{"id":3715,"date":"2016-03-24T22:00:13","date_gmt":"2016-03-24T21:00:13","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=3715"},"modified":"2016-03-24T22:23:27","modified_gmt":"2016-03-24T21:23:27","slug":"persoenliche-daten-als-geiseln-die-welle-der-erpressungstrojaner-ursachen-und-schutzmassnahmen","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/persoenliche-daten-als-geiseln-die-welle-der-erpressungstrojaner-ursachen-und-schutzmassnahmen\/","title":{"rendered":"Pers\u00f6nliche Daten als Geiseln: Die Welle der Erpressungstrojaner – Ursachen und Schutzma\u00dfnahmen"},"content":{"rendered":"

2016 ist das Jahr der Erpressungstrojaner, auch Cryptotrojaner<\/em> oder im Fachjargon\u00a0Ransoftware<\/em> genannt\u00a0: Bereits im Februar \u00fcberschreitet deren Anzahl die Werte des Vorjahres bei weitem. Der bekanntestes Sch\u00e4dling hei\u00dft\u00a0Locky<\/em>. <\/em>Laut Aussagen eines Sicherheitsforschers dem es gelang den Sch\u00e4dling anzuzapfen, soll er zu seinem H\u00f6hepunkt bis zu 5.000 neue Computer infiziert haben – pro Stunde. Laut Experten werden alleine in Deutschland bis zu 17.000 neue Computer von dem Sch\u00e4dling befallen. Bei einer derartigen Masse kaum \u00fcberraschend, dass nicht nur Privatpersonen betroffen sind: Neben dem Frauenhofer Institut\u00a0wurden auch mehrere Krankenh\u00e4user in Deutschland von ihren Daten ausgesperrt.\u00a0Eine Stadtverwaltung in Bayern zahlte sogar das L\u00f6segeld in H\u00f6he von knapp 500 Euro, da sie keine Datensicherungen hatte und somit auf\u00a0die Erpresser angewiesen war.<\/p>\n

Was sind Crypto\/Erpressungstrojaner?<\/strong><\/h3>\n

Es handelt sich um Schadsoftware, die Daten auf dem Computer des Opfers mit einem geheimen Passwort verschl\u00fcsselt.\u00a0Die T\u00e4ter geben den Schl\u00fcssel erst nach Zahlung eines bestimmten L\u00f6segeldes heraus.\u00a0Die genaue H\u00f6he h\u00e4ngt vom jeweiligen Trojaner ab. Meist bel\u00e4uft sich das L\u00f6segeld aber zwischen 100 und 500 Euro. Das Prinzip ist keineswegs neu: Bereits 1989 wurde Schadsoftware verteilt, der Nutzerdaten verschl\u00fcsselt und ein L\u00f6segeld von umgerechnet etwa 170 Euro forderte. Einziger Unterschied: Damals fand die Verteilung \u00fcber Disketten statt, und das L\u00f6segeld musste an ein Postschlie\u00dffach in Panama geschickt werden.<\/p>\n

Wurde der Computer mit dem verbreiteten Locky-Trojaner infiziert, erh\u00e4lt der Nutzer folgende Meldung:<\/p>\n

\"\"<\/p>\n

Patya verschl\u00fcsselt den gesamten<\/em> PC<\/strong><\/h3>\n

Die meisten Erpressungstrojaner verschl\u00fcsseln bestimmte Arten von Dateien wie Bilder, Musik Word-Dokumente, Excel-Dateien und \u00e4hnliches – Also Dateien, die mit gro\u00dfer Wahrscheinlichkeit einen gro\u00dfen (pers\u00f6nlichen) Wert f\u00fcr das Opfer haben.\u00a0Seit Neuestem ist mit\u00a0Petya<\/em> aber auch ein neuer Sch\u00e4dling in Umlauf, der den MBR (Master-Boot-Record) und offensichtlich auch die gesamte Festplatte verschl\u00fcsselt. Dadurch sind nicht nur die Daten unbrauchbar, sondern alle installierten Betriebssysteme – Der Computer ist komplett unbrauchbar. Statt des Betriebssystemes wird eine Art Mini-System des Trojaners gestartet. Dieses gibt den PC erst nach Freigabe des Schl\u00fcssels ein, den man nach Zahlung des L\u00f6segeldes erhalten soll:<\/p>\n

\"\"<\/p>\n

Warum kommt die Crypto-Welle gerade jetzt?<\/strong><\/h3>\n

Sehr wahrscheinlich aufgrund der hohen Lukratitiv\u00e4t dieses Gesch\u00e4ftes: Viele Nutzer sichern ihre Daten nur unzureichend oder gar nicht, und lassen sich daher Erpressen. Dies belegt eine iSense-Studie vom November 2015, in der weltweit insgesamt \u00fcber 3.000 Personen befragt wurden. Von jenen die bereits Opfer eines solchen Angriffes waren gaben 50 Prozent an, die geforderte Summe bezahlt zu haben. 40 Prozent der befragten w\u00e4ren bereit, im Falle einer Infektion zu zahlen. In Deutschland sind es mit 36 Prozent kaum weniger.<\/p>\n

Eine Erfolgsquote von 50% ist f\u00fcr Kriminelle ein Traum –\u00a0fallen auf\u00a0traditionelle Betrugsmethoden wie Phishing nur ein Bruchteil der Opfer herein. So verwundert es nicht, dass der Locky-Sch\u00e4dling laut BSI von einer bislang auf Banking-Trojaner spezialisierten Bande stammen soll. Mittlerweile ben\u00f6tigen potenzielle Erpresser auch kein gro\u00dfes Fachwissen mehr, um die PCs von Opfern zu verschl\u00fcsseln: Findige Programmierer haben das Potenzial erkennt und bieten neben fertigen Trojanern sogar die Bereitstellung der gesamten Infrastruktur an, die daf\u00fcr n\u00f6tig ist. Als Gegenleistung wird ein Anteil am erwirtschafteten Gewinn verlangt.\u00a0\u00a0Derartige Trojaner-Baus\u00e4tze sind ab rund 500 Euro auf dem Schwarzmarkt erh\u00e4ltlich.<\/p>\n

Ob die Infektionen tats\u00e4chlich erst zusammen mit Bekanntwerden ab Februar 2016 stattfanden, ist ungewiss. Ein Sch\u00e4dling kann sich Monate und sogar Jahre lang auf einem Computer verstecken, ohne dass der Nutzer etwas davon merkt. Aktiv wird er erst \u00fcber einen Befehl aus der Ferne seines Inhabers. Es ist daher M\u00f6glich, dass zumindest ein Teil der Infektionen nicht erst im Februar stattfand, sondern bereits zuvor.<\/p>\n

Wie werden die Sch\u00e4dlinge verbreitet?\u00a0<\/strong><\/h3>\n

Meist als Anhang in einer E-Mail, der infiziert ist.\u00a0Wie genau h\u00e4ngt vom jeweiligen Sch\u00e4dling ab und variiert selbst dort mit der Zeit, da auch Trojaner sich weiterentwickeln. Der verbreitete Locky-Trojaner wurde anfangs haupts\u00e4chlich \u00fcber Microsoft Office-Dokumente (Word\/Excel) verbreitet, die mit schadhaftem Makro-Code verseucht waren. Diese wurden Meist an angebliche Rechnungs-Mails angeh\u00e4ngt – beispielsweise als JavaScript-Datei im Namen eines gro\u00dfen Fleischwarenherstellers. Bekannt sind auch Varianten, in denen eine E-Mail verschickt wurde, die angeblich von einem Scanner stammt und das gescannte Dokument im Anhang enthalten soll. An sich also nichts neues, \u00fcber Anh\u00e4nge werden Viren & co. schon seit Jahrzehnten verbreitet. Ansonsten wird Locky auch \u00fcber gekaperte Internetseiten oder Werbung ausgeliefert. Daf\u00fcr ist eine Sicherheitsl\u00fccke n\u00f6tig, meist in Plugins wie Flash oder Java. Auch das ist seit l\u00e4ngerem eine g\u00e4ngige Methode, um Schadsoftware zu verbreiten.<\/p>\n

Bei Patya dagegen werden keine Anh\u00e4nge verschickt: Er nutzt den\u00a0US-Amerikanischen Cloudspeicherdienst Dropbox. An die potenziellen Opfer werden E-Mails\u00a0verschickt, die angeblich von einem Bewerber stammen. Die vermeintlichen Bewerbungsunterlagen werden nicht wie \u00fcblich als Anhang mitgesendet. Stattdessen wird auf einen Dropbox-Link verwiesen, weil die Daten zu gro\u00df f\u00fcr die Mail w\u00e4ren. Der Sch\u00e4dling steckt in der Datei\u00a0Bewerbungsmappe-gepackt.exe<\/em>, die sich als selbstextrahierendes Archiv ausgibt. Dazu missbrauchen die T\u00e4ter das Symbol bekannter Packprogramme. Wird sie ge\u00f6ffnet, bekommt der Nutzer statt eines Lebenslaufes jedoch einen Totenkopf zu sehen – zusammen mit obiger Nachricht, dass seine Daten verschl\u00fcsselt wurden.<\/p>\n

Was kann ich als Betroffener tun?\u00a0<\/strong><\/h3>\n

In den meisten F\u00e4llen leider recht wenig: Viele Sch\u00e4dlinge nutzen sichere Verfahren, die aktuell erst\u00a0nach Jahrzehnten oder Jahrhunderten geknackt werden k\u00f6nnten. Die einzige Chance um wieder Zugriff auf seine Daten zu erhalten besteht in der Bezahlung des Schutzgeldes. Dazu r\u00e4t auch das amerikanische FBI. Moralisch kann man dies nat\u00fcrlich fragw\u00fcrdig finden, da man so die Kriminellen auch unterst\u00fctzt – Denn die Masche ist schlie\u00dflich nur so erfolgreich, weil viele Opfer bezahlen.<\/p>\n

Auch wenn man sich daf\u00fcr entscheidet das L\u00f6segeld zu bezahlen, ist dies noch l\u00e4ngst keine Garantie, wieder Zugriff auf seine Daten zu erhalten: In manchen F\u00e4llen erh\u00e4lt man tats\u00e4chlich einen Schl\u00fcssel, in anderen aber auch nicht – schlie\u00dflich macht man Gesch\u00e4fte mit Kriminellen, die sich nicht zwingend an ihr Wort halten m\u00fcssen. Mit etwas Pech sind also nicht nur die Daten weg, sondern auch das Geld.<\/p>\n

Wie sch\u00fctze ich mich vor solchen Trojanern?<\/strong><\/h3>\n

Es gibt nur einen 100 Prozentigen Schutz: Alle wichtigen Daten regelm\u00e4\u00dfig sichern und auf externen Speichermedien wie USB-Sticks oder Festplatten aufbewahren. Wichtig ist, das Backuplaufwerk nie st\u00e4ndig mit dem PC zu verbinden – es sollte nur f\u00fcr die Datensicherung angeschlossen und anschlie\u00dfend wieder getrennt werden. Viele Cryptotrojaner verschl\u00fcsseln n\u00e4mlich nicht nur eingebaute Festplatten, sondern\u00a0alle<\/strong> Laufwerke die sie finden k\u00f6nnen. Netzlaufwerke sind damit eben so gef\u00e4hrdet wie theoretisch auch Cloudspeicher. Wobei letztere durch die in der Regel vorhandene Versionierung reparabel sein d\u00fcrften.<\/p>\n

Mit dieser Absicherung sind selbst bei einer Infektion die Daten nicht verloren.\u00a0Es empfiehlt sich aber trotzdem, durch Schutzma\u00dfnahmen und umsichtiges Verhalten eine Infektion m\u00f6glichst gleich zu vermeiden – alleine schon wegen der Arbeit einer Neuinstallation, die nach einer Infektion n\u00f6tig ist. Da die Verbreitungswege nicht wirklich neu sind lautet nach wie vor die wichtigste Grundregel: Keine ausf\u00fchrbaren Exe-Dateien aus fremden Quellen \u00f6ffnen – Erst Recht nicht, wenn man keine entsprechenden Daten erwartet.<\/p>\n

Fazit<\/strong><\/h3>\n

Die grunds\u00e4tzlichen Verbreitungswege der aktuell in Umlauf befindlichen Cryptotrojaner sind nicht neu. \u00dcber verseuchte E-Mail Anh\u00e4nge wird seit Jahrzehnten versucht, Anwender mit Schadsoftware zu infizieren. Lediglich\u00a0Patya geht mit Dropbox einen leicht abgewandelten Weg. Nutzer sollten daher verst\u00e4rkt darauf achten, keine ausf\u00fchrbaren Dateien aus unsicheren Quellen zu \u00f6ffnen sowie alle Programme aktuell zu halten\u00a0– vor allem Browser-Plugins, die zus\u00e4tzlich am besten noch auf Click-to-Play umgestellt werden.<\/a>\u00a0Und fast noch wichtiger: Von wichtigen Daten unbedingt Sicherungskopien anlegen! Nur so kann man sie vor Verlust sch\u00fctzen. Denn wie bei einer klassischen Personenentf\u00fchrung auch ist die Bezahlung des L\u00f6segeldes l\u00e4ngst keine Garantie, die Person bzw. Daten anschlie\u00dfend wieder zu sehen. In k\u00fcrze werden wir euch in einem detaillierten Artikel zeigen, wie ihr einfach und Sicher eine Datensicherung anlegen k\u00f6nnt.<\/p>\n","protected":false},"excerpt":{"rendered":"

2016 ist das Jahr der Erpressungstrojaner, auch Cryptotrojaner oder im Fachjargon\u00a0Ransoftware genannt\u00a0: Bereits im Februar \u00fcberschreitet deren Anzahl die Werte des Vorjahres bei weitem. Der bekanntestes Sch\u00e4dling hei\u00dft\u00a0Locky. Laut Aussagen eines Sicherheitsforschers dem es gelang den Sch\u00e4dling anzuzapfen, soll er zu seinem H\u00f6hepunkt bis zu 5.000 neue Computer infiziert haben – pro Stunde. Laut Experten …<\/p>\n","protected":false},"author":5,"featured_media":3716,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5],"tags":[69,436,434,435,433,437,438],"class_list":["post-3715","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-news","category-news","tag-backups","tag-cryptotrojaner","tag-erpressung","tag-erpressungstrojaner","tag-locky","tag-ransoftware","tag-verschluesselung"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=3715"}],"version-history":[{"count":25,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3715\/revisions"}],"predecessor-version":[{"id":3741,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/3715\/revisions\/3741"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/3716"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=3715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=3715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=3715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}