Derzeit treibt der Verschlüsselungs-Trojaner „Locky“ sein Unwesen im Internet. Sollte der Computerschädling auch schon auf eurer Festplatte Schaden angerichtet haben, so bieten wir hier ein paar potentielle Möglichkeiten zur Dateien-Wiederherstellung – ohne die Erpressungssumme zahlen zu müssen. Sollte der Schädling sich derzeit noch auf eurem PC befinden so lest unbedingt auch diesen Artikel um den Locky Virus von eurem System zu entfernen. 

Wie immer im Leben gilt die Devise: Zeit ist Geld. Nachdem Ihr den Trojaner auf eurem System bemerkt habt solltet ihr umgehend handeln – jede verstrichene Minute macht das (kostenfreie) Wiederherstellen von euren Dateien unwahrscheinlicher und die Schadsoftware kann sich weiter ausbreiten.

Locky Dateien sichern (mit zweit PC)

Sobald ihr einzelne .locky-Dateien auf eurem Computer vorfindet, solltet ihr im optimalen Fall direkt herunterfahren – auch das Netzwerkkabel sollte zur Sicherheit erstmal entfernt werden. Wer über etwas technisches Know-How verfügt und zusätzlich einen zweiten Rechner zur Verfügung hat, sollte nun die Festplatte aus dem betroffenen Rechner ausbauen und in den Zweit-PC als zusätzliches Laufwerk einbauen.

Durchsucht nun alle euren wichtigen Ordner und kopiert auch die bereits verschlüsselten .locky-Dateien auf eure Hauptplatte. Wir merken an: Das reine kopieren von .locky-Dateien führt nicht zur einer Infektion auf eurem Zweitrechner – der Trojaner müsste direkt über die betroffene .exe-Datei gestarten werden um Schaden auf eurem Zweit-PC anzurichten.

Damit habt ihr von euren wichtigen Dateien (inkl. bereits verschlüsselten Dateien) schonmal vorsorgliches Backup angelegt – dieses kann uns noch in Zukunft wichtig sein.

Locky Dateien sichern (ohne zweit PC)

Wer über keinen (sauberen) zweiten Rechner verfügt, oder nicht die Möglichkeit hat den Rechner zur öffnen – kann auch auf diese Methode zurückgreifen: Sobald erste Anzeichen des Trojaners bemerkt werden sollte das Netzwerkkabel getrennt werden bzw. das WLAN ausgeschaltet werden – damit sichert ihr eventuell vorhandene Netzwerklaufwerke vor der näherrückenden Verschlüsselung.

Öffnet euren Taskmanager, mit der Tastenkombination: STRG+ALT+ENTF und sucht nach verdächtigen Prozessen – meistens tarnt sich Locky als svchost32 – achtet darauf, dass ihr nur die Schadsoftware beendet und keine Windows-Prozesse. Folgt nun unserer Löschanweisung und führt NUR die Schritte bei „(2) Temporären Ordner“ und „(3) Registry-Einträge“ durch.

Wenn ihr ein leeres Speichermedium besitzt DVD, USB-Stick, externe Festplatte – so sichert ihr nun alle .locky-Dateien auf diesem zusätzlichen Speicher. Um die .locky-Dateien aufzuspüren führt einfach eine Windows-Suche nach „.locky“ im Hauptverzeichnis aus.

Solltet ihr kein leeres externes Speichermedium besitzen – so könnt ihr alternativ auch alle .locky-Dateien einmal in einen zusätzlichen Ordner kopieren. Diese Dateien in ihrer verschlüsselten „Originalausführung“ könnten für die Zukunft wichtig sein – falls die Verschlüsselung geknackt werden sollte bzw. ihr doch das Lösegeld bezahlen müsst.

Kostenfreie Wiederherstellung

Kommen wir nun zum eigentlichen Hauptthema dieses Artikels, dem kostenfreien wiederherstellen von verschlüsselten .locky-Dateien. Eins vorweg: Nicht jede Datei die einen .locky-Dateinamen besitzt ist bereits verschlüsselt. Warum das so ist möchten wir hier kurz erklären.

Der Locky-Trojaner durchsucht zuerst die Hauptfestplatte nach bestimmten Dateiendungen, danach beginnt die Ransomware mit dem umbenennen aller gefundenen Dateien. Dank der fremden Endung und kryptischen Dateinamens sind bereits jetzt alle Dateien nicht mehr mit den Originalprogrammen zu öffnen – jedoch sind diese immer noch unverschlüsselt. Erst im zweiten Durchlauf verschlüsselt Locky die Dateien tatsächlich mit der starken RSA-Verschlüsselung.

Ihr könnt nun bei jeder Datei probieren ob die Verschlüsselung bereits eingesetzt hat – dazu benennt einfach ein euch bekanntes Word-Dokument oder auch Bild-Datei von „7D342090892C489.locky“ wieder in „document.doc“ bzw. „image.jpg“ um. Wenn nun euer Standardprogramm die Datei wieder problemlos anzeigen kann, war diese noch nicht verschlüsselt – damit ist die Wahrscheinlichkeit auch recht groß, dass ein Großteil der Dateien lediglich nur umbenannt wurde und weil Locky seine Arbeit noch nicht komplett abgeschlossen hatte.

Kostenfrei Wiederherstellung (weitere Möglichkeit)

Je nachdem von welcher Trojaner-Variante ihr befallen seit, helfen manchmal auch die Windows-Bordmittel um eine kostenfreie Wiederherstellung eurer Dateien zu ermöglichen. Öffnet dazu euer Startmenü und tippt in das Suchfeld „Systemwiederherstellung“ – nun sollte die Suche euch ein Programm vorschlagen, öffnet dieses.

Klickt nun den Assistenten durch, bis ihr zur Auswahl der möglichen Wiederherstellungspunkte gelangt – dort klickt ihr auf ein älteres Datum vor der Infektion und probiert eine Systemwiederherstellung. Sollten die Dateien weiterhin mit der .locky-Endung vorhanden sein könnt ihr nochmal unsere erste Möglichkeit zur Wiederherstellung probieren.

Wenn die Dateien weiterhin verschlüsselt bleiben und ihr trotzdem auf die Daten angewiesen seit, so bleibt euch nur die Möglichkeit zu Zahlen. Als alternative dazu würde nur das abwarten bleiben: Etwa wenn die Erpresser bei der Verschlüsselung geschlampt hätten oder die Polizei die Kontroll-Server sicherstellen könnte.