Lassen Sie sich nicht erpressen!
Keine Chance für Ransomware: So schützen Sie Ihre Daten vor jadem Erpresservirus
DER ERPRESSERSCHÄDLING WANNACRY hat im Mai dieses Jahres einen immensen Schaden auf hundertausenden PCS weltweit angerichtet. Ihm folgte der Erpressertrojaner Notpetya. Dieser war in seiner Ausbreitung zunächst zwar auf die Ukraine begrenzt, doch nachdem er dort sehr viele Firmen und Behörden befallen hatte, setzte sich auch dieser Schädling in Rechnern aus rund 60 Ländern fest. Bei Notpetya ist vor allem seine fortgeschrittene Verbreitungsmethode über ein Software-update besorgniserregend.
Neben diesen beiden Erpresserviren gibt es noch etliche weitere sehr gefährliche Schädlinge, etwa Cerber, Crypto Locker und Locky. Einige Erpresserviren sind schon einige Jahre alt. Der Crypto-locker-schädling etwa verbreitete sich bereits 2013. In jenem Jahr soll er bis zu 3 Millionen Dollar erpresst haben. Und obwohl das Netzwerk hinter Crypto Locker schließlich stillgelegt werden konnte, steckt der Code von Crypto Locker noch heute in vielen neuen Erpresserviren.
Das Geschäft mit den Erpressertrojanern lohnt sich für die Kriminellen. Experten sprechen von vielen Millionen Euro, die in den letzten Jahren an Lösegeld gezahlt worden seien. Ob das stimmt, kann allerdings niemand sagen. Für die hohe Summe spricht neben dem finanziell erfolgreichen Crypto Locker ein Vorfall aus Südkorea in diesem Jahr. Ein Erpresservirus hatte 153 Linux-server der Webhosting-firma Nayana verschlüsselt und 1,62 Millionen Dollar Lösegeld gefordert. Nach Verhandlungen mit den Erpressern musste die Firma dann eine Million Dollar zahlen.
Laut den Experten von Malwarebytes (www. malwarebytes.com) sollen im ersten Halbjahr 2017 Erpressungstrojaner mehr als zwei Drittel aller Viren ausgemacht haben. Andere Experten nennen einen geringen Anteil an den aktuell verbreitet Schädlingen, doch Grund zur erhöhten Vorsicht gibt es auf jeden Fall. Folgende Erpresserviren sollten Sie kennen, denn diese haben unzählige PCS infiziert und die darauf befindlichen Dateien verschlüsselt.
Wannacry
Der Erpresservirus Wannacry infizierte weltweit die PCS von Privatpersonen sowie von Unternehmen. In Deutschland hat es unter anderem die Deutsche Bahn getroffen. Viele Hinweistafeln funktionierten nicht mehr. In Großbritannien hatten sich Rechner des National Health Service Hospitals (NHS) infiziert. Geplante Operationen mussten abgesagt werden. In Frankreich legte der Autohersteller Renault mehrere Fabriken wegen des Virus vorübergehend still. Firmen in rund 150 Ländern gehören zu den weiteren Opfern. Verbreitungsweg: Wannacry verteilt sich per Anhang oder Link in Mails, die etwa vorgeben, eine Rechnung zu enthalten. Wer auf eine
solche Nachricht hereinfällt und den Erpresservirus startet, dessen Daten werden verschlüsselt. Gleichzeitig nutzt Wannacry eine Sicherheitslücke in Windows, um sich im Netzwerk des PCS wurmartig zu verbreiten. Gegen die Lücke gibt es zwar seit März 2017 ein Update (MS17-010, www.pcwelt.de/73nnrw), doch viele Nutzer hatten dieses im Mai noch nicht geladen. So kann Wannacry andere Windowsrechner infizieren, sobald diese eingeschaltet sind. Eine Aktion durch den Anwender ist nicht einmal nötig. So konnte sich Wannacry sehr schnell auf vielen PCS einnisten.
Schaden: Wannacry fordert ein Lösegeld von bis zu 600 Euro in Bitcoins und droht damit, die Daten in wenigen Tagen zu löschen. Obwohl Wannacry im Mai Hunderttausende Rechner befallen hat, soll das erbeutete Lösegeld gering gewesen sein. Experten hatten die Bitcoin-zieladressen für das Wannacry-lösegeld im Auge behalten und festgestellt, dass insgesamt 52 Bitcoins dort aufgetaucht sind (Stand August 2017). Das entspricht ungefähr 150 000 Euro.
Schutz: Speziell gegen Wannacry mit seiner automatischen Verbreitung in einem Netzwerk schützt der Patch MS17-010 von Microsoft. Sie bekommen den Patch über das Windowsupdate über „Windows-symbol -> Einstellungen -> Updates und Sicherheit -> Nach Updates suchen“(Windows 10).
Besonderheit: Die Sicherheitslücke, die Wannacry für seine Verbreitung im Netzwerk nutzt, wurde ursprünglich vom amerikanischen Geheimdienst NSA entdeckt und für Spionage-hacks verwendet. Nachdem eine Hacker-gruppe namens Shadow Broker Infos über diese und viele andere Sicherheitslücken von der NSA stehlen konnte und veröffentlicht hat, nutzte zunächst Wannacry diese Infos aus. Mittlerweile gibt es mehrere Viren, die die Nsa-infos als Einfallstore nutzen. Der Schädling Eternal Rocks beispielsweise nutzt gleich sieben Lücken aus dem Nsa-fundus (Infos unter www.pcwelt.de/2275444).
Petya und Notpetya
Der Erpresservirus Petya richtete bereits 2016 erheblichen Schaden an. Einer seiner vielen Varianten und Nachfolger heißt Notpetya. Dieser Schädling erschien im Juni 2017 und geht bei der Verbreitung sehr raffiniert vor. Sein
Schaden ist hoch, da es wohl keine Chance auf eine Entschlüsselung der Daten gibt. Ob das an einem Programmierfehler der Angreifer liegt oder von ihnen so geplant war, ist nicht bekannt. Auch einige vorherigen Varianten von Petya, wozu auch der Schädling Goldeneye
zählt, verschlüsseln die Daten ohne Chance auf Entschlüsselung. Darum stufen einige Experten Notpetya nicht als Erpresservirus ein, sondern als Zerstörervirus.
Verbreitungsweg: Petya wird per Mail verbreitet, meist mit einem Link auf den Schadcode, der als PDF getarnt ist. Nachfolger von Petya, etwa Notpetya, nutzen die Netzwerk-sicherheitslücke, die auch Wannacry nutzt (siehe oben). Die Angreifer hinter Notpetya haben zudem noch die Server einer Steuersoftware gehackt, die von vielen Firmen in der Ukraine benutzt wird. Sobald sich die Steuersoftware ein Update lädt, holt sie sich vom infizierten Server der Steuersoftware den Schädling auf den PC. Der Schadcode wird dann automatisch gestartet.
Der Nutzer des PCS muss somit überhaupt nichts anklicken: Sobald er den PC eingeschaltet und die Steuersoftware gestartet hat, landet der Schädling auf dem PC.
Der Schaden: Petya und Notpetya verschlüsseln die Daten des Nutzers und verhindern anschließend sogar den Start von Windows, indem sie den Bootsektor beziehungsweise die Master File Table manipulieren. Der Schädling soll es sogar auf einen PC des Kernkraftwerks in Tschernobyl geschafft haben. Dort wird zwar kein Strom mehr produziert, doch die PCS sind zur Überwachung der Anlage immer noch nötig. Notpetya soll auch die größte Containerschiffreederei der Welt befallen haben. Die Reederei Maersk betreibt mit rund 30 000 Mitarbeitern mehr als 600 Schiffe. Der Erpresservirus hat für Pc-ausfälle an mehreren Standorten gesorgt und soll laut Reederei einen Schaden von bis zu 300 Millionen Dollar verursacht haben. Nicht in Form von Lösegeld, sondern wegen des gestörten Betriebsablaufs. Im Juli 2017 hat der Programmierer von Petya den Generalschlüssel (ein privater Schlüssel) veröffentlicht. Damit lassen sich theoretisch alle verschlüsselten Dateien retten. Allerdings nur theoretisch. Vor allem für die neueren Varianten von Petya scheint der Generalschlüssel nicht zu funktionieren. Für Opfer von Notpetya besteht ebenfalls kaum eine Chance auf Wiederherstellung der Daten.
Schutz: Wie bei Wannacry sind die neuesten Updates für Windows ein Muss. Gegen den perfiden Verbreitungsweg über das Update einer Anwendung hilft nur ein aktuelles Antivirenproramm, das den Schädling bereits kennt.
Cerber
Der Erpresservirus Cerber ist nach dem griechischen Höllenhund Zerberus benannt. Cerber verbreitet sich seit Februar 2016 in den Versionen Cerber, Cerber 2 und Cerber 3 im Internet. Laut Sicherheitsexperten soll das Cerber-netzwerk im September 2016 pro Tag rund 80 000 neue Computer infiziert haben. Nach ein paar Monaten Pause wurde Cerber dann in 2017 mit neuen Varianten aktiv. Verbreitungsweg: Cerber verbreitet sich über Mails mit Anhängen oder mit Links zum Schadcode sowie über verseuchte Websites. Schaden: Nach der Verschlüsselung der Dateien fordert Cerber ein Bitcoin, was mittlerweile 3500 Euro sind (Stand August 2017). Wer nicht umgehend zahlt, von dem verlangt Cerber dann zwei Bitcoins.
Für die verschlüsselten Dateien der ersten Cerber-variante gibt es Entschlüsselungstools. Gegen die späteren Varianten existieren (bislang) keine Entschlüsselungstools.
Crypto Locker und Tesla Crypt
Der Erpresserschädling Crypto Locker verbreitete sich von September 2013 bis Mai 2014 in erster Linie über das Zeus-botnet. Im Mai gelang es einer groß angelegten Operation, dieses Zeus-botnet und damit Crypto Locker abzuschalten. Bei der Operation wurde auch der Generalschlüssel (privater Schlüssel) zu Crypto Locker gefunden. So gibt es für die meisten Opfer des Schädlings Hilfe beim Entschlüsseln ihrer Dateien.
Verbreitungsweg: Crypto Locker verbreitet sich überwiegend über verseuchte Mailanhänge. Auch verseuchte Websites kommen als Infektionsweg infrage.
Schaden: Viele betroffene Pc-nutzer sollen das Lösegeld gezahlt haben. Die Schätzungen der Experten gehen über die Gesamthöhe des Lösegelds allerdings weit auseinander: Die einen haben 3 Millionen Dollar kalkuliert, andere 27 Millionen Dollar.
Besonderheit: Obschon Crypto Locker bereits 2014 gestoppt werden konnte, gilt sein Code als Schablone für sehr viele Nachfolger. Einige dieser Varianten nutzen ebenfalls den Namen Crypto Locker, andere nennen sich ähnlich. Auch der Schädling Tesla Crypt soll auf den Code von Crypto Locker basieren. Einige Antivirenexperten führen Tesla Crypt aber auch unabhängig von Crypto Locker.
Tesla Crypt verschlüsselte in seiner ersten Variante die Dateien von Pc-spielen, wie Call of Duty. Diese Dateien sind für Gamer von teilweise hoher Bedeutung und werden bei einigen Spielen lokal und nicht in der Cloud gespeichert. Im Jahr 2016 sollen laut Kaspersky (https://goo.gl/di2tij) 48 Prozent aller Erpresservirenangriffe auf Tesla Crypt zurückzuführen sein. Auch im Jahr 2017 verbreitet sich Tesla Crypt nennenswert.
Locky
Locky konnte sich zunächst im Februar 2016 stark verbreiten. Wie andere Verschlüsselungsviren, fordert auch Locky nach dem Verschlüsseln der Anwenderdateien ein Lösegeld. Verbreitungsweg: Die Kriminellen wählen den an sich bekannten Verbreitungsweg per Mail, können aber mit scheinbar glaubhaften Mails viele Empfänger zu einem Klick auf den Anhang verleiten. Der Schadcode im Anhang steckt in Microsoft-office-dateien. Wer diese öffnet und dann noch die Ausführung von Makros erlaubt, ist infiziert. Seit einiger Zeit gibt es auch Anhänge mit Javascript oder Batchdateien. Als Absender erscheint mal ein
Wurstfabrikant, der eine Rechnung im Anhang ankündigt, und mal das Bundeskriminalamt (BKA). Diese Mails haben angeblich ein Analysetool namens BKA Locky Removal Kit.exe im Anhang.
Schaden: Für die verschlüsselten Dateien ist bis heute kein Entschlüsselungstool verfügbar. Besonderheit: Obschon Locky sich zunächst nur Anfang 2016 stark verbreitet hat, führen viele Antivirenspezialisten Locky dennoch als einen der gefährlichsten Erpresserviren auf. Denn neue Varianten des Schädlings machen immer wieder mal die Runde im Internet, so etwa Mitte August 2017. Unter dem Namen Diablo6 verbreitet sich der Locky-schädling diesmal recht profan als Zip-datei in Mails. Auch in den Monaten davor waren Lockyvarianten im Umlauf.
Weitere Erpresserviren
Die Aufzählung der fünf zuvor genannten Schädlinge und ihrer Varianten umfasst bei Weitem nicht alle gefährlichen Erpresserviren. Der Antivirenexperte F-secure etwa führt fünf weitere Schädlinge als aktuelle Bedrohung auf: Ctb-locker, Crypto Wall, Slocker (ein Schädling für Android), Revento und Browlock. Details zu diesen Schädlingen finden Sie auf der englischsprachigen Site unter https://goo.gl/tfldbz.
Erste Hilfe im Notfall
Sollte Ihr PC Opfer eines Erpresservirus geworden sein und Sie möchten das Lösegeld nicht zahlen, dann stehen zwei wichtige Schritte an: erstens den Virus loszuwerden und zweitens Ihre Daten wiederherzustellen.
Für das Entfernen des Schädlings bietet sich eine bootfähige Antiviren-dvd oder ein bootfähiger Usb-stick an. Empfehlenswert ist etwa das Tool Kaspersky Rescue Disk (auf HEFT-DVD), das es sowohl für DVD als auch für den Usbstick gibt. In vielen Fällen kann das Tool auch einen gesperrten PC entsperren.
In der Regel bleibt Ihr PC aber erst mal einsatzbereit. Schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen. Doch es gibt auch Ausnahmen, wie Petya & Co. zeigen.
Viele Experten raten davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob Sie einen Schlüssel für Ihre Daten erhalten. Bei vielen der zuletzt aufgetauchten Schädlingen war das tatsächlich nicht der Fall. Außerdem ermutigt eine Zahlung die Kriminellen, weiterhin Pcnutzer anzugreifen.
Wenn Sie keine Sicherung Ihrer Daten haben und nicht zahlen wollen, somit einen Schlüssel für die entführten Daten brauchen, sollten Sie auf der Seite www.nomoreransom.org nachse-
hen, ob es für Ihre Daten ein kostenloses Entschlüsselungstool gibt. Einen schnellen Überblick über entschlüsselbare Dateien finden Sie in der Tabelle oben auf dieser Seite.
Das Projekt auf www.nomoreransom.org wird von den Behörden und den Antivirenherstellern Kaspersky und Mcafee betrieben. Sie ist deutschsprachig und leicht zu bedienen: Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen. Die Site prüft dann, ob es
ein Entschlüsselungsprogramm für Ihre Daten kennt. Sollte das nicht der Fall sein, lohnt es sich, die Daten aufzubewahren und ein paar Wochen oder Monate später den Test auf der Site zu wiederholen. Oft dauert es eine Zeit lang, bis die Experten an den Universalschlüssel eines Erpresservirus kommen und ein Tool zur Entschlüsselung programmieren können. Einen weiteren, ausführlichen Ratgeber zu verbreiteten Erpresserviren und ihrer Entfernung finden Sie unter www.pcwelt.de/2073555.