Gefällt dir dieser Artikel?

ACHTUNG: Verschlüsselungs-Trojaner wieder im Umlauf

erschienen in der Kategorie Software, am 01.10.2015
Schnatterente
Windows-Nutzer und Netzwerkadministratoren aufgepasst!

Vor circa anderthalb Jahren habe ich hier mal über "Bitcrypt2" berichtet. Das ist ein trojanisches Pferd, das alle Dokumente, die es auf der Festplatte findet, verschlüsselt.
Zurzeit sind wieder derartige Trojaner auf dem Vormarsch!

Anfang der Woche klingelte mein Telefon und man bat mich um Hilfe, weil jemand an einem Bürorechner versucht hatte, ein Bewerbungsschreiben aus dem Internet herunterzuladen und dieses zu öffnen. Dabei handelte es sich jedoch um einen Verschlüsselungstrojaner.

Das Resultat dieser Aktion ist, dass die Schadsoftware so ziemlich alle wichtigen Dateien, die auf dem PC gespeichert waren, verschlüsselt hat. Die Dateien lassen sich nicht mehr öffnen und da das Trojanische Pferd mit einem Verschlüsselungsalgorithmus arbeitet, welcher als sehr sicher gilt, ist auch nicht davon auszugehen, dass man jemals wieder an die Daten rankommt.

Erpressung mittels Verschlüsselung

Das Ziel der Leute, die hinter diesem Trojaner stecken, ist es Geld zu erpressen. So wird man als Geschädigter vom eigenen PC darüber informiert, dass man den Kriminellen für eine recht hohe Summe (meist mehrere Tausend Euro) eine Software abkaufen kann, die die Daten nachfolgend wieder entschlüsselt.
Man sollte sich nicht auf diesen Handel einlassen, denn es kann natürlich sein, dass man das versprochene Entschlüsselungsprogramm nach der Zahlung gar nicht erhält. Im schlimmsten Fall kommen mehrfache Nachforderungen für weitere Zahlungen und am Ende hat man nicht nur keine Daten, sondern auch kein Geld mehr.

Horrorszenario eingetreten

In dem oben geschilderten Fall sieht es übrigens wirklich übel aus. Auf dem infizierten PC lagen alle wichtigen Unterlagen des Gastronomiebetriebes (auch die Buchhaltungsdaten). Als Backuplösung war ein RAID-System sowie ein Netzlaufwerk vorgesehen. Beides nützt nun nichts mehr. Das RAID-System schützt vor einem Festplattenausfall, aber nicht vor Schadsoftware. Und da das Netzlaufwerk in Windows eingebunden war, hat der Trojaner auch alle dort liegenden Daten verschlüsselt.
Die Virensoftware (in diesem Fall McAfee) war auf dem aktuellen Stand, hat den Trojaner aber nicht erkannt. Ein Upload des Schadprogrammes bei VirusTotal zeigte, dass McAfee damit aber keine Ausnahme darstellte. In dieser Form scheint der Virus noch weitestgehend unbekannt gewesen zu sein.

Auf den Angriff reingefallen ist man im vorliegenden Fall nur, weil da eine wirklich "gut" gemachte E-Mail ankam. Diese wurde von einer seriös klingenden E-Mail-Adresse von einem deutschen Provider verschickt. Es handelte sich um einen Bewerbungstext für eine Stellenanzeige, die es auch wirklich gibt. Die E-Mail war in korrektem Deutsch verfasst und genau auf den Adressaten zugeschnitten. Das einzig Merkwürdige war, dass der Lebenslauf nicht als Anhang mit der Mail kam (vermutlich um dem Virenscanner des Providers zu entgehen), sondern dass auf einen Dropbox-Link zum Download verwiesen wurde.
Der Mitarbeiter, der die Mail bekommen hat (ein Koch), hat sich dabei nichts gedacht und die Datei heruntergeladen. Diese trug den Namen Bewerbung.pdf.exe. Bei Vielen schrillen bei so einem Dateinamen sicher gleich die Alarmglocken, doch Anwendern, die sonst nicht viel mit Computern zu tun haben, kann man keinen Vorwurf machen, wenn sie sich nicht mit Dateiendungen auskennen.

Vorsichtig sein und andere warnen!

In den letzten Tagen erreichten mich immer mehr Meldungen von weiteren Betroffenen. Ich habe auch von noch mehr Fällen gehört, bei denen die E-Mails genau auf die Empfänger zugeschnitten waren. Es scheint also gerade eine größere Angriffswelle zu geben und diese scheint gut geplant zu sein.

Deswegen möchte ich zu besonderer Vorsicht aufrufen.

Hier ein paar grundlegende Verhaltensregeln:
  • Öffnet keine E-Mail-Anhänge, die euch merkwürdig vorkommen oder die ihr nicht erwartet.
  • Öffnet auch keine E-Mail-Anhänge von euch bekannten Personen, wenn in den Nachrichten nicht explizit auf die Anhänge verwiesen wird. (Einige Trojaner sind in der Lage die Anhänge von ausgehenden E-Mails zu manipulieren.)
  • Klickt keine dubiosen Links an, die ihr in E-Mails findet. Prüft bei allen Links genau, ob sie wirklich auf die Seite verlinken, die im Text angegeben ist. (Es sind auch viele Phishing-Mails unterwegs.)
  • Seid skeptisch, wenn unerwartet Rechnungen, Bewerbungen oder Schreiben von Anwälten per E-Mail ankommen. (Oft werden auch E-Mails von großen deutschen Telekommunikationsunternehmen gefälscht. Diese sind sowohl vom Design als auch vom Text her kaum von den Originalen zu unterscheiden.)
  • Falls seltsam anmutende Mails bei euch ankommen, fragt bei den Absendern nach bzw. informiert sie darüber, dass ihr Rechner eventuell automatisch Mails versendet.
  • Falls ihr ohne vorherige Rücksprache Dateien mit den Endungen *.exe oder *.msi bekommt, solltet ihr diese nicht öffnen. Vorsicht ist auch bei *.zip- und *.rar-Archiven geboten.
  • Haltet eure Antiviren-Software aktuell.
  • Erstellt regelmäßige Backups eurer Daten und trennt die dazu verwendeten Speichermedien dann wieder vom PC.
  • Auch beim Umgang mit Smartphones und Tablets sollte man vorsichtig sein. Schließt die Geräte nur an den USB-Port des PCs an, wenn es unbedingt sein muss. Nutzt zum Akkuladen lieber das Netzteil. Viele Viren befallen erst mobile Endgeräte und werden dann über eine aktive USB-Verbindung auf den PC übertragen. Installiert daher auch nur Apps, die vertrauenswürdig sind.
  • Falls ihr feststellt, dass mit eurem PC etwas nicht stimmt oder ihr merkt. dass ihr euch tatsächlich einen Verschlüsselungstrojaner eingefangen habt, trennt den Rechner SOFORT vom Netzwerk und von allen externen Speichermedien. Fahrt den PC schnellstmöglich herunter. (Im Zweifelsfall kann es auch sinnvoll sein, einfach mal den Stecker zu ziehen. Eventuell verhindert man damit, dass der Trojaner noch weitere Dateien verschlüsselt.) Fragt dann einen Fachmann, was zu tun ist.


Ich weiß, dass unter meinen Lesern viele Netzwerkadministratoren, Software-Entwickler und sonstige Informatiker sind. Um euch mache ich mir keine Sorgen, aber um alle anderen.

Wissen ist das beste Mittel zur Prävention. Also schult eure Anwender. Sensibilisiert sie insbesondere, bezüglich der Gefahren von E-Mail-Anhängen und Links in E-Mails. Und vergesst auch nicht die Leute in eurer Familie und im Freundes- und Bekanntenkreis aufzuklären, die nicht mit Computern groß geworden sind. ;-)

Geschnatter

8 Kommentare, selbst mitschnattern << < Seite 1/2 > >>
postlet, am 01.10.2015 um 21:12 Uhr
Ich hätte da noch einen Vorschlag für die Verhaltensregeln: Man sollte nach Möglichkeit die reine Textansicht für E-Mails verwenden. Da wird dann recht schnell ersichtlich, wenn hinter dem „Hier klicken!“-Link in einer seriös wirkenden HTML-Mail eigentlich die gute alte krankenversicherung24.ru steckt.

Übrigens darfst du dir auch Sorgen um die Administratoren machen … Die müssen so eine Scheiße am Ende doch immer irgendwie gerade biegen. Ich freu mich schon auf den nächsten Anruf =\

Und wenn dieser Artikel jetzt noch irgendwie die eigentliche Zielgruppe erreichen könnte … Würde das vermutlich auch nichts ändern =P
chris_blues, am 02.10.2015 um 02:51 Uhr
Moin!

Ich hab deinen Artikel mal komplett zitiert. Vielleicht hilfts ja, die Botschaft weiter zu tragen.
https://musicchris.de/index.php?page=blog&index=49
Ich hab auch die große Freude mich hier und da mal um solcherlei zu kümmern. Hrmpf...

Danke für die Info und schöne Grüße,
chris
Anonym, am 03.10.2015 um 08:51 Uhr
Kann man gar nix dagegen machen?
EJB, am 13.11.2015 um 12:23 Uhr
MIch hat's auch erwischt. Glücklicherweise nur auf dem alten Zweit-PC, da liegt nicht viel rum.
Anonym, am 15.11.2015 um 10:24 Uhr
@EJB: Na dann schau, dass du den Rechner vom Netz nimmst und mach ihn komplett platt!
Gabi, am 08.12.2015 um 10:28 Uhr
So ein Mist. :((
Moisl, am 25.02.2016 um 18:58 Uhr
Ich hab das Problem jetzt gerade auf meinem dreiviertel Jahre altem PC und da ist jetzt das Problem, dass die Festplatte ganz verschlüsselt ist und auch Neuinstallation von Windows 8 nicht funktioniert...
Hatte Windows 10 drauf und auch Antivirenscan an. Jetzt geht eben gar nichts mehr und da das jetzt schon der 3. Ausfall innerhalb dieses dreiviertel Jahres ist, regt mich dann jetzt ganz dezent auf.
Hat jemand eine Ahnung, was ich jetzt noch machen kann?
Bin um jeden kleinen Hinweis froh, den ich bekommen kann. :)