Zahlreiche Meldungen über die Schadsoftware TeslaCrypt an die Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware oder – in Englisch - «Ransomware».

So läuft die Erpressung

Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker oder Cryptowall scheint sich die neue Variante fast ausschliesslich über infizierte E-Mailanhänge zu verbreiten. Der Anhang ist des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden, beispielsweise Fotos, Excel- oder Word- Dateien. Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können. Das ist eine Erpressung.

Noch keine Methode zur Datenwiederherstellung

Verschiedene Antivirenprodukte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln.

Bitte nicht zahlen!

Die Melde- und Analysestelle Informationssicherung MELANI rät trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Wer zahlt, finanziert gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Stets ein Backup machen!

Diese Bedrohung zeigt: Man muss stets ein aktuelles Backup haben. Im Falle einer Infektion wird empfohlen, den Computer sofort von allen Netzwerken zu trennen. Dann ist eine totale Säuberung des Computers fällig. Darauf folgen die Neuinstallation des Systems und das Ändern aller Passwörter. Erst nachdem diese Massnahmen erledigt worden sind, können dann, sofern vorhanden, die Backupdaten zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es laut MELANI empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern. Dann lassen sie sich allenfalls später noch entschlüsseln, wenn hierzu einmal eine Lösung gefunden werden sollte.