Neuer Lösegeld-Trojaner verschlüsselt Daten und fordert Bitcoin-Zahlung
Unbekannte Täter haben einen neuen Lösegeld-Trojaner in Umlauf gebracht. Das Schadprogramm verschlüsselt Daten auf Computern und fordert die Besitzer dann dazu auf, Lösegeld in Form von Bitcoins zu bezahlen. Das Besondere daran: Die Verschlüsselung des Trojaners namens Bitcrypt2 ist praktisch nicht zu knacken.
Bitcrypt2 ist vom Prinzip her ein klassischer Lösegeld-Trojaner. Das kleine Schadprogramm wird auf den Computer eines arglosen Internetnutzers geschleust und beginnt dann, die Dateien auf der Festplatte zu verschlüsseln. „Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet“, berichtet das Portal heise.de. In der Textdatei wird dann in gutem Deutsch erklärt, dass die Daten mithilfe der starken Verschglüsselung RSA-2048 chiffriert worden seien. „Das Dechiffrieren Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und eines speziellen Programms möglich, die sich auf unserem geheimen Server befinden“, heißt es weiter.
Um das Entschlüsselungsprogramm Cryptowall Decrypter zu bekommen, soll der betroffene Nutzer 500 US-Dollar oder Euro bezahlen, und zwar über das Anonymisierungsnetzwerk TOR und die anonyme Internetwährung Bitcoin. Werde dieses Lösegeld nicht binnen einer Woche bezahlt, erhöhe sich die geforderte Summe auf 1000 US-Dollar oder Euro, so die Erpresser in ihrem Schreiben weiter. Nach vier Woche ohne Bezahlung werde der private Schlüssel gelöscht, die Dateien seien dann nicht mehr herstellbar. Zum Beweis ihrer „Glaubwürdigkeit“ bieten die Kriminellen sogar an, testweise eine der verschlüsselten Dateien („nicht größer als 512 KIlobyte“) kostenlos zu dechiffrieren – eine für Lösegeld-Trojaner (Fachbegriff „Ransomware“) bisher nicht bekannte Vorgehensweise.
Bitcrypt2 ist besonders fatal in Firmennetzwerken
Besonders fatal kann sich der Lösegeld-Trojaner in Firmennetzwerken auswirken. „Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln“, so heise.de weiter.
Wer hinter Bitcrypt2 steckt, ist bislang unklar. Vieles deutet aber auf sehr professionell agierende Täter hin, die es verstehen, ihre Spuren zu verwischen. Fraglich ist, ob betroffene Internetnutzer ihre Daten tatsächlich entschlüsselt bekommen, wenn sie das geforderte Lösegeld bezahlen. Das Bundesamt für Sicherheit in der Informationstechnik rät im Fall von Erpresser-Software jedenfalls grundsätzlich von einer Bezahlung ab.
Wie sich Bitcrypt2 verbreitet, ist momentan ebenfalls noch unklar. Häufig sind Lösegeld-Trojaner zum Beispiel im Anhang von E-Mails zu finden, wo sie sich zum Beispiel als Rechnung, Mahnung oder Infoschreiben im zip-Format tarnen. Auch im Graubereich des Internet, etwa auf Streaming- oder kostenlosen Pornoseiten, wird Ransomware verbreitet. Hier tarnen sich die Trojaner zum Beispiel als angeblich notwendiges Video-Plugin.
Wer sich vor Lösegeldtrojanern und Erpressungssoftware wie Bitcrypt2 oder dem sogenannten BKA-Trojaner schützen will, sollte seinen Computer stets auf den neuesten Stand bringen, alle Windows-Sicherheitsupdates laden, den Flashplayer regelmäßig aktualisieren und selbstverständlich auch einen täglich aktualisierten Virenschutz in Betrieb haben. Auch veraltete Browser begünstigen eine Infektion mit Schädlingen im Netz.
Daten von Trojaner verschlüsselt: Was tun?
Wer sich einen Lösegeld-Trojaner eingefangen hat, kann versuchen, seinen Computer mit einem der gängigen, kostenlosen Reinigungsprogramme zu befreien. Sollte das keinen Erfolg bringen, hilft nur eins: das – hoffentlich vorhandene – Backup einzuspielen. Eine regelmäßige Datensicherung ist für jeden Computerbesitzer Pflicht.