BKA Trojaner - Verschlüsselte Dateien wiederherstellen

Scareware, die unter einem fingierten Vorwand den Computer blockiert und den Nutzer auffordert Geld über UKASH oder andere anonyme Dienstleister zu überweisen, ist seit langem eine echte Qual. Scheinbar gibt es immer noch Betroffene die alle Warnungen ignorieren und trotzdem bezahlen.

Über Scare- bzw.  Fraudware hatten wir bereits einen Artikel erstellt.

In Deutschland sehr verbreitet ist der BKA-Trojaner der in immer neuen Varianten erscheint. Leider wird der Trojaner immer hartnäckiger und der Schaden den er hinterlässt immer gravierender, eine aktuelle Variante geht sogar so weit alle Dateien im Nutzerverzeichnis zu verschlüsseln. Der BKA-Trojaner gibt vor, illegale Aktivitäten entdeckt zu haben, für die man sich freikaufen soll.

 bka-trojaner

Weitere Varianten geben vor das die Windows-Lizenz abgelaufen sei oder die GEMA Gebüren bezahlt werden sollen.

Aus einem befallen System lässt sich der Trojaner nicht mehr entfernen. Man benötigt einen aktuellen Virenkiller auf einem externen Startmedium auf CD oder USB-Stick. Leider zerstören die aktuellen Versionen des BKA-Trojaners auch wichtige Systemtools wie regedit und task-manager. An zahlreichen Stellen wird zudem die Registry verbogen damit z.B. Updates nicht mehr möglich sind. Daher ist es häufig ratsam die Systempartition zu formatieren und Windows neu zu installieren.

Wie kommt man an die eigenen Dokumente wenn sie verschlüsselt sind?
Man erkennt die alten Dateien an dem "locked"-Zusatz im Dateinamen.

  • locked-Familienfoto.JPG.lrgp
  • locked-WichtigesDokument.DOC.lrgp
  • ....

Mit etwas Glück handelt es sich bei Ihnen nicht um eine echte Verschlüsselung sondern um einen zufälligen Schlüssel der den Dateiinhalt maskiert (XOR). Um den Schlüssel ermitteln zu können, benötigt man eine unverschlüsselte Datei für den Vergleich. Notfalls reicht eines der Originalbilder aus den Windows Beispieldateien.

UPDATE 1. Jun 2012

Es gibt seit Mitte Mai neue Versionen des Verschlüsselungstrojaners. Sie verbreiten sich als Rechnung in ZIP-Dateien getarnt über Emails. Diese Trojaner zerstören die Dateien duch zufällige Dateinamen dem wahllosen Füllen des Dateiinhaltes. Die so zerstörten Dateien können vermutlich nicht entschlüsselt werden. Wenn unter Windows 7 oder Vista automatische Backups aktiviert waren, dann kann man versuchen die alten Inhalte über die Schattenkopie wiederherzustellen.

Das sollte man einen Fachman machen lassen.

 

Wie entschlüsseln?

Kopieren Sie sich den "Eigene Dateien"-Ordner in ein virenfreies System und laden eines der Tools am Endes dieses Artikels herunter. Wir benutzen das Tool von Kaspersky, das bislang schnell und zuverlässig funktioniert hat. Wählen Sie erst die Originaldatei und danach die verschlüsselte Version. Das Kaspersky-Tool beginnt daraufhin den Scan und erzeugt entschlüsselte Dateien.

Verbreitung des BKA Trojaners

Scareware verbreitet sich übrigens nicht immer über Schwachstellen im System sondern über Downloads und Emails. Durch Täuschung oder pure Ignoranz hat das Opfer manchmal der Installation sogar zugestimmt. Andere Verbreitungswege sind DriveBy-Downloads auf pornografischen Seiten durch ungepatchte Browser oder Betriebssysteme.

Der aktuelle BKA-Trojaner ist übrigens genau genommen Ransomware (Ransom=Erpressung). Angesichts der kriminellen Energie mit der der Schädling ans Werk geht ist und der hohen Verbreitung ist uns unverständlich, warum nicht mehr gegen die internationalen Banden hinter der Masche getan wird.

Decrypttools für verschlüsselte Dateien

Weitere Informationsquellen