Wer von einem Erpressungs-Trojaner bedroht wird, kann sich mit einem praktischen Onlinedienst Gewissheit verschaffen, welche Trojaner-Version bzw. -Variante am Werk ist und ob Abhilfe möglich ist.

Wenn Sie von einem Erpressungs-Trojaner betroffen sind, sollten Sie ganz sicher sein, mit welcher Version bzw. ggf. welcher Variante Sie es genau zu tun haben. Dann lässt sich das weitere Vorgehen planen. Um den Eindringling stoppen und entfernen zu können, müssen Sie wissen, wie er genau vorgeht. Und auch ob und ggf. wie die verschlüsselten Inhalte zurückgewonnen werden können, muss bei jeder Trojaner-Variante individuell beurteilt werden. Zum Identifizieren benötigen Sie:

• eine Ihrer Dateien, die vom Trojaner verschlüsselt wurde und/oder
• eine der Textdateien, die der Trojaner in verschlüsselten Ordnern platziert hat, um auf sich aufmerksam zu machen und zur Zahlung aufzufordern.

Mit diesen Informationen können Sie online ermitteln, welcher Trojaner sich bei Ihnen eingenistet hat. Oftmals reicht schon eine Google-Suche mit Auszügen aus der „Zahlungsaufforderung“, um schnell zu einem eindeutigen Trojaner-Namen zu kommen.

Besonders hilfreich beim Identifizieren ist eine Online-Erkennung auf der Webseite

https://id-ransomware.malwarehunterteam.com/.

Sie bietet eine automatische Identifizierung von Erpressungs-Trojanern anhand der hinterlassenen Dateien an. Dazu laden Sie eine verschlüsselte Datei und/oder eine Datei mit der Lösegeldforderung des Trojaners hoch. Wenn Sie beides gleichzeitig hochladen, ist die Erkennung besonders zuverlässig. Meist reicht es aber, eine von beiden Dateien bereitzustellen. Diese wird in Echtzeit analysiert und auf typische Spuren bzw. auf das verwendete Verschlüsselungs­verfahren untersucht. Hierzu werden sowohl formale Kriterien wie die Dateiendung bei verschlüsselten Dateien als auch inhaltliche Kriterien wie der Wortlaut der Lösegeldforderung zugrunde gelegt.

In den meisten Fällen kann der Dienst den Verursacher erkennen. Sie erhalten dann einen Namen ggf. mit einer Versionsnummer für die genaue Variante. Dazu gibt es eine erste Einschätzung, ob eine Möglichkeit bekannt ist, die Dateien zu entschlüsseln. Zusätzlich finden Sie einen Link, der Sie direkt zu weiteren Informationen über den Trojaner und seine Funktionsweise führt. Idealerweise finden Sie dort direkt ein Tool zum Entschlüsseln Ihrer Dateien. Leider wird das aber nicht immer der Fall sein.

[erpresser]

Sollte mit der Online-Erkennung auch nach mehreren Versuchen mit verschiedenen Dateien keine Identifizierung gelingen, handelt es sich eventuell um einen neuen Trojaner bzw. eine neue Variante, die noch nicht erkannt werden kann. In dem Fall bleibt Ihnen die Information aus der Lösegeldforderung, um mit Google & Co. auf eigenen Faust aktuelle Informationen zu finden. Alternativ kann auch der Virenscan des PCs zu einer eindeutigen Identifizierung führen.