BKA-Trojaner: So können Sie private Fotos wiederherstellen

Den BKA-Trojaner gibt es in immer neueren Versionen, dadurch wird er hartnäckiger und hinterlässt noch größeren Schaden. Die Anleitung soll Ihnen helfen private Fotos wieder herzustellen.

Haben Sie den BKA-Trojaner erst einmal entfernt, kommt meist das ganze Ausmaß der Schadsoftware zum Vorschein. Die wichtigen privaten Dokumente, die geliebte Musiksammlung und digitale Urlaubsfotos alles zerstört? Nein keine Panik, denn meistens sind die Dateien und Ordner alle noch vorhanden. Nur können diese nicht mehr geöffnet werden, weil Sie durch den Trojaner verschlüsselt wurden. Wie hartnäckig die Verschlüsselung ist hängt von der jeweiligen Version des BKA-Trojaners ab. Die folgende Schritt-für-Schritt Anleitung soll Ihnen helfen die Verschlüsselung aufzuheben.


1. Schritt – Verschlüsselte Dateien/ Ordner erkennen

Bereits ab der zweiten Generation des BKA-Trojaners, kamen nach dem entfernen die verschlüsselten Dateien zum Vorschein. Dabei handelt es sich allerdings um eine Pseudo-Verschlüsselung sprich eine vorgetäuschte Codierung. Die soll dem Nutzer vorspielen die Dateien im Nutzerverzeichnis (User) sind verschlüsselt meist am Dateizusatz: „locked-urlaubsfoto1.jpg.lrgp“ zu erkennen. Häufig betroffen sind die folgenden Ordner (siehe Bild).

Windows Bibliotheken

Wenn man so will, sind die ganzen Bibliotheken-Ordner betroffen, wo Windows im Normalfall die privaten Daten sichert.

Mein Tipp:
Ob es sich um eine Pseudo-Verschlüsselung handelt können Sie ganz leicht überprüfen, in dem Sie die Datei umbenennen:

» locked-urlaubsfoto1.jpg.lrgp = urlaubsfoto1.jpg

Sollten Sie danach die Datei normal öffnen können, sind Sie mit einem blauen Auge davon gekommen.

Falls da Öffnen jedoch nicht geklappt hat müssen Sie mit dem zweiten Schritt fortfahren.

2. Schritt – Verschlüsselte Dateien kopieren

Im zweiten Schritt sollten Sie die verschlüsselten Dateien auf einen nicht infizierten Datenträger wie zum Beispiel einen USB-Stick oder eine externe Festplatte kopieren. Nachdem der Kopiervorgang abgeschlossen wurde, können Sie den Datenträger an ein Gerät ihrer Wahl anschließen. Wichtig ist, dass es sich beim anderen PC auch um ein virenfreies System handelt. Außerdem sollten Sie daran denken, die verschlüsselten Dateien erst dann von ihrem PC zu löschen falls die Wiederherstellung erfolgreich durchgeführt wurde.

3. Schritt – Decrypt Software herunterladen

Nachdem Sie die infizierten Dateien kopiert haben, benötigen Sie noch die passenden Programme um ihre privaten Fotos zu entschlüsseln. Hierbei haben sich die nachfolgenden Tools bewährt.

Wenn Sie sich für die .zip-Datei entschieden haben, müssen Sie die Datei vor der Verwendung der Kaspersky-Software entpacken. Eine Installation entfällt allerdings bei Beiden. Auf der Supportseite von Kaspersky werden Ihnen noch weitere Programme angeboten. Diese sollten Sie ebenfalls herunterladen wenn Ihnen ihr Anti-Viren-Programm noch weitere Trojaner oder Rootkits angezeigt hat. Für den Fall das Sie die Original-Dateien von Windows gelöscht haben, finden Sie diese über die nachfolgenden Links.

4. Schritt – Decrypt Software ausführen

Wie bereits im dritten Schritt erwähnt brauchen Sie die Decrypter nicht zu installieren. Es genügt die Software mit einem Doppelklick zu starten. Da die beiden Programme etwas anders aufgebaut sind, möchte ich Ihnen die Software kurz vorstellen.

Sobald Sie die Entschlüsselungssoftware RannohDecryptor gestartet haben können Sie durch das anklicken von „Start scan“ die Decodierung starten. Wer allerdings die Einstellungen anpassen möchte, sollte sich mit dem Programm richtig vertraut machen und nicht willkürlich überall einen Haken zu setzen.

Kaspersky RannohDecryptor

Direkt nach dem anklicken des Buttons, erscheint ein erneuter Hinweis. Hier stehen zwei Optionen zur Auswahl, zum einen den Scanvorgang abzubrechen (Cancel) oder zum anderen ihn fortzusetzen. Hier müssen Sie natürlich Fortsetzen (Continue) anklicken und eine Originaldatei (Windows Beispieldateien) auswählen.

Kaspersky RannohDecryptor Hinweis

Jetzt startet der Scanvorgang und durchsucht die Festplatte samt Wechseldatenträger nach decodierten bzw. verschlüsselten Dateien.

Kaspersky RannohDecryptor Suchergebnis

Wie auf dem Bild zu erkennen ist, wurde beim Testdurchlauf keine verschlüsselte Datei gefunden. Sobald allerdings eine verschlüsselte Datei erkannt wird und die mithilfe des Programms entschlüsselt wurde, erscheint die entsprechende Datei unter Object. Sollten nicht alle Dateien entschlüsselt werden, versuchen Sie DecryptHelper.

Wenn Sie die Software DecryptHelper von Matthias Kunig heruntergeladen haben, werden nach auf dem Desktop gleich drei Dateien angelegt. Die folgenden Dateien sollten Sie jetzt sehen:

  • DecryptHelper-0.5.3
  • DecryptHelper.txt
  • DecryptException.txt

Direkt nach dem Doppelklick auf die Datei DecryptHelper-0.5.3 wird die Dekodiersoftware gestartet. Außerdem erscheinen zwei zusätzliche Dateien auf dem Desktop mit der Dateiendung .lck, die für locked also verschlüsselte Dateien steht.

  • DecryptHelper.lck
  • DecryptException.lck

Das Programmfenster ist ganz anders wie bei der Anwendung von Kaspersky aufgebaut aber dadurch das es in deutsch abgefasst ist, nahezu selbsterklärend. Bevor Sie mit dem entschlüsseln beginnen können, müssen Sie allerdings erst den Dekodierschlüssel erzeugen. Dazu wählen Sie die verschlüsselte Datei und eine unverschlüsselte Originaldatei aus. Am besten eignen sich dafür die vorhandenen Windows-Beispieldateien auf dem Rechner, falls diese nicht gelöscht wurden.

DecryptHelper hilft bei verschlüsselten Dateien

Danach haben Sie die Auswahl nur einzelne Dateien zu entschlüsseln oder aber einen ganzen Ordner wieder herzustellen. Dazu brauchen Sie nur die entsprechende Schaltfläche auswählen. Die Entschlüsselung wird gestartet. Jetzt heißt es sich zu gedulden und das Ergebnis abwarten ob der Vorgang auch erfolgreich beendet wird.

5. Schritt – Abschluss der Dekodierung

Wenn Sie ihre privaten Fotos und Dateien wieder hergestellt haben, sollten Sie den PC einmal neu starten. Nur um sicher zu gehen das auch nach einem Neustart die Dateien und Ordner erhalten bleiben und nicht erneut verschlüsselt werden. Erst wenn der Neustart ohne Fehlermeldung durchgeführt wurde, können Sie die gesicherten verschlüsselten Dateien löschen. Übertragen Sie die entschlüsselten Dateien wieder zurück auf den bereinigten Rechner.

Mein Tipp:
Erstellen Sie sofort, nach dem der Rechner wieder in den Zustand vor dem Infizierung zurückgesetzt wurde, eine komplette Sicherheitskopie auf einer externen Festplatte. Wenn Sie zudem dieses Backup stets aktuell halten, schützen Sie sich sehr gut vor einem erneuten Datenverlust.

Das könnte Sie auch interessieren:
» Welche Versionen des BKA-Trojaner gibt es?
» BKA-Trojaner finden und sicher entfernen

2 Gedanken zu „BKA-Trojaner: So können Sie private Fotos wiederherstellen“

  1. beide decrypter verlangen gleich grosse dateien
    die verschlüsselten sind aber immer ein paar bytes grösser als das original,
    so dass der vorgang abgebrochen wird

    Antworten

Schreibe einen Kommentar