Virus hat Dateien verschlüsselt und in locked-*.???? umbenannt

Aus ITwiki
Version vom 8. Mai 2012, 09:30 Uhr von Franky (Diskussion | Beiträge)

Wechseln zu: Navigation, Suche

Problem

Ein Virus hat sämtliche Benutzerdateien, wie Bilder und Dokumente, verschlüsselt und in locked-*.???? umbenannt. Beispielsweise heisst das Bild Urlaub.jpg heisst jetzt locked-Urlaub.jpg.qjiy. Die Dateien sind unbrauchbar. Auch das Umbenennen in den alten Namen mit dem Original-Suffix bringt nichts.

Lösung

Der Virus bringt meistens eine Aufforderung einen bestimmten Betrag zu zahlen, damit dieser die Dateien wieder entschlüsselt. Dies sollte aber auf keinen Fall vorgenommen werden.

Zuerst muss man den Virus entfernen. Dies kann man mit einer Rescue Disk machen. Danach die Autostarteinträge mit Hilfe von msconfig überprüfen und ggf. verdächtige Einträge deaktivieren und dann löschen.

Wenn man keine Datensicherung der Dateien hat, gibt es eine Möglichkeit die Dateien wieder herzustellen. Dazu benötigt man das Programm Avira RansomFileUnlocker 1.0.1, eine verschlüsselte Datei und die selbe Datei im Original, also unverschlüsselt. Falls für ein paar Dateien eine Sicherung vorhanden ist, kann man daraus eine Datei verwenden, ansonsten gibt es noch die Hoffnung auf die Beispielbilder von Windows, falls man diese noch nicht gelöscht hat. Sie werden in der Regel vom Virus auch mit verschlüsselt. Die Beispielbilder befinden sich unter Windows 7 standardmäßig im Ordner C:\Users\Public\Pictures\Sample Pictures (Alias: Benutzer > Öffentlich > Öffentliche Bilder > Beispielbilder). Als Original verwendet man dazu einfach das Bild von einer anderen Windows Installation.

Mit dem RansomFileUnlocker von Avira ist es nun möglich ganze Verzeichnisse mit Hilfe der beiden Dateien zu entschlüsseln. Viel Erfolg!


Wie man sieht, is es wichtig eine regelmäßige Datensicherung vorzunehmen, um so einem Problem zukünftig entgegen zu wirken!

Nützliche Links