locky_screenshot

Anleitung: Locky entfernen – was tun, wenn der Trojaner zugeschlagen hat?


Locky ist derzeit wohl die verbreitetsten Version eines Ransomware-Trojaners, der die Nutzer eines Computers versucht zu erpressen. Dabei werden alle persönliche Dateien (Audio-, Dokument-, Video-, Bild-, Datenbank-, Archiv- und andere Dateien) mit der Verschlüsselungsmethode AES verschlüsselt und anschließend eine Datei generiert, die eine Lösegeldforderung enthält. Nur wer den geforderten Betrag (bis zu 1 Bitcoin) bezahlt, bekommt den Schlüssel um wieder Zugriff auf die Dateien zu bekommen.

Wichtig: Es gibt derzeit keine Möglichkeit, die verschlüsselten Daten zu 100 Prozent wieder her zu stellen! Man sollte sich daher bereits im Vorfeld absichern.

Sicherheitsmaßnahmen gegen Ransomware

Man kann sich als Nutzer bereits vor einem erfolgreichen Angriff absichern um im Notfall auch ohne Lösegeldzahlung die eigenen Dateien wieder herstelle zu können. Dazu ist es wichtig, regelmäßig ein Backup der eigenen Daten anzufertigen und dieses Backup auf einer externen Festplatte oder einem anderem externen Speicher abzulegen. Das Backup darf nicht mit dem Rechner verbunden sein, sonst wird es auch mit verschlüsselt und ist damit nutzlos.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt zu Backups:

  1. Sichern Sie regelmäßig Ihre Daten auf ein externes Speichermedium, beispielsweise eine USB-Festplatte, einen USB-Speicherstick oder einen vertrauenswürdigen Cloud-Speicher.
  2. Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie deshalb das Speichermedium für Ihre Datensicherungen nicht dauerhaft mit Ihrem Computer.
  3. Bewahren Sie ihre Datensicherung getrennt von Ihrem Computer an einem geschützten Ort auf. Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
  4. Prüfen Sie anhand einiger ausgewählter Dateien, ob sich die gesicherten Daten auch tatsächlich wiederherstellen lassen.

Hat man ein funktionsfähiges Backup, kann man den befallenen Rechner komplett formatieren und dann Windows und die eigenen Dateien neu aufspielen.

Es gibt mittlerweile auch den Locky Virus Ransomware Blocker von malwarebytes, der angeblich Locky Infektionen sehr schnell blocken soll. Ein Backup ist aber auf jeden Fall die sicherste Lösung.

Diese Maßnahmen funktioniert aber natürlich nur, wenn man VOR einem Angriff das Backup erstellt hat.

Was tun wenn kein Backup vorhanden ist?

Ohne ein Backup der verschlüsselten Dateien besteht die Gefahr, dass viele Daten komplett verloren sind. Prinzipiell sollte man hier auf zwei Arten vorgehen:

  • die Locky-Malware vom Rechner entfernen
  • die verschlüsselten Dateien wieder entschlüsseln

Für die Entfernung des Locky Trojaners selbst empfiehlt sich eine professionelle Anti-Virensoftware. Avira hat bereits gemeldet, dass auch die kostenfreie Version Locky erkennt und beseitigt. Bei anderen Anbietern wird es wohl auch bald diese Funktion geben. Unabhängig davon sollte man aber nach dem Entfernen darüber nachdenken, dass System komplett neu aufzusetzen, denn es besteht immer die Gefahr, das Malware nicht erkannt wird und weiter im System verbleibt.

Ist der Trojaner entfernt, sind die Dateien allerdings nach wie vor verschlüsselt. Die reine Entfernung von Locky ändert daran leider nicht. Es gibt aber mittlerweile einige Tools, mit denen man versuchen kann, die Dateien zu retten. Aktuell sind das folgende Varianten:

Eien Garantie für den Erfolg gibt es aber leider nicht. Man sollte auch davon Abstand nehmen, aus dem Netz angebliche Entschlüsselungstools zu laden. Oft verbergen sich dahinter noch weitere Viren.

Locky – Lösegeld zahlen oder nicht?

Falls gar nichts mehr hilft, besteht natürlich auch die Möglichkeit, das Geld zu bezahlen und zu hoffen, dass man dann wieder an die Daten kommt. Das FBI sieht die Zahlung sogar als schnellsten Weg, umd wieder an die Daten zu kommen. Das deutsche BSI warnt dagegen vor einer Zahlung. Dort heißt es:

Ist der Rechner bereits befallen, rät das BSI davon ab, auf die Lösegeldforderungen einzugehen, denn die Dateien oder Programme werden in vielen Fällen trotz Bezahlung nicht entschlüsselt. Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten. Anschließend hilft meist nur ein komplettes Neuaufsetzen und Aufspielen eines Daten-Backups.

Tatsächlich gibt es keine Garantie, dass mit einer Zahlung auch wirklich die Daten wieder frei bekommen werden können. Zum einen ist nicht sicher, ob die Schlüssel für eine Entsperrung wirklich verschickt werden. Dazu kann eine Entschlüsselung auch an technischen Problemen scheitern und einen Support bei Schwierigkeiten gibt es bei Erpressungstrojanern aus nachvollziehbaren Gründen nicht.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.