Trojaner verschlüsselt Daten
erschienen in der Kategorie Alltag, am 06.05.2014
Es gibt Trojaner, die einem die Logins klauen, Viren, die heimlich Webcams anschalten und Programme, die dafür sorgen, dass der Rechner nicht mehr hochfährt.
Und es gibt die wirklich fiesen Schadprogramme ...
Ein solches ist zurzeit wiedermal im Umlauf. Es handelt sich um den Trojaner "Bitcrypt2", der einem heimlich alle möglichen Dateien mittels RSA-Verfahren verschlüsselt. Zum Einsatz kommt dabei ein 2048-bit-langer Schlüssel - von der Idee, die Daten mittels Brute-Force wieder zu bekommen, kann man sich also ziemlich schnell verabschieden.
Wer sich den Griechen einfängt, findet eine Datei namens "DECRYPT_INSTRUCTION.TXT" dort, wo auch die verschlüsselten Daten liegen. Die Datei enthält den folgenden Text:
Am Ende folgen dann noch Links, die einen via Tor-Netzwerk auf eine Webseite führen, auf der man sich den geheimen Schlüssel zur Entschlüsselung seiner Daten kaufen kann. Als Währung kommen dabei Bitcoins zum Einsatz - unbedarften Nutzern wird auch gleich dabei geholfen, echtes Geld in Digitales umzuwandeln. Sogar ein FAQ haben die Schurken bereitgestellt:
Übrigens geben einem die Abzock-Hacker (Cooler Begriff oder? Klingt wie aus der BILD-Zeitung. :D) auch nur einen begrenzten Zeitrahmen für den Kauf des Schlüssels und der Entschlüsselungssoftware. Lässt man diesen verstreichen, wird der Key angeblich gelöscht und die Daten sind vollends verloren. Als kleine Motivation das Geld schnell auf den Tisch zu legen, dient noch der Fakt, dass sich der Preis, den man für den Schlüssel bezahlen soll, immer mal wieder verdoppelt. Psychologische Kriegsführung vom Feinsten.
Unterm Strich ist das eine echt garstige Masche. Für Windows-Nutzer lohnt es sich in diesen Tagen mal wieder, ein Anti-Viren-Programm zu benutzen und dieses auch aktuell zu halten. Außerdem zeigt dieses Trojanische Pferd, wie sinnvoll es sein kann, Backups zu machen - ein Festplattenschaden ist eben nicht das einzige Risiko für wichtige Daten.
Wer bereits betroffen ist, sollte seinen Computer am besten erst einmal abschalten, bevor dieser noch weitere Daten verschlüsselt. Gefährdet sind übrigens auch Dateien auf Netzwerkfreigaben. Von den bereits verschlüsselten Daten kann man sich getrost verabschieden. Von einer Zahlung an die Kriminellen würde ich eher absehen, da man auch keine Gewissheit hat, den Schlüssel jemals zu bekommen.
Zum Schluss die übliche Stichelei: Mit Linux wär das nicht passiert.
Und es gibt die wirklich fiesen Schadprogramme ...
Ein solches ist zurzeit wiedermal im Umlauf. Es handelt sich um den Trojaner "Bitcrypt2", der einem heimlich alle möglichen Dateien mittels RSA-Verfahren verschlüsselt. Zum Einsatz kommt dabei ein 2048-bit-langer Schlüssel - von der Idee, die Daten mittels Brute-Force wieder zu bekommen, kann man sich also ziemlich schnell verabschieden.
Wer sich den Griechen einfängt, findet eine Datei namens "DECRYPT_INSTRUCTION.TXT" dort, wo auch die verschlüsselten Daten liegen. Die Datei enthält den folgenden Text:
Was ist mit Ihren Daten passiert?
All Ihre Daten wurden mit der starken Verschlüsselung RSA-2048 mit Hilfe des Programms CryptoWall geschützt. Genaueres über das Chiffrieren mit Hilfe der RSA-2048 Schlüssel können Sie hier erfahren: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Was bedeutet das?
Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiderruflich geändert wurden,
Sie können Sie nicht mehr benutzen, sie lesen oder öffnen, das ist dasselbe, wie wenn sie verloren wären, aber mit unserer Hilfe können Sie sie wiederherstellen.
Wie ist das passiert?
Speziell für Sie wurde auf unserem geheimen Server ein RSA-2048 Schlüsselpaar generiert - ein öffentlich und ein privater. All Ihre Dateien wurden mit Hilfe des öffentlichen Schlüssels chiffriert, der an Ihr Computer per Internet übergeben wurde.
Das Dechiffrieren Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und eines speziellen Programms möglich, die sich auf unserem Server befinden.
Was soll ich tun?
Tut uns leid, aber wenn Sie innerhalb der angegebenen Zeit nichts unternehmen, werden sich die Bedingungen zum Erhalten des privaten Schlüssels und des speziellen Programms ändern.
Wenn Ihnen Ihre Daten viel bedeuten, dann raten wir Ihnen, Ihre Zeit nicht mit der Suche nach anderen Lösungen zu verschwenden, denn solche gibt es einfach nicht.
All Ihre Daten wurden mit der starken Verschlüsselung RSA-2048 mit Hilfe des Programms CryptoWall geschützt. Genaueres über das Chiffrieren mit Hilfe der RSA-2048 Schlüssel können Sie hier erfahren: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Was bedeutet das?
Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiderruflich geändert wurden,
Sie können Sie nicht mehr benutzen, sie lesen oder öffnen, das ist dasselbe, wie wenn sie verloren wären, aber mit unserer Hilfe können Sie sie wiederherstellen.
Wie ist das passiert?
Speziell für Sie wurde auf unserem geheimen Server ein RSA-2048 Schlüsselpaar generiert - ein öffentlich und ein privater. All Ihre Dateien wurden mit Hilfe des öffentlichen Schlüssels chiffriert, der an Ihr Computer per Internet übergeben wurde.
Das Dechiffrieren Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und eines speziellen Programms möglich, die sich auf unserem Server befinden.
Was soll ich tun?
Tut uns leid, aber wenn Sie innerhalb der angegebenen Zeit nichts unternehmen, werden sich die Bedingungen zum Erhalten des privaten Schlüssels und des speziellen Programms ändern.
Wenn Ihnen Ihre Daten viel bedeuten, dann raten wir Ihnen, Ihre Zeit nicht mit der Suche nach anderen Lösungen zu verschwenden, denn solche gibt es einfach nicht.
Am Ende folgen dann noch Links, die einen via Tor-Netzwerk auf eine Webseite führen, auf der man sich den geheimen Schlüssel zur Entschlüsselung seiner Daten kaufen kann. Als Währung kommen dabei Bitcoins zum Einsatz - unbedarften Nutzern wird auch gleich dabei geholfen, echtes Geld in Digitales umzuwandeln. Sogar ein FAQ haben die Schurken bereitgestellt:
Unterm Strich ist das eine echt garstige Masche. Für Windows-Nutzer lohnt es sich in diesen Tagen mal wieder, ein Anti-Viren-Programm zu benutzen und dieses auch aktuell zu halten. Außerdem zeigt dieses Trojanische Pferd, wie sinnvoll es sein kann, Backups zu machen - ein Festplattenschaden ist eben nicht das einzige Risiko für wichtige Daten.
Wer bereits betroffen ist, sollte seinen Computer am besten erst einmal abschalten, bevor dieser noch weitere Daten verschlüsselt. Gefährdet sind übrigens auch Dateien auf Netzwerkfreigaben. Von den bereits verschlüsselten Daten kann man sich getrost verabschieden. Von einer Zahlung an die Kriminellen würde ich eher absehen, da man auch keine Gewissheit hat, den Schlüssel jemals zu bekommen.
Zum Schluss die übliche Stichelei: Mit Linux wär das nicht passiert.
Geschnatter
9 Kommentare, selbst mitschnattern
Martin, am 30.06.2014 um 19:02 Uhr
Das Ding ist übrigens immer noch in Umlauf!
hermine, am 23.03.2016 um 05:00 Uhr
Und warum gibt man denen freien Lauf das sie reich werden durch geklaute Daten.Die sollte man in die Wüste schicken und dort vergammeln lassen .Wenn einer klaut egal woher sollte man den bestrafen so richtig .
Es gelten die Regelungen der Datenschutzerklärung.