virus 3075845 1920

Osiris Ransomware entfernen: die .osiris Datei entschlüsseln

Die Osiris Ransomware ist eine Variante der bekannten Locky-Ransomware-Familie. Sie wurde erstmals im Dezember 2016 entdeckt und verschlüsselt Dateien auf infizierten Computern mit der Endung .osiris. Nach der Verschlüsselung fordert die Schadsoftware ein Lösegeld in Bitcoin. Die Entschlüsselung ohne Zahlung ist bei dieser Ransomware-Variante besonders schwierig. Betroffene sollten die Malware zunächst entfernen und dann prüfen, welche Wiederherstellungsoptionen existieren.

Die Geschichte der Locky-Familie und Osiris

Locky gehört zu den gefährlichsten Ransomware-Familien überhaupt. Die erste Version tauchte im Februar 2016 auf. Innerhalb weniger Monate infizierte sie Millionen von Computern weltweit.

Die Entwickler von Locky brachten ständig neue Varianten heraus. Jede Variante nutzte eine andere Dateiendung für verschlüsselte Dateien:

VarianteDateiendungErscheinungsdatum
Locky Original.lockyFebruar 2016
Zepto.zeptoJuni 2016
Odin.odinSeptember 2016
Thor.thorOktober 2016
Aesir.aesirNovember 2016
Osiris.osirisDezember 2016

Laut elastio.com wurde Osiris am 1. Dezember 2016 erstmals gesichtet. Die Benennung nach ägyptischen und nordischen Göttern war typisch für diese Ransomware-Familie.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Ransomware generell als eine der größten Bedrohungen ein. Die Behörde warnt: Die Qualität der Angriffe steigt ständig.

So erkennt man eine Osiris-Infektion

Die Symptome einer Osiris-Infektion sind eindeutig. Nach der Verschlüsselung sieht man sofort, was passiert ist.

Veränderte Dateinamen

Alle verschlüsselten Dateien bekommen neue Namen. Das Format sieht so aus:

[8 Zeichen]-[4 Zeichen]-[4 Zeichen]-[8 Zeichen]-[12 Zeichen].osiris

Ein Beispiel aus der Praxis:

DF383II5--4B71--81KI--FB05569B--F88EF362D29D.osiris

Der ursprüngliche Dateiname ist komplett verschwunden. Das macht die Identifizierung der Dateien sehr schwer.

Die Lösegeldforderung

Nach der Verschlüsselung erscheinen mehrere Dateien mit Anweisungen:

  1. DesktopOSIRIS.htm – Eine HTML-Datei auf dem Desktop
  2. DesktopOSIRIS.bmp – Ein Hintergrundbild mit der Forderung
  3. OSIRIS-XXXX.htm – Dateien in jedem verschlüsselten Ordner (XXXX steht für zufällige Hex-Zeichen)

Die Lösegeldforderung enthält:

  • Eine Tor-Adresse für die Zahlung
  • Eine persönliche ID des Opfers
  • Anweisungen zum Kauf von Bitcoin
  • Drohungen bei Nichtzahlung

Wie verbreitet sich Osiris Ransomware?

Die Infektionswege sind bei Osiris ähnlich wie bei anderen Ransomware-Varianten.

E-Mail-Anhänge als Hauptweg

Die meisten Infektionen passieren über Spam-E-Mails. Diese Mails sehen oft täuschend echt aus. Typische Absender:

  • Angebliche Rechnungen von bekannten Firmen
  • Gefälschte Paketbenachrichtigungen
  • Falsche Bewerbungen
  • Vorgetäuschte Behördenschreiben

Die Anhänge sind meist:

  • JavaScript-Dateien (.js)
  • Word-Dokumente mit Makros (.doc)
  • ZIP-Archive mit ausführbaren Dateien

Exploit-Kits auf kompromittierten Webseiten

Manchmal reicht schon der Besuch einer infizierten Webseite. Sogenannte Exploit-Kits nutzen Sicherheitslücken im Browser oder in Plugins wie Flash.

Typische Dateien bei einer Osiris-Infektion

Laut Analysen sind folgende Dateien mit Osiris-Infektionen verbunden:

  • fQuANqFwqs3.dll
  • cSzdajLDLSL1.dll
  • DvNfXSRc3.dll
  • Item-Delivery-Details-00659753.doc.wsf
  • Diverse .png-Dateien als Tarnung

Osiris Ransomware vom Computer entfernen

Wichtig: Zuerst die Ransomware entfernen, dann an die Daten denken. Sonst werden neue Dateien auch verschlüsselt.

Schritt 1: Computer vom Netzwerk trennen

Sofort das Netzwerkkabel ziehen oder WLAN deaktivieren. Das verhindert:

  • Weitere Verschlüsselung von Netzlaufwerken
  • Kommunikation mit den Angreifern
  • Verbreitung auf andere Computer

Schritt 2: Im abgesicherten Modus starten

Der abgesicherte Modus lädt nur wichtige Windows-Komponenten. Die Ransomware startet dort meist nicht.

Windows 10/11:

  1. Einstellungen öffnen
  2. Update und Sicherheit → Wiederherstellung
  3. Erweiterter Start → Jetzt neu starten
  4. Problembehandlung → Erweiterte Optionen
  5. Starteinstellungen → Neu starten
  6. Taste 4 oder F4 für abgesicherten Modus drücken

Windows 7:

  1. Computer neu starten
  2. Während des Starts mehrfach F8 drücken
  3. Abgesicherten Modus auswählen

Schritt 3: Anti-Malware-Programme nutzen

Im abgesicherten Modus ein Anti-Malware-Programm ausführen:

  • Malwarebytes Anti-Malware (kostenlose Version reicht)
  • ESET Online Scanner
  • Kaspersky Virus Removal Tool
  • Norton Power Eraser

Das ID Ransomware-Projekt kann helfen, die genaue Ransomware-Variante zu identifizieren. Man lädt dort eine verschlüsselte Datei oder die Lösegeldforderung hoch.

Schritt 4: Registry-Einträge prüfen

Die Ransomware trägt sich oft im Autostart ein. Diese Stellen überprüfen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Verdächtige Einträge mit unbekannten Programmen löschen.

Schritt 5: Geplante Aufgaben kontrollieren

Ransomware erstellt manchmal geplante Aufgaben zur Persistent. So findet man sie:

  1. Taskplaner öffnen (taskschd.msc)
  2. Alle Aufgaben durchgehen
  3. Unbekannte Einträge löschen

Das BSI empfiehlt in seiner Detektions-Anleitung genau diese Überprüfung.

Können .osiris Dateien entschlüsselt werden?

Die ehrliche Antwort: Es ist sehr schwierig. Die Locky-Familie nutzt starke Verschlüsselung.

Die technische Realität

Osiris verwendet eine Kombination aus:

  • RSA-2048 für den Schlüsselaustausch
  • AES-128 für die eigentliche Dateiverschlüsselung

Diese Kombination ist nach aktuellem Stand nicht zu knacken. Ohne den privaten Schlüssel, den nur die Angreifer haben, ist eine Entschlüsselung mathematisch unmöglich.

NoMoreRansom-Initiative prüfen

Das NoMoreRansom-Projekt sammelt Entschlüsselungs-Tools. Manchmal werden Schlüssel gefunden oder veröffentlicht. Das passiert wenn:

  • Die Täter gefasst werden
  • Server beschlagnahmt werden
  • Sicherheitsforscher Schwachstellen finden
  • Täter die Schlüssel freiwillig veröffentlichen

Für Osiris/Locky gibt es Stand heute kein funktionierendes Entschlüsselungstool. Aber die Seite regelmäßig prüfen schadet nicht.

Warnung vor Fake-Tools

Im Internet kursieren angebliche Osiris-Decrypter. Die meisten sind:

  • Betrug (verlangen Geld und liefern nichts)
  • Selber Malware (installieren weitere Schadsoftware)
  • Nutzlos (funktionieren einfach nicht)

Nur Tools von vertrauenswürdigen Quellen nutzen. NoMoreRansom und bekannte Sicherheitsfirmen sind sicher.

Alternative Wege zur Datenrettung

Auch ohne Entschlüsselung gibt es manchmal Hoffnung.

Schattenkopien prüfen

Windows erstellt automatisch Schattenkopien (Shadow Copies) von Dateien. Manche ältere Ransomware-Versionen löschen diese nicht.

So prüft man es:

  1. Rechtsklick auf einen Ordner
  2. Eigenschaften wählen
  3. Tab Vorgängerversionen öffnen
  4. Falls Versionen vorhanden: Wiederherstellen

Oder mit dem Programm ShadowExplorer:

  • Zeigt alle vorhandenen Schattenkopien
  • Ermöglicht das Kopieren alter Dateiversionen

Achtung: Locky-Osiris löscht Schattenkopien normalerweise. Aber einen Versuch ist es wert.

Datenrettungssoftware ausprobieren

Wenn Dateien gelöscht und überschrieben wurden, helfen eventuell Datenrettungsprogramme:

  • Recuva (kostenlos)
  • PhotoRec (kostenlos, Open Source)
  • R-Studio
  • EaseUS Data Recovery

Diese Programme finden manchmal gelöschte Originaldateien. Die Ransomware verschlüsselt nämlich oft eine Kopie und löscht das Original.

Cloud-Backups und Versionierung

Dienste wie OneDrive, Google Drive oder Dropbox speichern ältere Versionen:

  1. Online-Konto öffnen
  2. Versionsverlauf der Dateien prüfen
  3. Ältere, unverschlüsselte Version wiederherstellen

Soll man das Lösegeld zahlen?

Das BSI und alle Sicherheitsbehörden sagen klar: Nein.

Gründe gegen die Zahlung

  1. Keine Garantie: Viele Opfer zahlen und bekommen trotzdem keinen Schlüssel
  2. Finanzierung von Kriminellen: Das Geld ermöglicht weitere Angriffe
  3. Zielscheibe bleiben: Wer einmal zahlt, wird oft erneut angegriffen
  4. Rechtliche Probleme: Manche Zahlungen können gegen Sanktionen verstoßen

Die schwierige Realität

Trotzdem zahlen viele Opfer. Vor allem Firmen, deren Existenz auf dem Spiel steht. Eine echte Entscheidungshilfe gibt es nicht. Jeder Fall ist anders.

Laut BSI-Informationen sollte man bei einem Angriff auf jeden Fall Anzeige erstatten. Die Polizei sammelt Informationen, die später helfen können.

Schutzmaßnahmen für die Zukunft

Nach einer Infektion will man natürlich nicht wieder in dieselbe Situation kommen.

Backups sind das A und O

Die wichtigste Maßnahme überhaupt: Regelmäßige Backups. Und zwar:

  • Auf externe Festplatten, die nicht ständig angeschlossen sind
  • In die Cloud mit Versionierung
  • Nach der 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie extern

E-Mail-Sicherheit erhöhen

Da die meisten Infektionen über E-Mails kommen:

  • Makros in Office-Dokumenten deaktivieren
  • Anhänge von unbekannten Absendern nicht öffnen
  • Bei Zweifeln den Absender telefonisch kontaktieren
  • Spam-Filter nutzen und aktuell halten

Software aktuell halten

Viele Ransomware-Infektionen nutzen bekannte Sicherheitslücken. Dagegen hilft:

  • Windows-Updates automatisch installieren
  • Browser aktuell halten
  • Plugins wie Flash und Java deinstallieren (werden kaum noch gebraucht)
  • Antivirensoftware mit aktiven Signaturen

Benutzerrechte einschränken

Nicht jeden Tag als Administrator arbeiten. Ein normales Benutzerkonto kann:

  • Keine systemweiten Änderungen vornehmen
  • Weniger Schaden anrichten bei einer Infektion

Technische Details zur Osiris-Verschlüsselung

Für technisch Interessierte hier mehr Details.

Der Verschlüsselungsprozess

  1. Die Malware generiert einen zufälligen AES-Schlüssel für jede Datei
  2. Die Datei wird mit diesem AES-Schlüssel verschlüsselt
  3. Der AES-Schlüssel wird mit dem öffentlichen RSA-Schlüssel der Angreifer verschlüsselt
  4. Der verschlüsselte AES-Schlüssel wird an die Datei angehängt

Nur wer den privaten RSA-Schlüssel hat, kann die AES-Schlüssel und damit die Dateien entschlüsseln.

Betroffene Dateitypen

Osiris verschlüsselt fast alle Benutzer-Dateien:

  • Dokumente (.doc, .docx, .pdf, .txt)
  • Bilder (.jpg, .png, .gif, .bmp)
  • Videos (.mp4, .avi, .mov)
  • Musik (.mp3, .wav, .flac)
  • Datenbanken (.sql, .mdb, .accdb)
  • Archive (.zip, .rar, .7z)
  • Programmcode (.php, .java, .py)

Systemdateien werden meist nicht verschlüsselt. Der Computer soll ja noch laufen – um die Lösegeldforderung anzuzeigen.

Was tun nach der Reinigung?

Nach dem Entfernen der Ransomware sind noch einige Schritte nötig.

Passwörter ändern

Die Ransomware könnte auch Passwörter gestohlen haben. Sicherheitshalber ändern:

  • Windows-Passwort
  • E-Mail-Passwörter
  • Banking-Zugänge
  • Social-Media-Konten
  • Alle wichtigen Online-Konten

Computer überwachen

Die nächsten Wochen besonders aufmerksam sein:

  • Läuft der PC normal?
  • Starten unbekannte Programme?
  • Gibt es verdächtige Netzwerkaktivität?

Neu installieren als sicherste Option

Wer ganz sicher gehen will: Windows komplett neu installieren. Das entfernt garantiert alle Reste der Malware. Die verschlüsselten Dateien vorher auf eine externe Festplatte kopieren – vielleicht gibt es ja eines Tages doch noch ein Entschlüsselungstool.

Auch interessant

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Menü