Durch Nyxem.E zerstörte Daten können gerettet werden, nur der Dateiname geht verloren

Datenrettung mit Hilfe von "EasyRecovery"

(27.02.06) - Kroll Ontrack hat neue Erkenntnisse zum Virus Nyxem.E, der in der letzten Wochen für Schlagzeilen sorgte, gewonnen. Demnach können Dateien, die auf befallenen PCs beschädigt wurden, wieder hergestellt werden. Zum Hintergrund: Der Wurm versucht am dritten Tag jedes Monats, bestimmte Dateitypen zu zerstören sowie Antivirus- und Firewall-Programme zu deaktivieren. Nyxem.E ist die neueste und gefährlichste Variante der Nyxem-Familie. Der Schaden hielt sich bislang dennoch in Grenzen, weil sich Nyxem.E im Vergleich zu anderen Viren langsamer verbreitet. PC-Benutzer, die aber dennoch betroffen sind, können jetzt aufatmen.

Bereits seit Wochen bekannt ist das Angriffsziel von Nyxem.E. So nimmt der Wurm häufig genutzte Datei-Typen ins Visier und das auf sämtlichen Laufwerken eines PCs, einschließlich USB- und Netzwerk-Laufwerken. Gefährdet sind Dateien mit den Extensions *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf, *.psd und *.dmp. Die darauf abgelegten Daten werden beschädigt, aber nicht gelöscht. Bei Untersuchungen von infizierten Festplatten hat Kroll Ontrack heraus-gefunden, dass nur das Verzeichnis der NTFS/FAT-Volumes zerstört wird. Von den oben genannten Dateitypen werden neue Links zu je 1kB großen Datenbereichen geknüpft. Das Entscheidende dabei: Die darin enthaltenen Daten bleiben bestehen.

Hier setzt Kroll Ontrack an und ermöglicht eine Wiederherstellung der Daten, bis auf die Datei-namen, die nicht mehr rekonstruiert werden können. Möglich ist die Datenrettung mit Hilfe der Software "EasyRecovery", über den Online-Service "Remote Data Recovery" oder im Labor bei KrollOntrack, wozu die Datenträger mit den beschädigten Dateien eingeschickt werden müssen. (Kroll Ontrack: ra)