Die neuen Erpresser-viren!
Wie Sie die aktuellen Internet-gefahren genauso wie die bisherigen sofort erkennen und zuverlässig abwehren: Krypto-trojaner wie Wannacry, Petya & Co., gefälschte Windows-updates, versteckte Key-logger, Doxing, Werbe-tracking, manipulierte Ip-kameras, Vid
DIE MEISTEN ANGRIFFE funktionieren über Schadcode. Bei den besonders fortgeschrittenen Attacken kann sich der Code automatisch in Ihren Geräten einnisten. Bei vielen anderen Angriffen wird das Opfer dazu verleitet, den Schadcode selbst zu starten, beispielsweise weil es ihn mit einem Update für Windows verwechselt. Beide Methoden sind sehr gefährlich, wenn Sie Ihre Systeme nicht entsprechend geschützt haben.
Zum Glück lassen sich die allermeisten Angriffe mit ein paar grundsätzlichen Schutzvorkehrungen zuverlässig abwehren. Unabdingbar ist, dass Sie stets alle verfügbaren Updates für Ihr System installieren. Das betrifft Windows über das Windows-update wie auch jede Anwendersoftware, etwa über Secunia PSI (auf HEFT-DVD). Eine gute Antivirensoftware blockiert zudem einen Großteil der schädlichen Dateien. Welche weiteren Schutzmaßnahmen wichtig sind, verraten wir bei der jeweiligen Bedrohung.
1. Vertraute Feinde: Tastaturtreiber mit Spionagefunktion
Darum geht’s: Hinter diesem Angriff steht zunächst keine feindliche Absicht, sondern ein besonders dummer Programmierfehler. Ein
„Die Werbeindustrie überwacht Sie per Ultraschall und die Wissenschaft per HDD-LED. Schützen Sie sich.“
Tastaturtreiber zeichnet alle Eingaben auf. Soweit ist das sein Job, schließlich muss er mitbekommen, wenn etwa eine der Sondertasten gedrückt wird. Doch dieser fehlerhafte Treiber speichert alle Eingaben in eine unverschlüsselte Datei. Darin landen somit auch alle Log-indaten inklusive der Passwörter – so geschehen bei zahlreichen Notebook-modellen von Hewlett-packard (www.pcwelt.de/2273150).
Ein Virus, der auf das System gelangt, kommt dadurch ganz leicht an viele wichtige Log-ins. Zwar könnte der Schädling auch selber einen Key-logger installieren, doch macht ihn das verdächtig und die Wahrscheinlichkeit steigt, dass er von einem Antivirenprogramm entdeckt wird. Das Auslesen einer Textdatei ist dagegen vollkommen unauffällig.
Gefahrenstufe: Die Sicherheitslücke, die fehlerhafte Treiber verursachen, ist grundsätzlich sehr groß, weil Treiber nahe am System arbeiten und Schadcode somit häufig Zugriff mit Systemrechten verschaffen. Allerdings kommen viele Treiber nur auf bestimmten Modellen zum Einsatz. Die vergleichsweise geringe Verbreitung macht sie für Kriminelle weniger interessant. Behalten darf man solche fehlerhaften Treiber aber auf keinen Fall.
Schutz: Besitzer von Hp-notebooks holen sich über https://support.hp.com/de-de/drivers einen aktualisierten Tastaturtreiber. Grundsätzlich sollte man regelmäßig nach Updates für alle installierten Treiber suchen. Das geht entweder manuell über den Geräte-manager (klicken Sie dazu auf das Windows-symbol und tippen Sie Geräte-manager ein). Einfacher geht es mit einem Update-manager für Treiber, wie etwa dem Tool Driver Booster 3 for Steam. Einen ausführlichen Ratgeber zu neuen Treibern finden Sie unter www.pcwelt. de/91076.
2. Klassischer Erpresservirus: Dateiverschlüsseler
Darum geht’s: Bereits seit Jahren richten Erpresserviren gewaltigen Schaden an. Sie befallen einen Rechner, verschlüsseln die Daten des Anwenders und fordern dann für deren Freigabe ein Lösegeld. Das muss meistens in der digitalen Währung Bitcoin bezahlt werden, da der Empfänger sich so kaum aufspüren lässt. Die Höhe des Lösegeldes beläuft sich heutzutage meist auf 300 bis 600 Euro. Und das pro befallenem System. Wer ein Heimnetzwerk mit drei oder vier Rechnern betreibt, der muss also tief in die Tasche greifen. Zuletzt machte etwa besonders der Erpresservirus Wannacry von sich reden, weil er sich über eine Windows-sicherheitslücke ungehindert in einem Netzwerk ausbreiten konnte.
Beispiel: Ein weiteres Beispiel für einen typischen Erpresservirus ist der Schädling Fantom. Dieser tarnt sich als Windows Update, um Anwender hereinzulegen. Entdeckt wurde die Malware vom Avg-sicherheitsexperten Jakub Kroustek (www.avg.com).
Fantom wurde von Unbekannten mithilfe des Open-source-erpresserviren-baukastens namens EDA2 zusammengebastelt. Solche Baukästen sind in Untergrundforen und im Darkweb kostenlos erhältlich. Diese erzeugen Erpresserviren, ohne dass man dafür Programmierkenntnisse benötigt. Entsprechend viele Schädlinge kursieren mittlerweile im Internet. Im Fall von Fantom erzeugt der Baukasten eine Datei mit dem Namen „a.exe“. Um den Opfern eine offizielle Herkunft seitens Microsoft vorzugaukeln, finden sich in den Dateieigenschaften die Hinweise „Copyright Microsoft 2016“unter „Copyright“, und in der Dateibeschreibung ist von „critical update“, also kritischem Update die Rede.
Einmal gestartet, erscheint ein Windows-update-typischer Bildschirm inklusive einer Fortschrittsanzeige wie bei Windows 10, der beim Benutzer den Eindruck erweckt, es werde nun ein Update installiert. In Wirklichkeit werden im Hintergrund aber die Dateien des Nutzers verschlüsselt. Dafür verantwortlich ist ein Prozess namens Windowsupdate.exe. Die Ver-
schlüsselung erfolgt dann per Aes-128-schlüssel, der anschließend selbst über einen dualen Rsa-schlüssel verschlüsselt wird. Der private Schlüssel wird an einen Server der Erpresser übertragen, während der öffentliche Schlüssel auf dem angegriffenen Rechner verbleibt. Zum Schluss wird eine HTML-DATEI generiert, die im Browser geöffnet wird. Über diese HTML-SEITE wird der Anwender in holprigem Englisch darüber informiert, dass er Opfer einer Ransomware-attacke geworden ist. Im Anschluss daran wird ein „ID-KEY“eingeblendet. Der Benutzer soll als Nächstes eine E-mail an eine von zwei angegebenen Mailadressen unter Angabe seiner „Id-key“-nummer schicken und bekommt danach zusätzliche Instruktionen darüber, wie er nach Entrichtung eines Lösegelds schließlich wieder an seine Daten gelangt. Des Weiteren wird der Bildschirmhintergrund des Desktops durch einen Bildschirmhintergrund der Fantom-macher ersetzt. In diesem Wallpaper werden die Benutzer mit „All Files Encripted!!!“(sic!) erneut über den Angriff informiert. In dem Wallpaper befindet sich noch einmal die Mailadresse, über die das Opfer in Kontakt mit den Erpressern treten soll. Gefahrenstufe: Sehr hoch! Zwar ist die Zahl der Erpresserviren gegenüber der Anzahl aller Viren pro Jahr gering, doch richten sie sowohl bei Privatanwendern als auch in Unternehmen und öffentlichen Einrichtungen wie Krankenhäusern gewaltigen Schaden an. Notfall: In der Regel bleibt Ihr Rechner zunächst mal einsatzbereit, schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen können. Viele Experten raten jedoch davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob Sie einen Schlüssel zum Entschlüsseln Ihrer Daten erhalten. Darüber hinaus ermutigt dies die Kriminellen, weiterhin Pc-nutzer anzugreifen. Andere Experten raten dagegen zur Zahlung, da man eine Chance hat, seine Daten wiederzubekommen.
Wenn Sie keine Sicherung Ihrer Daten haben und nicht zahlen wollen, somit einen Schlüssel für die entführten Daten brauchen, sollten Sie auf www.nomoreransom.org nachsehen, ob es für Ihre Daten ein kostenloses Entschlüsselungstool gibt. Die Site wird von den Behörden sowie den Antivirenherstellern Kaspersky und Mcafee betrieben. Die Seite ist deutschsprachig und zudem leicht zu bedienen. Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen. Die Site prüft daraufhin, ob es ein Entschlüsselungsprogramm für Ihre Daten gibt. Sollte das nicht der Fall sein, dann lohnt es sich, die Daten aufzubewahren und ein paar Wochen oder Monate später den Test auf der Site zu wiederholen. Oft dauert es eine Weile, bis die Experten an den Universalschlüssel eines Erpresservirus herankommen und ein Tool zur Entschlüsselung programmieren können.
Auf jeden Fall müssen Sie den Erpresservirus noch vom System beseitigen. Andernfalls kann er weiteren Schaden anrichten, etwa Ihre Passwörter stehlen. Das Löschen des Virus erledigt entweder eine Antivirensoftware oder Sie installieren Windows neu.
Schutz: Neben einer guten Antivirensoftware hilft ein gutes Backup von System und Daten. Ist dieses aktuell, können Sie auf den Erpresservirus und die verschlüsselten Daten getrost pfeifen. Sie spielen einfach Ihr Backup zurück. Backup-strategien: Es gibt unzählige Backuptools und zahlreiche Backup-strategien. Das beste Backup ist jedoch das, das man hat, auch wenn es nicht ganz perfekt ist. Darum sollten Sie jetzt sofort eines anlegen. Nutzen Sie zum Beispiel eine externe Festplatte, schließen Sie sie an den PC an und kopieren Sie ganz einfach alle Daten aus dem Ordner „Eigene Dateien“beziehungsweise aus „C:\benutzer\ihr Benut zername“beziehungsweise aus dem Ordner, in dem Sie Ihre Anwenderdateien speichern. Ist das geschehen, haben Sie zwar noch nicht alles gesichert, aber vermutlich schon mal das Wichtigste. Ziehen Sie sodann die externe Festplatte vom PC wieder ab. Denn bleibt sie angeschlossen, könnte ein künftiger Erpresservirus auch die Dateien der Sicherung entführen.
Dann können Sie sich in Ruhe um eine ausgefeilte, komplette Datensicherung kümmern. Einen ausführlichen Ratgeber dazu finden Sie unter www.pcwelt.de/1962342. Einen ausführlichen Ratgeber zu verbreiteten Erpresserviren finden Sie unter www.pcwelt.de/2073555.
3. Doxing: Erpresserviren veröffentlichen Ihre Daten
Darum geht’s: Der Begriff „Doxing“steht für „document tracing“oder „docs tracing“. Dabei geht es um das Sammeln von Informationen über eine Person und die anschließende Veröffentlichung der Daten. Diese Methode haben sich auch einige Programmierer von Erpresserviren zunutze gemacht. Ihr Schädling schleicht sich auf den üblichen Wegen auf ein System. Doch anstatt die Daten dann nur zu verschlüsseln, lädt er sie auch auf Server ins Internet. Die eigentliche Erpressung besteht dann darin, diese Daten zusammen mit dem Namen des Opfers zu veröffentlichen. Wie groß der Druck für das Opfer ist, hängt hierbei wesentlich von den Daten ab. Konnten die Kriminellen etwa eine pikante Finanzübersicht erbeuten oder Briefe an die heimliche Geliebte, wird die Zahlungsbereitschaft wahrscheinlich hoch sein. Beispiel: Die Erpresser-malware Chimera verschlüsselt die Dateien des Benutzers auf dem infizierten Rechner und fordert dann ein Lösegeld. Sie droht ihren Opfern außerdem damit, dass sie alle Fotos und Videos des Opfers im Internet veröffentlichen wird, wenn das Opfer das geforderte Lösegeld nicht bezahlen sollte. Zum Glück für die Opfer zeigte eine Codeanalyse des Schädlings, dass er keine Routinen enthält, um Dateien des Rechners an die Täter zu senden. Lediglich die durch Chimera generierte Opfer-id, Bitcoin-adresse und der private Schlüssel der verschlüsselten Daten werden übertragen. Gefährlich ist das dennoch, denn eine Funktion zum Hochladen von Fotos und anderen Dateien lässt sich sehr einfach mittels Update in den Schädling nachladen. Gefahrenstufe: Zu Redaktionsschluss spielten die Angriffe mit Chimera kaum noch eine Rolle. Dennoch besteht die Gefahr, dass die Kriminellen künftig häufiger mit Doxing arbeiten. Schutz: Der beste Schutz gegen Doxing-erpresser sind verschlüsselte Daten. Packen Sie sämtliche Dateien, die Sie nicht laufend brauchen, in einen verschlüsselten Container und öffnen Sie diesen Container nur dann, wenn Sie Daten daraus benötigen. Ein empfehlenswertes Verschlüsselungstool ist Veracrypt (auf HEFT-DVD). Veracrypt ist der legitime Nachfolger der Verschlüsselungssoftware Truecrypt, welche nicht mehr weiterentwickelt wird. Im Vergleich zu seinem Vorgänger bietet Veracrypt unter anderem verbesserte Algorithmen zur Systemverschlüsselung und schützt dadurch besonders wirkungsvoll gegen Systemangriffe. Bedienen lässt sich das Tool genau wie sein Vorgänger. Eine ausführliche Anleitung zu Veracrypt finden Sie unter www.pcwelt.de/2071186.
4. Werbe-tracking per Ultraschall in über 230 Android-apps
Darum geht’s: In mehr als 230 Android-apps soll die Werbesoftware Silverpush eingebaut sein, die Anwender mittels Ultraschall bespitzelt. Das haben Forscher der TU Braunschweig herausgefunden. Forscher des Institutes für Systemsicherheit um den Informatikprofessor Konrad Rieck haben bei der Untersuchung von über 1,3 Millionen Android-apps 234 Programme entdeckt, in denen die auf Ultraschallsignalen basierende Lauschsoftware des Herstellers Silverpush enthalten ist. Vor zwei Jahren wurden erst sechs solcher Apps gefunden. Die Technik dient dazu, Verhaltensprofile der Verbraucher zu erstellen und zu verfeinern.
Die für die Werbeindustrie entwickelte Technik besteht aus zwei Komponenten. Eine ist ein Ubeacon (Ultraschall-leuchtfeuer) genanntes Signal, das etwa durch Fernseher, Computer oder Werbetafeln ausgestrahlt werden kann. Es besteht aus für Menschen kaum wahrnehmbaren Tönen in dem Frequenzbereich zwischen 18 000 und 20 000 Hz. Alternativ können auch die Schallsignale in Videos eingebaut sein. Die zweite Komponente ist die Silverpushsoftware in Handys. Die Mikrofone der Smartphones nehmen die Ultraschalltöne auf, die Silverpush-software wertet die Signale aus. So können Werbetreibende zum Beispiel feststellen, dass sich ein Smartphone-besitzer in einem bestimmten Ladengeschäft aufhält oder vor einer elektronischen Werbetafel steht. Denkbar ist auch das Einbetten solcher Ultraschalltöne in TV- oder Radiosendungen, beispielsweise in Werbeclips. Konkrete Beispiele für Ultraschall-tracking in Tv-werbung haben die Forscher allerdings bislang nicht entdeckt. Als Ultraschall werden streng genommen erst Tonfrequenzen oberhalb von 20 000 Hz bezeichnet. Menschen können Töne etwa zwischen 20 und 20 000 Hz hören, doch mit zunehmendem Alter lässt die Hörfähigkeit für hohe Frequenzen nach. Die meisten Erwachsenen können deshalb Frequenzen oberhalb von 18 000 Hz nicht mehr oder kaum noch wahrnehmen, bei Senioren ist oft schon oberhalb von 12 khz Schluss. Mikrofone und Lautsprecher in Unterhaltungselektronik können
den Bereich von 20 Hz bis 20 khz mehr oder weniger gut abdecken. Deshalb bietet sich der Bereich zwischen 18 und 20 khz für derartige Seitenkanalangriffe an.
Gefahrenstufe: Die Angriffstechnik wird dazu eingesetzt, Datenprofile von Anwendern zu verfeinern, die danach an die Werbeindustrie verkauft werden oder ursprünglich von dieser in Auftrag gegeben wurden. Welche Gefahr von Datenprofilen ausgeht, wird sehr unterschiedlich eingeschätzt. Datenschützer bewerten die Gefahr in der Regel höher als fortschrittsgläubige Internetfreunde. Wer an Dystopien glaubt, der fürchtet große Datenmengen, denn in nicht demokratischen Systemen lassen sie sich leicht gegen Menschen einsetzen. Manche befürchten, dass dies auch in demokratischen Systemen schnell passieren kann.
Die Technik Silverpush jedenfalls wird vom Antivirenhersteller Avira als Malware eingestuft. Avira zufolge übermittelt die Silverpushsoftware Benutzerdaten an Werbetreibende, darunter Geräte-id, Telefonnummer und Macadresse. Avira hat die Tracking-software etwa in einer App von Mcdonald‘s gefunden – allerdings auf den Philippinen.
Schutz: Installieren Sie eine Antivirensoftware auf Ihrem Handy, etwa Avira Antivirus Security oder das kostenlose Sophos Free Antivirus and Security, beide laufen unter Android. Die Sophos-app hat in den letzten Tests von Av-test (www.av-test.org) sehr gut abgeschnitten.
5. Iot-geräte im Fokus: Angriff auf smarte Geräte
Darum geht’s: Kriminelle greifen mit Schadcode smarte Geräte, etwa Ip-kameras, an. Viele dieser „smarten“Geräte sind nur schlecht gegen Angriffe geschützt und das, obwohl sie oft direkt mit dem Internet verbunden sind und damit eine entsprechend große Angriffsfläche bieten. Neben Ip-kameras stehen auch digitale Videorecorder, Nas-geräte, Router und andere Iot-geräte (Internet of Things) im Fokus der Angriffe. Hat sich ein Schädling in einem smarten Gerät eingenistet, kann er teils erheblichen Schaden anrichten. Das ist etwa bei einem Ddos-angriff (www.pcwelt.de/1542915) der Fall, welchen Ihr Videorecorder auf fremde Webseiten ausführt. Oder die Bilder aus Ihrer Ip-kamera werden im Internet veröffentlicht. Ein Beispiel: Mindestens seit Mai 2017 greift der Schädling Persirai Ip-kameras an. Er nutzt hierfür eine Sicherheitslücke in einer chinesischen Whitelabel-ip-kamera aus, die unter verschiedenen Markennamen verkauft wird. Persirai probiert die Standard-log-ins der Hersteller durch und kann bei zahlreichen Geräten die individuell vergebenen Benutzerpasswörter auslesen. Schätzungen der Antivirenfirma Trend Micro (www.trendmicro.de) zufolge könnten weltweit mehr als 120 000 Ip-kameras dafür anfällig sein.
Gefahrenstufe: Ip-kameras und alle anderen internetfähigen Geräte gelten aktuell als sehr gefährdet. Zwar mag es ebenfalls Modelle geben, die gut gegen Angriffe geschützt sind, es gibt jedoch leider auch sehr viele, leicht verwundbare Iot-geräte.
Schutz: Was bei Windows-rechnern selbstverständlich ist und meist automatisch geschieht, ist für viele Iot-geräte bisher noch die Ausnahme: regelmäßige Updates. Doch auch bei Netzwerkgeräten sind Updates ungemein wichtig, um neu entdeckte Sicherheitslücken zu schließen. Dies betrifft den Router ebenso wie das NAS oder die Ip-kamera. Wie Sie die Updates installieren, sollten Ihnen das Handbuch oder die Website des Herstellers verraten. Außerdem wichtig: Wenn Sie gar nicht vorhaben, von unterwegs aus auf Ihre externe Festplatte zuzugreifen, dann brauchen Sie bei ihr auch keinen Internetzugriff einzurichten. Laufen in Ihrem Heimnetz schon länger internetfähige Geräte, lohnt sich ein Kontrollblick in Ihr Konfigurationsmenü. Schließlich sollten Sie jedes Gerät mit einem individuellen Passwort schützen. Denn die Standardpasswörter der Geräte kennen auch die Hacker und Virenprogrammierer. Wenn Sie diese voreingestellten Log-in-daten so belassen, ist es für Angreifer ein Kinderspiel, das Gerät zu übernehmen.
6. Schädling zerstört Iot-geräte: Brickerbot
Darum geht’s: Ein besonders skurriler Angriff auf Iot-geräte wurde im April 2017 bekannt. Während die meisten unsicheren Iot-geräte im Stillen von feindlichem Code übernommen werden, um sodann Teil eines Bot-netzwerks zu sein, macht die Malware Brickerbot kurzen Prozess. Sie greift Linux-basierte Internetgeräte an und macht diese unbrauchbar. Damit erklärt sich auch der Name der Schadsoftware: Das englische Wort „brick“bedeutet Backstein, Stein oder Klotz. Weil dieser Code die Geräte dauerhaft unbrauchbar macht, verwandelt er sie sozusagen in Steine (bricks).
Brickerbot wurde von den Security-spezialisten von Radware (www.radware.com) entdeckt. Die Angriffe mit Brickerbot können ein System so schwer beschädigen, dass ein Austausch der Hardware erforderlich wird. Ähnlich wie bei dem Schädling Mirai führt Brickerbot eine Brut-force-attacke gegen offene Telnet-ports der Geräte aus. Bei Erfolg kompromittiert er den Speicher des befallenen Geräts und unterbricht die Internetverbindung. Danach löscht er schließlich sämtliche Dateien auf Flash- und Kartenspeichern. Da Brickerbot nicht versucht, Dateien nachzuladen, ist auch nicht bekannt, mit welchen Zugangsdaten genau der Bot versucht, die Geräte zu kapern. Der erste Versuch erfolgt jedoch immer mit der Benutzername-