Software, die Daten kidnappt und Bitcoins verlangt
Cryptolocker, Cryptowall, CTB-Locker, TorrentLocker – diese Ransomware-Programme lauern darauf, dass Sie einen Fehler machen. Sie verschlüsseln Ihre Festplatte und verlangen Bitcoins für den Schlüssel. Ein kurzer Überblick über einen Stamm der abscheulichsten Programme, die sich in den Weiten des Internets herumtreiben.
Ich hoffe, Sie lesen diesen Text aus Neugier und nicht, weil Sie betroffen sind. Falls doch dürften Sie es bereits wissen: Das Internet ist kein Ponyhof, sondern ein Raubtierkäfig und ein Minenfeld. Und jeder will nur eines: Ihr Geld.
Was ist Ransomware?
Neben den Abofallen ist die Ransomware eine der klassischen Methoden von Internet-Gaunern, unbedarften Nutzern das Geld aus der Tasche zu ziehen. Die Ransomware ist ein Programm, das sich auf irgendeine Weise auf Ihren Rechner schleicht, diesen lahmlegt und von Ihnen Geld sehen will, damit der Rechner wieder befreit wird. Gab es bereits mit dem legendäre Bundestrojaner-Virus, der vor einigen Jahren durch die Filesharing-Netzwerke geflutscht ist. Laut McAfee gab es 2013 bereits mehr als 250.000 Varianten von Ransomware.
Für Hacker ist Ransomware eine Gelddruckmaschine: Sie verteilen die Software über BotNetze und warten, bis das Geld eintrudelt.
Was ist an Cryptolockern besonders?
Mit dem Cryptolocker hat die Ransomware allerdings im Sommer 2013 eine neue Stufe der Diabolität erreicht. Und zwar aus zwei Gründen
- Während frühere Ransomware wie der Bundestrojaner nur einen Scheinangriff dargestellt hat und es für Experten kein Problem war, die Daten auch ohne Lösegeld zu entschlüsseln, macht der Cryptolocker ernst. Er benutzt starke Kryptographie, um tatsächlich die komplette Festplatte einschließlich eingestöpselter USB-Laufwerke zu verschlüsseln. Es ist nur in Ausnahmefällen möglich, die Festplatte zu entschlüsseln ohne Lösegeld zu bezahlen.
- Mit dem Bitcoin haben die Erpresser hinter der Ransomware die vielleicht effektivste Methode gefunden, um die Lösegelder zu waschen. Anfangs hat die neue Generation der Ransomware noch MoneyPack oder Bitcoins verlangt. Mittlerweile werden nur noch Bitcoins akzeptiert.
Was ist der Cryptolocker?
Als erste Variante der neuen Ransomware hat der Cryptolocker eingeschlagen wie eine Bombe. Die Malware wurde über E-Mails verteilt und hat schätzungsweise 250.000 Rechner infiziert.
Der Kryptolocker hat eine Bezahlung von etwa 300 Dollar für die Rückgabe des Schlüssels verlangt. ZDNet hat vier Bitcoin-Adressen von befallenen Nutzern untersucht und dabei herausgefunden, dass in relativ kurzer Zeit fast 42.000 Bitcoins darauf bewegt worden sind. Das FBI spricht von mehr als 100 Millionen Dollar, die durch den Cryptolocker gestohlen worden sind. Betroffen waren auch Anwaltskanzleien und Polizeipräsidien.
Im Juni 2014 konnte man aufatmen. Das United States Department of Justice erklärte, dass man mit der Operation Tovar das Gameover ZeuS-Botnetz zerstört habe. Durch dieses habe der russische Hacker Evgeniy Bogachev den Cryptolocker verbreitet. Bogachev ist allerdings weiter auf freien Fuß; das FBI hat eine Belohnung von 3 Millionen Dollar auf ihn ausgesetzt.
An der Operation Tovar waren das FBI, Interpol, Hersteller von Sicherheitssoftware sowie Universitäten beteiligt. Die niederländische Sicherheitsfirma Fox-IT konnte dabei eine Datenbank mit den privaten Schlüsseln des CryptoLockers sicherstellen. Im August startete Fox-IT einen Online-Service, durch den betroffene Nutzer ihre verschlüsselte Festplatte retten konnte. Es schien damit, als sei der Crytolocker besiegt. Vorerst.
Welche neuen Cryptolocker gibt es?
Software ist wie eine Hydra. Wenn der Code erstmal auf der Welt ist, ist es so gut wie unmöglich, ihn aus der Welt zu schaffen. Egal wie mies die Software ist, egal wie viele Sicherheitsexperten gegen sie kämpfen. Dateien sind unsterblich, und sie finden immer Wege, in die richtigen bzw. falschen Hände zu gelangen.
Software ist daneben wie ein Bakterienstamm. Sie wächst, teilt sich, spaltet sich und entwickelt sich weiter. Aus dem Cryptolocker sind zahlreiche neue Varianten hervorgegangen, durch welche die Ransomware stärker als je zuvor zurückgekehrt ist. Die bekanntesten sind derzeit Cryptowall (2.0, 3.0), Torrentwall, CTB-Locker, Zerolocker, Bitcrypt. Aber vermutlich sind noch zahlreiche weitere Versionen da draußen unterwegs.
All diese neue Inkarnationen des Cryptolockers arbeiten mit starker Kryptographie. Cryptowall benutzt etwa eine 2048-Bit-RSA-Verschlüsselungen und sendet die Daten über anonyme Netzwerke wie Tor oder I2P. Für die Rettung der Daten verlangt Cryptowall 500 Dollar, aus denen nach Ablauf einer Frist 1.000 Dollar werden. Als Bezahlmethode wird nur noch Bitcoin akzeptiert.
Wie kommt die Ransomware auf einen Rechner?
Das Ziel der Erpresser ist es, eine Datei auf Ihren Rechner zu bekommen. Es gibt tausend Wege, dies zu erreichen. Am offensichtlichsten sind E-Mails mit Anhängen aller Art. Dabei sind der Kreativität keine Grenzen gesetzt. Manchmal tarnen sie sich als E-Mails von T-Online oder von PayPal. Eine weitere Möglichkeit ist der Download von Programmen von falschen Webseiten. Wenn Sie etwa versuchen, den Acrobat Reader von einer anderen Seite als Adobe herunterzuladen, werden Sie sich mit hoher Wahrscheinlichkeit einen Virus einfangen. Schließlich werden die Cryptolocker zum Teil auch über Werbenetzwerke vertrieben, in die sie sich eingeschlichen haben, über den Dateidownload durch Filesharing-Netzwerke, über das Streamen von Videos oder über eine Malware, die sich bereits in den Browser installiert hat, etwa weil Sie vergessen haben, bei der Installation eines anderen Programms ein Häkchen abzuwählen.
Was kann ich machen, wenn mein Rechner infiziert ist?
Eigentlich nur eines: Wägen Sie ab, wie viel Ihnen die Daten wert sind. Wenn die Daten weniger als 500 Dollar wert sind oder Sie ein Back-Up haben – formatieren Sie den Rechner einfach neu. Falls Sie Ihr Back-Up auf etwa Dropbox in der Cloud speichern, werden die Daten in den synchronisierten Ordner auf Ihrer Festplatte ebenfalls gespeichert. Allerdings bieten die meisten Cloudspeicher die Möglichkeit an, eine frühere Version neu zu laden. In einigen wenigen Fällen funktioniert angeblich auch die Bergung der Daten durch das Systembackup. Das aber soll wohl die Ausnahme sein.
In den allermeisten Fällen haben Sie keine andere Möglichkeit, als zu bezahlen. Davon wird zwar oft abgeraten, da man keine Garantie habe, dass die Erpresser den Schlüssel auch liefern, und da man grundsätzlich nicht auf Erpressungsversuche eingehen sollte. Beides ist richtig. Allerdings sind, wenn Sie nicht bezahlen, Ihre Daten in jedem Fall weg, während Sie, wenn Sie bezahlen, eine gute Chance haben, die Daten zu retten. Von daher sollte, abseits von prinzipiellen Gründen, entscheidend sein, wie wichtig die gekidnapten Daten sind.
Wie schütze ich mich vor Ransomware?
Indem Sie verhindern, das unerwünschte Daten auf Ihr System kommen. Laden Sie niemals den Anhang einer E-Mail herunter, deren Absender Sie nicht kennen. Niemals. Laden Sie niemals Dateien von Seiten herunter, denen Sie nicht vertrauen. Die meiste freie Software, die man benötigt, findet man bei sicheren Seiten wie chip oder heise. Öffnen Sie die blockchains und Clienten neuer Altcoins nur in einer virtuellen Maschine, und wenn Sie nicht wissen, was das ist – laden Sie nur die Clienten und Blockchains von Altcoins herunter, die bereits etabliert sind. Streamen Sie Videos nur in einer gesicherten Umgebung wie youtube. Aktivieren Sie niemals einen Download, wenn Sie sich vertippt haben und die angebliche Seite Sie auffordert, ein Update zu installieren. Undsoweiter. Betrachten Sie, kurz gesagt, das Internet als feindliche Umgebung. Und: machen Sie von allen wichtigen Daten ein Back-Up. Unbedingt.
„wenn Sie bezahlen, eine gute Chance haben, die Daten zu retten.“
Und ich sage: „wenn du bezahlst, hast du eine gute Chance die die Angreifer niemals aufhören dich zu melken“
Wer zahlt mit sich schon ein bisschen Mitschuldig bei den nächsten Angriffen.
merke:
Daten/Dateien die nicht gesichert sind, sind als gelöscht zu betrachten!
mfg
Wie die Anderen hier schon bemerkten: Wer kein Backup macht, vor allem in Anwaltskanzleien und Polizeipräsidien, dem ist nicht mehr zu helfen. Und ebenfalls schon bemerkt: Ich würde doch niemals auch noch Geld oder gar nicht rückrufbare Bitcoins senden, ohne ein Garantie zu haben, dass die Daten auch wirklich wieder entsperrt werden.
Ich höre das auch zum ersten Mal, dass die Täter tatsächlich so „ehrlich“ sind und einen Schlüssel schicken. Ist das wirklich so? Wie läuft das dann, über E-Mail? Und wenn unbedarften Leuten (die nicht mal Antivirensoftware und Backups haben) so etwas passiert, die wissen doch gar nicht, was Bitcoin ist und wie sie das bezahlen sollen. Also ich finde den Artikel interessant, weil danach das Internet und die User ganz anders sind, als ich es bisher gesehen habe. Aber anscheinend verdummen die Leute, statt dazuzulernen. Naja, die ganzen Trends, die Daten einfach z.B. auch der „Cloud“ zu überlassen und die Kontrolle über seine Geräte abzugeben, scheinen der Verdummung ja Vorschub zu leisten.
Nicht, dass ich meine, gegen Viren immun zu sein, aber wie gesagt, gerade im professionellen Bereich ohne Datensicherung zu arbeiten etc. – gibt’s das tatsächlich so oft?
Übrigens ist die Bitcoin Blockchain ja öffentlich, gibt es nicht inzwischen schon Programme und Anleitungen, die Datenströme zu analysieren?
Das hat weniger was mit verdummen zu tun, als vielmehr mit Bequemlichkeit und Vergesslichkeit. Ich habe schon seit Jahren kein Backup meiner Daten mehr gemacht, obwohl es so sinnvoll und wichtig ist. Mangels Probleme habe ich einfach irgendwann nicht mehr daran gedacht.
Insofern ist es gut, wenn man von Zeit zu Zeit durch solche Artikel daran erinnert wird mal wieder eines zu machen. In diesem Sinne: Danke Christoph.
Naja, irgendwie liegt aber geistige Bequemlichkeit schon in der Nähe von Verdummung. Die Leute lassen sich eben auch dummerweise einlullen z.B. von den Werbesprüchen der Software- und Cloudanbieter etc., wie sicher und einfach „mit einem Klick“ doch alles angeblich geht.
Wer einer cloud die Kontrolle seiner PC-Systeme überlässt, träumt selig auf Wolke 7.
Klar ist: Die Angreifer müssen wohl wissen, wer Bitcoin-User ist. Wie soll ein Opfer mit gesperrter Festplatte herausfinden was ein Bitcoin ist ? Wie soll das Opfer sich an irgendeiner Börse einen Account eröffnen ? Wie soll der Kauf von Bitcoins (Banküberweisung etc.) ohne
PC ablaufen ?
Googlen vielleicht?!
Streng genommen wird durch diese Software der Bitcoin noch weiter verbreitet – auch an Leute, die damit die was zu tun haben wollen. Nur schade, dass die Bezahlung dann mit so einer Negativen Erfahrung belastet ist.
Ach ja was ich eigentlich sagen wollte: Das komplette LW C wird sicher nicht verschlüsselt. Windows muss startbar sein, die Meldung muss angezeigt werden und man kann vielleicht noch z.B. auf Bitcoin.de einloggen (*gg*) und die Coins an die Adresse überweisen. Nur eben nicht auf seine anderen Daten zugreifen: Eigene Dateien, verschiedene Laufwerke, etc. vermute ich mal.
ZeroLocker Screenshot:
http://vinsula.com/wp-content/uploads/2014/10/ulzl_img1.jpg
Danke für den Screenshot! Ist ja fast witzig, wie die Erpresser versuchen, einen „positiven Ton“ zu treffen. Würde mich allerdings umso wütender machen und da müssten die Dateien schon sehr wichtig sein, eh ich auf so etwas eingehen würde. Wobei der Fall eben durch Backups gar nicht erst auftreten sollte.
„Seine Daten auf einer Cloud zu haben ist gegen Ransomware doch mit das beste Mittel.“ Sorry, was ist mit den guten alten Datenspeichern (Festplatte), über die man die volle Kontrolle hat und auf die auch die NSA nicht zugreifen kann.
Seine Daten auf einer Cloud zu haben ist gegen Ransomware doch mit das beste Mittel. Dropbox, Googledrive und Co. waren für mich in den letzten Jahrzehnten zu 99,99 % erreichbar. NSA und GCHQ gucken da vielleicht mal drauf – aber die gucken ja nur und verschlüsseln nicht gleich alles.
Allerdings wenn man nen Virus hat, ist ja nix mehr undenkbar. Der kann deine Tastatureingaben mitloggen, dadurch den Cloudpasswort herausfinden und die Daten darauf auch herunterladen, verschlüsseln und wieder hochladen – oder gleich dein Cloudpasswort ändern… ach der Kreativität sind keine Grenzen gesetzt.
Ein Virenscanner schützt zwar vor vielen Viren, aber nicht vor Allen. Neue Viren müssen es erstmal in die Definitionsliste schaffen. Die muss erstmal jemand als solche identifizieren und melden (wenn die nicht gerade ganz auffällig sind und durch die Heuristik entdeckt werden).
Interessant wird es wenn „Nutzprogramme“ sich erst zu einem bestimmten Datum selbst aktivieren und schädlich werden… wenn sie weiter verbreitet sind.