld) und Software.

So geht HELP_TO_SAVE_FILES vor

Die Schadsoftware scheint zu Beginn nur im Hintergrund aktiv zu sein. Dabei geht sie alle Verzeichnisse durch und verschlüsselt Benutzerdateien (Dokumente, Fotos, Videos).

Die verschlüsselten Dateien konnten in dem mir vorliegenden Fall daran erkannt werden, dass die Dateiendung um .ezz erweitert wurde. Aus einer Word-Datei, die zum Beispiel Brief.docx hieß wurde Brief.docx.ezz. Die Korrektur der Dateiendung, also das Umbenennen in Brief.docx, bestätigte die Verschlüsselung. Das Word-Dokument war nicht mehr lesbar.

  • Die hier verwendete Dateiendung .ezz kann möglicherweise von Fall zu Fall variieren.

HELP_TO_SAVE_FILES.txt in jedem Verzeichnis

In jedem Verzeichnis in dem die Schadsoftware unterwegs war, legte sie eine Textdatei namens HELP_TO_SAVE_FILES.txt an. Sie enthält Anweisungen, wie man seine Dateien angeblich wieder entschlüsseln kann.

Malware: HELP_TO_SAVE_FILES.txt

Popup: Your personal files are encrypted!

Nachdem die Benutzerdateien in allen Verzeichnissen des Systems erfolgreich verschlüsselt waren, gab sich die Schadsoftware zu erkennen. Sie änderte den Desktop-Hintergrund und öffnete das folgende Popup.

Crypto Ransomware Popup: Your personal files are encrypted!

Ich kann mir nicht vorstellen, dass einem geholfen wird, wenn man etwas bezahlt.

Wer die Anweisungen befolgt und zahlt, läuft Gefahr nicht nur seine Dateien sondern auch noch Geld zu verlieren und sich weitere Schadsoftware einzufangen.

Darüber hinaus ist das System auch nach der Entschlüsselung der Benutzerdateien verseucht mit was auch immer.

Nicht zuletzt motiviert jeder, der hier etwas bezahlt die Urheber solcher Schadsoftware weiterzumachen.

Wie kommt diese Schadsoftware auf meinen Rechner?

Wie das mir vorliegende System befallen wurde, konnte der Eigentümer leider nicht mehr nachvollziehen.

In diesem Artikel habe ich den Hinweis gefunden, dass derartige Schadsoftware überwiegend per E-Mail verbreitet wird, entweder als Anlage oder als Download-Link (Dropbox-Link).

Beispiele, wie so eine E-Mail aussehen könnte, finden Sie hier in einigen Artikeln mit dem Schlagwort Spam.

Der installierte (kostenlose) Virenschutz hat nicht geschützt. Aber auch kostenpflichtige Virenschutzprogramme schützen nicht immer, da ständig neue Varianten derartiger Schadsoftware im Internet auftauchen.

Daran erkennen Sie Crypto Ransomware

Das Durchsuchen des Systems und die Verschlüsselung von Dateien lastet die Festplatte aus und benötigt Rechenleistung.

Wird Ihr Computer aus unerfindlichen Gründen extrem langsam, kann das ein erster Hinweis sein.

Die hier beschriebene Version von Crypto Ransomware ist nur eine von vielen im Internet kursierenden Varianten.

Neben dem Dateinamen HELP_TO_SAVE_FILES.txt gibt es auch Varianten, die zum Beispiel Dateien namens

  • DECRYPT_INSTRUCTIONS,
  • DecryptAllFilest,
  • HELP_DECRYPT oder
  • Help_Restore_Files

anlegen.

Was tun, wenn man sich so eine Schadsoftware eingefangen hat?

  1. Sollten Sie Hinweise auf Crypto Ransomware (Auslastung, Dateien) erhalten, schalten Sie Ihren Computer SOFORT aus. Im Zweifel ziehen Sie den Stecker oder halten den Ein-/Aus-Schalter solange gedrückt, bis das System abschaltet (5-Sec-Notaus).
    Je länger das System läuft, desto mehr Zeit hat die Schadsoftware Dateien zu verschlüsseln!
  2. Schalten Sie den Computer keinesfalls wieder ein.
  3. Wenden Sie sich an einen Fachmann oder einen Computerservice.

Kann man Dateien retten?

Bereits verschlüsselte Dateien waren in diesem Fall (Windows XP) meiner Ansicht nach verloren. Wenn Sie bereits das rote Popup sehen, wurde alles verschlüsselt. Man kann natürlich trotzdem prüfen, ob die Schadsoftware wirklich alle Benutzerdateien erwischt hat. Allzu viel Hoffnung sollten Sie sich aber nicht machen.

  • Windows 7 und Windows Vista legen unter bestimmten Voraussetzungen Vorgängerversionen von Benutzerdateien an (Schattenkopien). Möglicherweise lässt sich damit einiges wiederherstellen, ich konnte es in diesem Fall nicht testen. Lesen Sie dazu den Artikel Windows 7 Dateien und Ordner wiederherstellen.

In dem mir vorliegenden Fall wurden glücklicherweise noch nicht alle Benutzerdateien verschlüsselt. Das lag aber nur daran, dass das System (Windows XP) schon älter und einfach zu langsam war.

Zuerst wurde die komplette Festplatte kopiert. Aus der Kopie konnten die noch nicht verschlüsselten Benutzerdateien gerettet werden.

Die Kopie der Festplatte kann aufgehoben werden. Möglicherweise findet sich irgendwann ein Weg, die Dateien wieder zu entschlüsseln.

Anschließend wurde geprüft, ob weitere Dateien gerettet werden können. Die dazu von mir im Internet gefundenen Tools und Anweisungen konnten leider nicht helfen.

Kann man die Windows-Installation retten?

Es gibt Anleitungen im Internet um derartige Schadsoftware zu entfernen. Meine Antwort lautet trotzdem: Nein, auf keinen Fall! So eine Windows-Installation ist korrupt.

Oft bringt ein Computervirus „Freunde“ mit, also weitere Schadsoftware.

Für mich gilt bei Computerviren generell: Ich bin nicht schlauer als die Programmierer von Virenschutzsoftware oder die Urheber von Schadsoftware.

Da ich den Anspruch habe, auf einem virenfreien System zu arbeiten, gilt für mich ohne Ausnahme: Ein verseuchtes Windows wird komplett neu installiert oder aus einem Image wiederhergestellt, das mit Sicherheit frei von Schadsoftware ist.

,

Ein Kommentar

  1. Hallo,
    Zu dem Trojaner gibts es noch einiges zu sagen :
    * Er verwendet ein Rootkit, das ihn herunterläd, und schon lange vorher Störungen verursacht.
    ** Das Rootkit verhindert diverse Updates (bei mir Flashplayer,.Net, und warscheinlich Virenscanner)
    ** Das Rootkit haben sie sich möglicherweise schon länger eingefangen (viele Spuk ist bei mir schon seit Monaten passiert, ohne das ich von einem Rootkit gewusst hätte. Nach dem entfernen geht alles wieder besser)
    ** Das Rootkit stört erfolgreich Virenscanner, und möglicherweise auch Firewall. Bei mir hat es geholfen, den Virenscanner neu herunterzuladen, anstatt seine Aktualisierungsfunktion zu benutzen (die gestört wird).
    ** Sie können auch mal versuchen im Abesicherten Modus zu starten, und von da eine vollständige Virensuche auszuführen, das dürfte auch Rootkits beseitigen (wenn sie bereits bekannt sind)
    * Der Trojaner mit HELP_TO_SAVE_FILES ist relativ frisch, antivirenprogramme brauchen Zeit, neue Schadprogramme zu finden, inzwischen, kann er gefunden und beseitigt werden (avast). Bei neuer Malware gilt auf gut deutsch: wer zu erst kommt hat die A****karte -> daher Daten sichern (auf CD Brennen oder auf abgesteckter externer Festplatte – angesteckte externe Festplatten findet und verschlüsselt dieser Trojaner). Ich habe zum Glück keine wichtigen Daten verloren, aber der Trojaner hat das Potential vernichtende Wirkung zu entfalten, wenn man seine Daten nicht sichert.
    * Suchen sie in [Systemlaufwerk]:\Dokumente_und_Einstellungen\[Benutzername]\Anwendungsdaten nach der „key.dat“ die vom Trojaner erzeugt wird . Diese Datei brauchen sie um möglicherweise ihre Daten widerherstellen zu können. Ein paar Typen von einer Englischsprachigen Internetseite haben ein Programm geschrieben, dass ihre Daten bei dem Vorgängertrojaner entschlüsseln kann. Für diesen Trojaner finden sie möglicherweise auch bald eine Lösung. Dafür ist die key.dat zwingend erforderlich.
    * Der Angriff stellt Computersabotage – also eine Straftat – dar. Sie könne also zu Polizei gehen. In dem meisten Fällen wird die Polizei zwar weder den Täter (der auf der ganzen Welt sein kann – vermutlich in der USA) finden, noch ihre Daten widerherstellen können, aber sie kann die Bevölkerung warnen und aufrufen ihre Daten zu sichern (Die HELP_TO_SAVE_FILES.txt am besten Ausdrucken).
    * Rückstände von Schadprogrammen können sie an die Programmierer von Antivirenprogrammen schicken, wenn die Malware neu ist. Die können es dann im nächsten Update bekämpfen. (Dazu offizielle Funktion von Antivirenprogramm oder der Webseite dafür verwenden, und auf keinen Fall ungefragt per E-mail schicken)
    * Es ist kein Virus sondern ein Trojaner. Korrekte Fachsprache ist oft hilfreich um nach Hilfe zu suchen.