Moin
Hört sich sehr nach einer Variante des Bundespolizei Trojaners an. Bekannt wurde der Virus jedoch ursprünglich unter anderem Namen, aber das ist schon ne ganze Weile her. Die Abzocker schlafen nicht und passen das Teil ständig an. Ganz am Anfang war die Sprache nur Englisch, dann folgten lokalisierte Versionen mit entsprechenden Anpassungen an die örtlichen, tatsächlichen vorhandenen Behörden. Das heisst, dass inzwischen nur noch spezielle, an die jeweilige Landessprache angepasste Varianten beim Benutzer "installiert" werden. Die spanische Version meldet sich z.B. mit "La Policía ESPAÑOLA" mit dem entsprechenden Wappen der dortigen Polizei. Auch die Lokalisierungen werden immer besser. Die ersten deutschen Versionen z.B. hatten noch ein lausiges Deutsch, mittlerweile ist die "Qualität" deutlich besser, wenn auch nicht Fehlerfrei.
Auch das Verhalten wie sich das Teil einnistet ändert sich regelmässig. Das ist das übliche Katz und Mausspiel zwischen Abzocker und AV-Herstellern. Die Angaben nach welchen Dateien zu suchen ist, ist leider nur begrenzte Zeit gültig und hängt davon ab, wie exakt man die Mutation identifizieren kann.
Ich hatte schon zig solcher Fälle bei Kunden und auch schon ein paar wenige im privaten Kreis. Nach meinen bisherigen Beobachtungen ist die Ransomware jedoch glücklicherweise nicht auf Zerstörung ausgelegt. Das wäre auch reichlich dämlich, denn die Abzocker wollen sich ja nicht ihre Verdienstgrundlage zerstören. Ausserdem ist ein befallenes System zumindest zur Zeit noch relativ einfach zu säubern, ohne das irgendwelche tickende Zeitbomben zurückbleiben. Aber auch das kann sich evtl. in neueren Versionen ändern. Bisher war es nie nötig, ein System komplett neu aufzusetzen. Das haben wir bisher nur bei Unternehmens-Kritischen PCs gemacht um absolut sicher zu gehen. Denn um zweifelsfrei entscheiden zu können, ob ein System wirklich sauber ist, brauchts einen Computer-Forensiker und der kostet. Zumal die auch nicht auf den Bäumen wachsen. ;-)
Sehr gute Erfahrungen hab ich mit der Recovery CD von Kaspersky gemacht. Kaspersky bietet mittlerweile sogar eine speziell für diese Sorte Ransomware erstelle CD an. Darauf enthalten ist neben der Recovery Suite auch der "Windows Unlocker". Dessen einziger Zweck ist es, die Registry gezielt bei den verdächtigen Schlüsseln zu durchsuchen und dann die Einträge zu löschen die da nicht hingehören bzw. durch die korrekten Einträge zu ersetzen.
Das ISO gibt es im Support-Bereich bei Kaspersky
Ich habe bisher das System immer ganz normal mit der Recovery Disk bereinigt und anschliessend die Registry manuell korrigiert. Inwiefern der automatische Unlocker funktioniert kann ich nicht sagen. Aber wenn ich mir die Qualität von Kaspersky bei etlichen Virus-Fällen so ansehe, dann würde es mich nicht wundern, wenn der Unlocker ebenfalls gute Arbeit leistet. Aber der Unlocker kann nicht alle zukünftigen Fälle lösen, da die Ransomware ständig verändert wird.
@Lou
Ich glaube das ist Aussichtslos. Hinter dieser Ransomware steckt vermutlich nicht einer alleine, sondern eher eine Organisation. Das Teil ständig an geänderte Bedingungen anzupassen und zu lokalisieren, das kann einer alleine nicht stemmen. Selbst wenn sie denn mal EINEN erwischen, machen die anderen munter weiter. Hinter diesem Teil steckt grosse kriminelle Energie und wie es aussieht auch einige Resourcen.