Crypto Trojaner

Aus gegebenem Anlass (nein, mich hat es nicht erwischt) muss ich hier mal ein paar Worte zu den aktuell kursierenden Cryptotrojanern loswerden, denn die Gefahr ist definitiv nicht gering. Das beweist auch diese Mail, die ich heute bekommen habe:

Worum geht es?

Aktuell sind sog. Cryptotrojaner im Umlauf, die (wenn man sich einen einfängt) Dateien auf dem Computer, sowie auf Netzwerkspeichern verschlüsseln. Die Dateien können anschließend nicht mehr geöffnet werden. Der Trojaner verlangt für die Entschlüsselung dann ein Lösegeld, das i.d.R zwischen 500,- und 1000,- EUR beträgt. Deshalb werden sie auch Erpressungstrojaner genannt. Beim Verschlüsseln wird auch vor Dateien kein Halt gemacht, die sich im Netzwerk bzw. auf sog. NAS Laufwerken befinden, auch wenn diese Laufwerke im Moment gar nicht eingebunden sind. Die reine Verfügbarkeit genügt. Das Verfahren der Verschlüsselung und die Schlüssel sind so konzipiert, dass ein Entschlüsseln ohne den passenden Schlüssel quasi unmöglich ist.

Wie gefährlich ist das?

Geh davon aus, dass alle Dateien, die sich in Deinem Zugriff befinden nicht mehr verwendet werden können, also Dokumente, Bilder, Videos, Musik usw. Aktuell (Stand 19.02.2016) werden pro Stunde 5000 Neuinfektionen registriert. Dazu kommt, dass der Trojaner inzwischen auch Cloudspeicher befällt, also Dateien z.B. in Dropbox oder OneDrive verschlüsselt. Der Vorgang der Verschlüsselung ist kaum bemerkbar und geschieht sehr schnell. Eine Infektion ist quasi ein Supergau. Es sind übrigens bei weitem nicht nur Privatrechner betroffen, in Neuss hat der Trojaner ein gesamtes Krankenhaus lahm gelegt, ebenfalls in den USA. Die Angriffe sind nicht gezielt, der Trojaner wird gestreut und arbeitet wahllos.

Wie verbreitet sich der Trojaner?

Der häufigste Verbreitungsweg ist per Mail als Dateianhang. Aktuell sind es angebliche Rechnungen. Es können aber auch ganz andere Inhalte sein. Insbesondere ZIP Dateien und Office Dokumente sind momentan im Umlauf. Meist sieht man der Mail nicht an, dass es sich um einen Trojaner handelt, denn die Mails werden teilweise von gekaperten Rechnern versendet. Du bekommst die Mail also anscheinend von jemandem den Du kennst und der Dir schon mehrfach (gewünschte) Mails geschickt hat. Daneben verbreitet sich der Trojaner auch über Sicherheitslücken im Browser oder in Plugins, wie z.B. Flash.

Was kann ich dagegen tun?

Öffne keine Mailanhänge, von denen Du nicht absolut sicher bist, dass Du diese wirklich bekommen sollten. Das betrifft insbesondere Mails von unbekannten Absendern, aber auch von Bekannten. Frag ggf. telefonisch nach, was der Anhang soll und ob der wirklich vom Absender stammt. Öffne Mailanhänge erst zwei oder drei Tage nach dem Empfang (wieso erkläre ich im nächsten Teil). Halte Dein Betriebssystem aktuell, ganz besonders den verwendeten Internetbrowser. Deaktiviere unnötige Plugins. Ich empfehle inzwischen sogar das Adobe Flash Plugin komplett zu deinstallieren, es wird kaum noch benötigt. Außerdem solltest Du eine Datensicherung machen, die nicht im Netzwerk liegt, z.B. auf eine externe Festplatte, die Du im Schrank verwahrst. Hier hat selbst der beste Trojaner keinen Zugriff.

Was ist mit Antivirensoftware?

Diese ist leider in den meisten Fällen nutzlos, denn sie kann nur das finden, was sie kennt. Die Trojaner verbreiten sich rasend schnell und werden meist erst Stunden, manchmal Tage nach der Verbreitung zuverlässig erkannt. Wenn die Antivirensoftware angepasst wurde, ist meist schon eine neue Variante des Trojaners unterwegs, der nicht gefunden wird. Deshalb kann es sinnvoll sein, Mailanhänge erst nach ein paar Tagen zu öffnen, weil dann die Antivirensoftware vermutlich den Schädling findet. Eine Garantie ist das natürlich nicht.

Was kann ich tun, wenn ich den Trojaner habe?

Nicht sehr viel. Die einzige Möglichkeit die Du hast, ist den geforderten Betrag zu bezahlen. Allerdings gibt das keine Garantie, dass Du das Werkzeug zum entschlüsseln wirklich bekommst. Das klappt in einigen Fällen, es sind aber auch Fälle bekannt, wo trotz Zahlung keine Entschlüsselung statt fand. Da die Schlüssel zur Verschlüsselung individuell sind, kannst Du auch kein Entschlüsselungsprogramm eines anderen benutzen. Falls es passiert ist, schau im Internet, ob evt. für diese Variante des Trojaners ein Tool zur Entschlüsselung bekannt ist. Die Entwickler sind manchmal schlampig und einige Versionen können entschlüsselt werden.

Die zweite Variante ist, alle Dateien zu löschen. Du solltest dann auch den Computer komplett neu installieren, also auch das Betriebssystem. Wenn Du dann eine Datensicherung auf einem offline Medium (Festplatte, USB Stick, Bluray) hast, kannst Du die Daten evt. wiederherstellen. Es gibt inzwischen aber Trojaner, die bereist lange im Voraus arbeiten und so ggf. auch schon gesicherte Dateien verschlüsselt haben. Hast Du keine brauchbare Sicherung sind die Daten verloren.

Schließe aber niemals eine Festplatte oder einen USB Stick auf dem sich evt. eine Datensicherung befindet an einen infizierten PC an, denn dies würde auch die Daten auf diesem Speicher verschlüsseln. Wende Dich sich zur Bereinigung bzw. Wiederherstellung an einen Spezialisten, wenn Du unsicher bist (nicht an mich, ich hab euch gewarnt).

siehe auch