Wie man seine Dateien noch retten kann
von Alfred Krüger
Nichts geht mehr, wenn der PC mit einem neuen, fiesen Computerschädling infiziert ist: Der Trojaner sperrt das ganze Betriebssystem. Den Freischaltcode gibt es über eine teure Service-Nummer. Doch auch ohne den Anruf muss nicht alles verloren sein.

---

Es ist der Albtraum eines jeden Nutzers: Man startet seinen Rechner, doch der Zugriff auf Bilder, Dokumente oder E-Mails bleibt versagt. Stattdessen öffnet sich ein blaues Fenster mit der Überschrift: "Windows license locked!" Nichts geht mehr, denn die Windows-Lizenz wurde blockiert. Schuld ist ein Trojaner, der zurzeit die Runde macht und Windows-Nutzer vom eigenen Rechner aussperrt.

Gefälschte Meldung von Microsoft
"Diese Windows-Kopie ist gesperrt", heißt es weiter im Text. Schuld könnte ein Schadprogramm oder ein Systemfehler sein, wird scheinheilig erklärt. In jedem Falle sei es erforderlich, die Windows-Aktivierung erneut durchzuführen, kann der verstörte Nutzer in dem blauen Fenster lesen. Der Text erweckt den Eindruck, als handelte es sich um eine offizielle Meldung von Microsoft.
Das Gegenteil ist der Fall. Die Nachricht kommt von Cyberkriminellen, die mit dieser neuen Betrugsmasche arglose Windows-Nutzer abkassieren wollen. Betroffene Nutzer haben sich ein Schadprogramm eingefangen, das diese Meldung generiert und den Rechner völlig lahmgelegt hat.

Lösegeld per Telefon
In einem weiteren Fenster erfährt der Nutzer, wie er sein Windows-Betriebssystem wieder aktivieren kann. Er müsse eine angeblich kostenlose, in Wahrheit aber teure Telefonnummer anrufen und erhalte dort einen neuen Freischaltcode. Die Anschlüsse befinden sich in Taiwan, auf Madagaskar oder im Inselstaat São Tomé und Príncipe vor der Westküste Afrikas.
Die Cyberkriminellen verdienen an den anfallenden Gesprächsgebühren mit. Sie hätten laut dem finnischen Sicherheitsunternehmen F-Secure Mittel und Wege gefunden, die teuren Auslandsanrufe in Billigländer umzuleiten, wobei dem Nutzer trotzdem die hohen Gesprächskosten in Rechnung gestellt werden. Die Differenz zwischen den regulären Kosten und den tatsächlich anfallenden Gebühren streichen die Cyberkriminellen als eine Art Lösegeld ein.

---

Infobox
Erste Hilfe bei Lösegeld-Trojanern
Lösegeld-Trojaner sperren das System. Ein Zugriff auf die gespeicherten Dateien ist nicht mehr möglich. In der Regel hilft nur eine Neuinstallation des Betriebssystems, um sicher zu sein, dass der Lösegeld-Trojaner nicht irgendwann wieder aktiv wird.

Die eigenen Dateien müssen allerdings nicht zwangsläufig verloren sein. Sie sind auf der Festplatte gespeichert. Es kann mit dem bisher installierten Betriebssystem nur nicht mehr auf die Dateien zugegriffen werden. Abhilfe schafft eine bootfähige CD, mit der man seine wichtigen Dateien retten kann. Wie man eine solche Boot-CD erstellt, sollte man in der Hilfesektion seines jeweiligen Betriebssystems nachlesen.

Auch bootfähige Linux-CDs oder DVDs wie etwa Knoppix(Externer Link - Öffnet in neuem Fenster) können bei der Datenrettung hervorragende Dienste leisten. Sie starten von CD oder DVD und erlauben es, die Daten, die sich auf der Festplatte befinden, trotz gesperrter Windows-Version auf einen externen Datenträger zu kopieren.

Immer derselbe Freischaltcode
F-Secure hat die sechs genannten Telefonnummern getestet. Bevor der Nutzer seinen Freischaltcode bekommt, wird er mehrere Minuten lang in der Leitung gehalten, damit auch wirklich hohe Gebühren anfallen. Anschließend bekommt er eine Zahlenfolge, mit der er sein System wieder freischalten kann. Es sei immer derselbe Code "1351236", fanden die finnischen Experten heraus.

Betroffene Nutzer sollten diese Zahlenreihe ausprobieren, bevor sie eine der teuren Telefonnummern anrufen, raten die Experten. Im Übrigen sei das neue Gaunerstück ziemlich clever eingefädelt. Die Meldungen wirkten so echt, "dass einige Opfer zunächst gar nicht bemerken, dass sie hereingelegt wurden", heißt es bei F-Secure.

Trojaner verschlüsselt Dateien
Der neue Lösegeld-Trojaner, der auf den Namen "Trojan.Generic.KDV.153863" hört, ist nicht der erste seiner Art. Das russische Sicherheitsunternehmen Kaspersky meldete bereits Ende März ein ähnliches Schadprogramm, das Bilder, Videos und Textdateien auf der Festplatte verschlüsselt. "Wegen der verwendeten starken Verschlüsselung ist es nicht möglich, die Daten wiederherzustellen, warnte Kaspersky.
Dem Anwender bleibe nur die Möglichkeit, das Lösegeld zu zahlen und darauf zu hoffen, dass ihm die Betrüger den nötigen Schlüssel auch tatsächlich zuschicken, sagten die Experten. Wer sich vor solchen und ähnlichen Angriffen schützen wolle, müsse von seinen Daten regelmäßig Sicherungskopien anfertigen und diese auf einem externen Datenträger speichern.

---

MEDIATHEK
Video Internetbetrug als Geschäftsmodell; Gelöschte Dateien wiederherstellen Eine letzte Hoffnung bleibt dem Nutzer aber auch dann, wenn er keine Sicherungskopien besitzt. Nachdem die Dateien verschlüsselt wurden, werden die Originale gelöscht. Damit verschwinden sie allerdings nicht von der Festplatte. Gelöschte Dateien lassen sich mit einem sogenannten "Recovery-Programm" wiederherstellen, sofern sie beim Löschen nicht überschrieben wurden. Wie das mit Hilfe eines kostenlosen Programms funktioniert, wird auf dem Portal über Internet-Sicherheit viruslist.com Weitere Infos (Externer Link - Öffnet in neuem Fenster) Schritt für Schritt erklärt.