Cryptolocker, Cryptowall, CTB-Locker, TorrentLocker – diese Ransomware-Programme lauern darauf, dass Sie einen Fehler machen. Sie verschlüsseln Ihre Festplatte und verlangen Bitcoins für den Schlüssel. Ein kurzer Überblick über einen Stamm der abscheulichsten Programme, die sich in den Weiten des Internets herumtreiben.
Ich hoffe, Sie lesen diesen Text aus Neugier und nicht, weil Sie betroffen sind. Falls doch dürften Sie es bereits wissen: Das Internet ist kein Ponyhof, sondern ein Raubtierkäfig und ein Minenfeld. Und jeder will nur eines: Ihr Geld.
Was ist Ransomware?
Neben den Abofallen ist die Ransomware eine der klassischen Methoden von Internet-Gaunern, unbedarften Nutzern das Geld aus der Tasche zu ziehen. Die Ransomware ist ein Programm, das sich auf irgendeine Weise auf Ihren Rechner schleicht, diesen lahmlegt und von Ihnen Geld sehen will, damit der Rechner wieder befreit wird. Gab es bereits mit dem legendäre Bundestrojaner-Virus, der vor einigen Jahren durch die Filesharing-Netzwerke geflutscht ist. Laut McAfee gab es 2013 bereits mehr als 250.000 Varianten von Ransomware.
Für Hacker ist Ransomware eine Gelddruckmaschine: Sie verteilen die Software über BotNetze und warten, bis das Geld eintrudelt.
Was ist an Cryptolockern besonders?
Mit dem Cryptolocker hat die Ransomware allerdings im Sommer 2013 eine neue Stufe der Diabolität erreicht. Und zwar aus zwei Gründen
- Während frühere Ransomware wie der Bundestrojaner nur einen Scheinangriff dargestellt hat und es für Experten kein Problem war, die Daten auch ohne Lösegeld zu entschlüsseln, macht der Cryptolocker ernst. Er benutzt starke Kryptographie, um tatsächlich die komplette Festplatte einschließlich eingestöpselter USB-Laufwerke zu verschlüsseln. Es ist nur in Ausnahmefällen möglich, die Festplatte zu entschlüsseln ohne Lösegeld zu bezahlen.
- Mit dem Bitcoin haben die Erpresser hinter der Ransomware die vielleicht effektivste Methode gefunden, um die Lösegelder zu waschen. Anfangs hat die neue Generation der Ransomware noch MoneyPack oder Bitcoins verlangt. Mittlerweile werden nur noch Bitcoins akzeptiert.
Was ist der Cryptolocker?
Als erste Variante der neuen Ransomware hat der Cryptolocker eingeschlagen wie eine Bombe. Die Malware wurde über E-Mails verteilt und hat schätzungsweise 250.000 Rechner infiziert.
Der Kryptolocker hat eine Bezahlung von etwa 300 Dollar für die Rückgabe des Schlüssels verlangt. ZDNet hat vier Bitcoin-Adressen von befallenen Nutzern untersucht und dabei herausgefunden, dass in relativ kurzer Zeit fast 42.000 Bitcoins darauf bewegt worden sind. Das FBI spricht von mehr als 100 Millionen Dollar, die durch den Cryptolocker gestohlen worden sind. Betroffen waren auch Anwaltskanzleien und Polizeipräsidien.
Im Juni 2014 konnte man aufatmen. Das United States Department of Justice erklärte, dass man mit der Operation Tovar das Gameover ZeuS-Botnetz zerstört habe. Durch dieses habe der russische Hacker Evgeniy Bogachev den Cryptolocker verbreitet. Bogachev ist allerdings weiter auf freien Fuß; das FBI hat eine Belohnung von 3 Millionen Dollar auf ihn ausgesetzt.
An der Operation Tovar waren das FBI, Interpol, Hersteller von Sicherheitssoftware sowie Universitäten beteiligt. Die niederländische Sicherheitsfirma Fox-IT konnte dabei eine Datenbank mit den privaten Schlüsseln des CryptoLockers sicherstellen. Im August startete Fox-IT einen Online-Service, durch den betroffene Nutzer ihre verschlüsselte Festplatte retten konnte. Es schien damit, als sei der Crytolocker besiegt. Vorerst.
Welche neuen Cryptolocker gibt es?
Software ist wie eine Hydra. Wenn der Code erstmal auf der Welt ist, ist es so gut wie unmöglich, ihn aus der Welt zu schaffen. Egal wie mies die Software ist, egal wie viele Sicherheitsexperten gegen sie kämpfen. Dateien sind unsterblich, und sie finden immer Wege, in die richtigen bzw. falschen Hände zu gelangen.
Software ist daneben wie ein Bakterienstamm. Sie wächst, teilt sich, spaltet sich und entwickelt sich weiter. Aus dem Cryptolocker sind zahlreiche neue Varianten hervorgegangen, durch welche die Ransomware stärker als je zuvor zurückgekehrt ist. Die bekanntesten sind derzeit Cryptowall (2.0, 3.0), Torrentwall, CTB-Locker, Zerolocker, Bitcrypt. Aber vermutlich sind noch zahlreiche weitere Versionen da draußen unterwegs.
All diese neue Inkarnationen des Cryptolockers arbeiten mit starker Kryptographie. Cryptowall benutzt etwa eine 2048-Bit-RSA-Verschlüsselungen und sendet die Daten über anonyme Netzwerke wie Tor oder I2P. Für die Rettung der Daten verlangt Cryptowall 500 Dollar, aus denen nach Ablauf einer Frist 1.000 Dollar werden. Als Bezahlmethode wird nur noch Bitcoin akzeptiert.
Wie kommt die Ransomware auf einen Rechner?
Das Ziel der Erpresser ist es, eine Datei auf Ihren Rechner zu bekommen. Es gibt tausend Wege, dies zu erreichen. Am offensichtlichsten sind E-Mails mit Anhängen aller Art. Dabei sind der Kreativität keine Grenzen gesetzt. Manchmal tarnen sie sich als E-Mails von T-Online oder von PayPal. Eine weitere Möglichkeit ist der Download von Programmen von falschen Webseiten. Wenn Sie etwa versuchen, den Acrobat Reader von einer anderen Seite als Adobe herunterzuladen, werden Sie sich mit hoher Wahrscheinlichkeit einen Virus einfangen. Schließlich werden die Cryptolocker zum Teil auch über Werbenetzwerke vertrieben, in die sie sich eingeschlichen haben, über den Dateidownload durch Filesharing-Netzwerke, über das Streamen von Videos oder über eine Malware, die sich bereits in den Browser installiert hat, etwa weil Sie vergessen haben, bei der Installation eines anderen Programms ein Häkchen abzuwählen.
Was kann ich machen, wenn mein Rechner infiziert ist?
Eigentlich nur eines: Wägen Sie ab, wie viel Ihnen die Daten wert sind. Wenn die Daten weniger als 500 Dollar wert sind oder Sie ein Back-Up haben – formatieren Sie den Rechner einfach neu. Falls Sie Ihr Back-Up auf etwa Dropbox in der Cloud speichern, werden die Daten in den synchronisierten Ordner auf Ihrer Festplatte ebenfalls gespeichert. Allerdings bieten die meisten Cloudspeicher die Möglichkeit an, eine frühere Version neu zu laden. In einigen wenigen Fällen funktioniert angeblich auch die Bergung der Daten durch das Systembackup. Das aber soll wohl die Ausnahme sein.
In den allermeisten Fällen haben Sie keine andere Möglichkeit, als zu bezahlen. Davon wird zwar oft abgeraten, da man keine Garantie habe, dass die Erpresser den Schlüssel auch liefern, und da man grundsätzlich nicht auf Erpressungsversuche eingehen sollte. Beides ist richtig. Allerdings sind, wenn Sie nicht bezahlen, Ihre Daten in jedem Fall weg, während Sie, wenn Sie bezahlen, eine gute Chance haben, die Daten zu retten. Von daher sollte, abseits von prinzipiellen Gründen, entscheidend sein, wie wichtig die gekidnapten Daten sind.
Wie schütze ich mich vor Ransomware?
Indem Sie verhindern, das unerwünschte Daten auf Ihr System kommen. Laden Sie niemals den Anhang einer E-Mail herunter, deren Absender Sie nicht kennen. Niemals. Laden Sie niemals Dateien von Seiten herunter, denen Sie nicht vertrauen. Die meiste freie Software, die man benötigt, findet man bei sicheren Seiten wie chip oder heise. Öffnen Sie die blockchains und Clienten neuer Altcoins nur in einer virtuellen Maschine, und wenn Sie nicht wissen, was das ist – laden Sie nur die Clienten und Blockchains von Altcoins herunter, die bereits etabliert sind. Streamen Sie Videos nur in einer gesicherten Umgebung wie youtube. Aktivieren Sie niemals einen Download, wenn Sie sich vertippt haben und die angebliche Seite Sie auffordert, ein Update zu installieren. Undsoweiter. Betrachten Sie, kurz gesagt, das Internet als feindliche Umgebung. Und: machen Sie von allen wichtigen Daten ein Back-Up. Unbedingt.