17 Februar 2006

Datenrettung für Nyxem.E-Geschädigte möglich

Durch Wurmbefall zerstörte Daten können gerettet werden, nur der Dateiname geht verloren

Böblingen, 17. Februar 2006 - Kroll Ontrack, Anbieter von Services und Software in den Bereichen Datenrettung, Mailbox-Recovery Software und Computer Forensik, hat neue Erkenntnisse zum Virus Nyxem.E, der in der letzten Wochen für Schlagzeilen sorgte, gewonnen. Demnach können Dateien, die auf befallenen PCs beschädigt wurden, wieder hergestellt werden. Zum Hintergrund: Der Wurm versucht am dritten Tag jeden Monats, bestimmte Dateitypen zu zerstören sowie Antivirus- und Firewall-Programme zu deaktivieren. Nyxem.E ist die neueste und gefährlichste Variante der Nyxem-Familie. Der Schaden hielt sich bislang dennoch in Grenzen, weil sich Nyxem.E im Vergleich zu anderen Viren langsamer verbreitet. PC-Benutzer, die aber dennoch betroffen sind, können jetzt aufatmen.

Bereits seit Wochen bekannt ist das Angriffsziel von Nyxem.E. So nimmt der Wurm häufig genutzte Datei-Typen ins Visier und das auf sämtlichen Laufwerken eines PCs, einschließlich USB- und Netzwerk-Laufwerken. Gefährdet sind Dateien mit den Extensions *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf, *.psd und *.dmp. Die darauf abgelegten Daten werden beschädigt, aber nicht gelöscht. Bei Untersuchungen von infizierten Festplatten hat Kroll Ontrack herausgefunden, dass nur das Verzeichnis der NTFS/FAT Volumes zerstört wird. Von den oben genannten Dateitypen werden neue Links zu je 1kB großen Datenbereichen geknüpft. Das Entscheidende dabei: Die darin enthaltenen Daten bleiben bestehen.

Hier setzt Kroll Ontrack an und ermöglicht eine Wiederherstellung der Daten, bis auf die Dateinamen, die nicht mehr rekonstruiert werden können. Möglich ist die Datenrettung mit Hilfe der Software EasyRecoveryTM, über den Online-Service Remote Data RecoveryTM oder im Labor bei Kroll Ontrack, wozu die Datenträger mit den beschädigten Dateien eingeschickt werden müssen.