Gefällt dir dieser Artikel?

ACHTUNG: Verschlüsselungs-Trojaner wieder im Umlauf

erschienen in der Kategorie Software, am 01.10.2015
Schnatterente
Windows-Nutzer und Netzwerkadministratoren aufgepasst!

Vor circa anderthalb Jahren habe ich hier mal über "Bitcrypt2" berichtet. Das ist ein trojanisches Pferd, das alle Dokumente, die es auf der Festplatte findet, verschlüsselt.
Zurzeit sind wieder derartige Trojaner auf dem Vormarsch!

Anfang der Woche klingelte mein Telefon und man bat mich um Hilfe, weil jemand an einem Bürorechner versucht hatte, ein Bewerbungsschreiben aus dem Internet herunterzuladen und dieses zu öffnen. Dabei handelte es sich jedoch um einen Verschlüsselungstrojaner.

Das Resultat dieser Aktion ist, dass die Schadsoftware so ziemlich alle wichtigen Dateien, die auf dem PC gespeichert waren, verschlüsselt hat. Die Dateien lassen sich nicht mehr öffnen und da das Trojanische Pferd mit einem Verschlüsselungsalgorithmus arbeitet, welcher als sehr sicher gilt, ist auch nicht davon auszugehen, dass man jemals wieder an die Daten rankommt.

Erpressung mittels Verschlüsselung

Das Ziel der Leute, die hinter diesem Trojaner stecken, ist es Geld zu erpressen. So wird man als Geschädigter vom eigenen PC darüber informiert, dass man den Kriminellen für eine recht hohe Summe (meist mehrere Tausend Euro) eine Software abkaufen kann, die die Daten nachfolgend wieder entschlüsselt.
Man sollte sich nicht auf diesen Handel einlassen, denn es kann natürlich sein, dass man das versprochene Entschlüsselungsprogramm nach der Zahlung gar nicht erhält. Im schlimmsten Fall kommen mehrfache Nachforderungen für weitere Zahlungen und am Ende hat man nicht nur keine Daten, sondern auch kein Geld mehr.

Horrorszenario eingetreten

In dem oben geschilderten Fall sieht es übrigens wirklich übel aus. Auf dem infizierten PC lagen alle wichtigen Unterlagen des Gastronomiebetriebes (auch die Buchhaltungsdaten). Als Backuplösung war ein RAID-System sowie ein Netzlaufwerk vorgesehen. Beides nützt nun nichts mehr. Das RAID-System schützt vor einem Festplattenausfall, aber nicht vor Schadsoftware. Und da das Netzlaufwerk in Windows eingebunden war, hat der Trojaner auch alle dort liegenden Daten verschlüsselt.
Die Virensoftware (in diesem Fall McAfee) war auf dem aktuellen Stand, hat den Trojaner aber nicht erkannt. Ein Upload des Schadprogrammes bei VirusTotal zeigte, dass McAfee damit aber keine Ausnahme darstellte. In dieser Form scheint der Virus noch weitestgehend unbekannt gewesen zu sein.

Auf den Angriff reingefallen ist man im vorliegenden Fall nur, weil da eine wirklich "gut" gemachte E-Mail ankam. Diese wurde von einer seriös klingenden E-Mail-Adresse von einem deutschen Provider verschickt. Es handelte sich um einen Bewerbungstext für eine Stellenanzeige, die es auch wirklich gibt. Die E-Mail war in korrektem Deutsch verfasst und genau auf den Adressaten zugeschnitten. Das einzig Merkwürdige war, dass der Lebenslauf nicht als Anhang mit der Mail kam (vermutlich um dem Virenscanner des Providers zu entgehen), sondern dass auf einen Dropbox-Link zum Download verwiesen wurde.
Der Mitarbeiter, der die Mail bekommen hat (ein Koch), hat sich dabei nichts gedacht und die Datei heruntergeladen. Diese trug den Namen Bewerbung.pdf.exe. Bei Vielen schrillen bei so einem Dateinamen sicher gleich die Alarmglocken, doch Anwendern, die sonst nicht viel mit Computern zu tun haben, kann man keinen Vorwurf machen, wenn sie sich nicht mit Dateiendungen auskennen.

Vorsichtig sein und andere warnen!

In den letzten Tagen erreichten mich immer mehr Meldungen von weiteren Betroffenen. Ich habe auch von noch mehr Fällen gehört, bei denen die E-Mails genau auf die Empfänger zugeschnitten waren. Es scheint also gerade eine größere Angriffswelle zu geben und diese scheint gut geplant zu sein.

Deswegen möchte ich zu besonderer Vorsicht aufrufen.

Hier ein paar grundlegende Verhaltensregeln:
  • Öffnet keine E-Mail-Anhänge, die euch merkwürdig vorkommen oder die ihr nicht erwartet.
  • Öffnet auch keine E-Mail-Anhänge von euch bekannten Personen, wenn in den Nachrichten nicht explizit auf die Anhänge verwiesen wird. (Einige Trojaner sind in der Lage die Anhänge von ausgehenden E-Mails zu manipulieren.)
  • Klickt keine dubiosen Links an, die ihr in E-Mails findet. Prüft bei allen Links genau, ob sie wirklich auf die Seite verlinken, die im Text angegeben ist. (Es sind auch viele Phishing-Mails unterwegs.)
  • Seid skeptisch, wenn unerwartet Rechnungen, Bewerbungen oder Schreiben von Anwälten per E-Mail ankommen. (Oft werden auch E-Mails von großen deutschen Telekommunikationsunternehmen gefälscht. Diese sind sowohl vom Design als auch vom Text her kaum von den Originalen zu unterscheiden.)
  • Falls seltsam anmutende Mails bei euch ankommen, fragt bei den Absendern nach bzw. informiert sie darüber, dass ihr Rechner eventuell automatisch Mails versendet.
  • Falls ihr ohne vorherige Rücksprache Dateien mit den Endungen *.exe oder *.msi bekommt, solltet ihr diese nicht öffnen. Vorsicht ist auch bei *.zip- und *.rar-Archiven geboten.
  • Haltet eure Antiviren-Software aktuell.
  • Erstellt regelmäßige Backups eurer Daten und trennt die dazu verwendeten Speichermedien dann wieder vom PC.
  • Auch beim Umgang mit Smartphones und Tablets sollte man vorsichtig sein. Schließt die Geräte nur an den USB-Port des PCs an, wenn es unbedingt sein muss. Nutzt zum Akkuladen lieber das Netzteil. Viele Viren befallen erst mobile Endgeräte und werden dann über eine aktive USB-Verbindung auf den PC übertragen. Installiert daher auch nur Apps, die vertrauenswürdig sind.
  • Falls ihr feststellt, dass mit eurem PC etwas nicht stimmt oder ihr merkt. dass ihr euch tatsächlich einen Verschlüsselungstrojaner eingefangen habt, trennt den Rechner SOFORT vom Netzwerk und von allen externen Speichermedien. Fahrt den PC schnellstmöglich herunter. (Im Zweifelsfall kann es auch sinnvoll sein, einfach mal den Stecker zu ziehen. Eventuell verhindert man damit, dass der Trojaner noch weitere Dateien verschlüsselt.) Fragt dann einen Fachmann, was zu tun ist.


Ich weiß, dass unter meinen Lesern viele Netzwerkadministratoren, Software-Entwickler und sonstige Informatiker sind. Um euch mache ich mir keine Sorgen, aber um alle anderen.

Wissen ist das beste Mittel zur Prävention. Also schult eure Anwender. Sensibilisiert sie insbesondere, bezüglich der Gefahren von E-Mail-Anhängen und Links in E-Mails. Und vergesst auch nicht die Leute in eurer Familie und im Freundes- und Bekanntenkreis aufzuklären, die nicht mit Computern groß geworden sind. ;-)

Geschnatter

8 Kommentare, selbst mitschnattern << < Seite 2/2 > >>
MarietaIB, am 31.03.2016 um 11:15 Uhr
Mich hat es gerade auch erwischt. Meine Auszubildende hat die "sich toll anhörende" E-Mail an meine E-Mail weitergeleitet, da sie den Anhang nicht öffnen konnte. Es war ein Bewerber, der gut in unser Unternehmen passen würde. Er hat einen Dropboxlink mitgeschickt und da ich auch sehr viel mit Dropbox arbeite, habe ich mir dabei nichts gedacht und den Link geöffnet. Nach dem Herunterladen kam dann der schwarze Bildschirm. Es geht so schnell, dass man das dann auch so schnell nicht realisieren kann.
Der Anhang war bezeichnet mit Bewerbungsunterlagen.PDF.exe. Die blöde .exe hab ich übersehen! :-(
Danach kam ein schwarzer Bildschirm mit der Aufforderung, dass das Betriebssystem installiert werden muss. Jetzt hab ich den Salat.