Archivierter Artikel vom 05.03.2016, 17:34 Uhr

Erpresser-Software „Locky“ fordert Geld oder Daten

Sie haben harmlos klingende Namen wie Locky, TeslaCrypt oder Trun und können einen PC komplett unbrauchbar machen, indem sie sämtliche Dateien mit einem unknackbaren Code verschlüsseln. Dann fordern sie Lösegeld für die Daten ein.

Lesezeit: 3 Minuten

Die aggressiven Erpressungs-Trojaner verbreiten sich rasant vor allem auf Computern in Deutschland. Der Sicherheitsexperte Kevin Beaumont zählte vor kurzem 5300 Neuinfektionen pro Stunde mit dem Windows-Trojaner „Locky“ durch gefälschte E-Mails. Damit lag die Infektionsrate in Deutschland deutlich vor Ländern die den Niederlanden (2900) und den USA (2700). Nicht einmal Ingenieure sind davor gefeit: Auch das Fraunhofer-Institut in Bayreuth zählt zu den Opfern. Der Virus legte dort mehrere Dutzend PC-Arbeitsplätze lahm, indem er die Daten auf einem zentralen Server verschlüsselte und damit unbrauchbar machte.

Eines der jüngsten Opfer ist die Verwaltung der Kleinstadt Dettelbach. Sie entschied sich – kommunalpolitisch umstritten – zur Zahlung des Lösegeldes für die Daten in Höhe von ungefähr 500 Euro und konnten die Daten anschließend teilweise wiederherstellen. Offenbar kam es aber wegen einer Fehlbedienung zu Problemen. In USA zahlte ein Krankenhaus im Februar umgerechnet 15.000 Euro an die Erpresser und konnte anschließend sein Computersystem wieder in Betrieb nehmen. Auch in Deutschland waren mehrere Krankenhäuser betroffen. Das Klinikum Arnsberg nahm Mitte Februar tagelang nur Notfälle auf, weil das gesamte Klinik-Netzwerk vorsichtshalber abgeschaltet worden war.

Man spricht Deutsch

Konnte man früher solche Mails oft noch an ihrem fehlergespickten Deutsch erkennen, so werden sie inzwischen in korrektem Deutsch geschickt. Die Mails werden mit einem Anhang verschickt und geben sich in der Regel als Rechnungen aus. Dabei hebelt der Trojaner die Sicherheitseinstellungen in Microsoft Outlook aus. Neuere Varianten kommen auch als Javascript-Anhängen in E-Mails. Auch hier waren diese als Rechnungen eines seriösen Unternehmens getarnt. Neueste Schad-Mails geben sich als Fax- oder Scanner-Benachrichtigungen aus. Gipfel der Dreistigkeit sind die Anfang März aufgetauchten Warn-Mails, vorgeblich vom Bundeskriminalamt (BKA) abgesendet: Diese Mails transportieren selbst denAnhang mit der Schadsoftware.

Von dem aggressiven Erpressungs-Trojaner „Locky“ sind nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor allem nicht optimal geschützte Computer betroffen. „Fakt ist, dass Ransomware wie “Locky„ meist keine neuen Schwachstellen ausnutzt“, sagte ein Sprecher der Behörde. Wer seinen Rechner schütze, indem er seine genutzte Software aktuell hält, Sicherheitsupdates einspielt, einen ganz aktuellen Virenschutz nutzt und achtsam mit E-Mails umgeht, sei auf der sicheren Seite. Demgegenüber warnt der angesehene Computerverlag Heise in seinem Onlinedienst, dass durch die sich rasch ändernden Verbreitungsmethoden die Schädlinge auch von Antiviren-Programmen oftmals nicht erkannt werden können.

„Locky“ ist nur auf Microsoft-Windows unterwegs, Macintosh-Rechner mit dem Apple-Betriebssystem OS X sind von dem Schadprogramm ebensowenig betroffen wie Linux-Maschinen.

[Update] Trojaner gab es zwei Tage lang auch für Mac

Unbekannte hatten am 4. März eine funktionsfähige Schadsoftware über infizierte Installationsdateien des BitTorrent-Clients Transmission für Mac OS X verteilt. Apple zog prompt das Sicherheitszertifikat für diese Software zurück, so dass sie nicht mehr versehentlich installiert werden kann.

Zwischen Freitag, 4. März, und Samstag, 5. März, heruntergeladene Versionen von Transmission sollten sicherheitshalber gelöscht werden. Grundsätzlich rät Apple seinen Nutzern, die Sicherheitsfunktionen von OS X so einzustellen, dass nur aus dem Mac App Store und bei verifizierten Entwicklern heruntergeladene Programme installiert werden können. Die Option findet sich in den Einstellungen des Macs im Bereich „Sicherheit“ und ist die Standardeinstellung.

Jeder Dritte zahlt Lösegeld

Rund jedes dritte Opfer von Erpressungssoftware wie der Trojaner Locky hat einer Studie zufolge den Angreifern Lösegeld bezahlt, um wieder Zugriff auf die Daten zu bekommen. Und 36 Prozent würden dies im Fall eines Angriffs trotz gegenteiliger Warnungen tun, ergab eine Umfrage des IT-Sicherheitsdienstleisters Bitdefender. Damit ermutigten und unterstützten die Opfer jedoch die

Entwickler solcher Schadsoftware erst richtig, sagte Catalin Cosoi von Bitdefender. Sicherheitsexperten gehen davon aus, dass Erpressungssoftware in diesem Jahr Konjunktur haben werden.

Bitte ein Bitcoin

Das Lösegeld muss bei den Erpressungstrojanern in der Netz-Währung „Bitcoin“ bezahlt werden. Damit ist es nahezu unmöglich, die Zahlung bis zu den Tätern zu verfolgen. Allein diese Zahlungsmethode ist für Laien schwierig zu erlernen, weswegen die die Verwaltung des Ortes Dettelbach dazu die Hilfe von Spezialisten in Anspruch nehmen musste.

Jochen Magnus