Ist euer Computer oder Server von dem Verschlüsselungstrojaner Locky betroffen? Wir zeigen euch Möglichkeiten um den Schädling wieder von eurem PC zu entfernen. Vorab Information: In dieser Anleitung zeigen wir nur verschiedene Möglichkeiten zum Entfernen auf – die Wiederherstellung der Dateien werden wir in einem separaten Artikel behandeln. Durch entfernen des Schädlings bleiben die Dateien verschlüsselt! – neu erstellte Dateien werden so aber vor der Verschlüsselung geschützt.

Der Locky-Trojaner kommt meist über SPAM-eMails auf euren Computer, wo etwa ein manipuliertes Word-Dokument als Anhang schlummert. Sobald man die Markos in einer solchen Office-Datei freigibt nimmt das Schicksal seinen lauf und verschlüsselt nach und nach alle wichtigen Dokumente & Fotos auf eurer Festplatte. Auch neu angelegte Dateien werden nach einiger Zeit verschlüsselt werden – wer also mit dem Rechner weiterarbeiten möchte, muss zunächst den Schädling entfernen.

1. Methode: Formatieren & Neuinstallieren

Wer absolut auf Nummer Sicher gehen möchte, sollte seinen Festplatte komplett formatieren und später Windows inkl. aller Programme neu installieren. Auch wenn diese Methode durch die Neuinstallationen etwas mehr Zeit beansprucht, zahlt sie sich in der Regel aus: Das System ist anschließend wirklich von jeglichen Schadprogrammen gesäubert und der Computer startet meist wieder schneller als bisher.

2. Methode: Spurensuche

Wer sich den Aufwand mit der Neuinstallation aller Programme sparen möchte, kann auch lediglich den Locky-Trojaner entfernen. Bei dieser Methode ist zu beachten, dass es hier keine hundertprozentige Sicherheit gibt – wenn z.B. der Trojaner  zwischenzeitlich verändert wurde können weiterhin Reste des Programms übrig bleiben die noch Schaden anrichten können.

(1) Taskmanger überprüfen:

Öffnet euren Taskmanger mit der Tastenkobination „Strg“+“Alt“+“Entf“ – nun müsst ihr nach auffälligen Prozessen suchen – Locky tarnt sich manchmal auch als „svchost.exe³²“ – aber auch andere Namen sind möglich. Der eigentliche Trojaner liegt meist im Verzeichnis: C:\USER\User\Appdata\local\Temp\ – dazu im nächsten Absatz mehr.

(2) Temporären Ordner:

Um auf den temporären Ordner zuzugreifen, öffnet ihr am besten euer Windows-Startmenü und gebt in die Suchzeile „%temp%“ ein und öffnet dann den Ordner. Nun sollte man den temporären Benutzerordner nach einer auffälligen .exe-Datei durchsuchen (%Temp%\[random].exe) – hat man eine entsprechende Anwendungsdatei gefunden so löscht sie umgehend und entleert anschließend auch den Papierkorb.

(3) Registry-Einträge:

Der Kyptotrojaner „Locky“ legt außerdem in der Windows-Registrierung einige Einträge an, auch diese müsst ihr entfernen – öffnet zunächst eurer die Registry indem ihr in das Startmenü-Suchfeld „Ausführen“ eintippt, das Programm öffnet und nun „regedit“ eingebt. Nun navigiert ins folgende Verzeichnis:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Entfernt den den Eintrag mit dem Namen „Locky„. Anschließend wechselt ihr in das nachfolgende Verzeichnis ins Registry-Editor:

HKCUSoftwareLocky

Dort entfernt ihr ebenfalls alle Untereinträge (id, pubkey, paytext, completed), sowie den Haupteintrag. Sollte der Trojaner auch schon euer Hintergrundbild geändert haben so müsst ihr in das folgende Verzeichnis wechseln:

HKCUControl PanelDesktopWallpaper

und dann den Eintrag „%UserProfile%\Desktop\_Locky_recover_instructions.bmp“ löschen.

(4) Autostart überprüfen:

Überprüft auch den Autostart eures Windows-Systems, dazu öffnet ihr wieder das Startmenü und gebt in die Suchzeile „Ausführen“ ein. Öffnet das nun angezeigte Programm und gebt „msconfig“ ein, bestätigt mit OK. Navigiert nun zur Registerkarte „Systemstart“ und deaktiviert alle verdächtigen Anwendungen.

(5) Hosts-Datei überprüfen:

Viele Trojaner manipulieren auch oftmals die Hosts-Datei von Windows. Um das zu überprüfen öffnen wir das Windows Startmenü und übergeben folgenden Befehl in das Suchfeld: „notepad %windir%/system32/Drivers/etc/hosts„.

Sollte unter den normalen „127.0.0.1 localhost“ noch weitere Adressen mit unterschiedlichen IP’s stehen – so entfernt diese Einträge und speichert die Datei ab.

(6) Reboot:

Nun habt ihr ein Großteil der Arbeit schon erledigt – startet nun den Rechner einmal neu und ladet euch zum Check noch das Programm „Sophos Virus Removal Tool“ herunter. Dies ist eins der wenigen Freeware Programme die aktuell den Locky-Trojaner zuverlässig aufspüren können. Nach Durchlauf des Programms (kann einige Zeit dauern) sollte der Trojaner entfernt & euer System wieder sicher sein.