21.04.2016 | Erpressungs-Trojaner weiter auf dem Vormarsch
Die Verbreitung der unter den Namen „Teslacrypt“, „Locky“ und „Petya“ bekannt gewordenen Verschlüsselungs-Trojanern steigt weiterhin an. Alleine im Februar wurden innerhalb von 24 Stunden 17.000 PCs mit dem Erpressungs-Trojaner „Locky“ infiziert.
Nachdem sich der Trojaner auf dem System eingenistet hat, beginnt er im Hintergrund mit der Verschlüsselung sämtlicher Dokumente. Dabei macht er auch vor Netzwerkfreigaben und externen Datenträgern nicht halt. Sollten auf der zu dem Zeitpunkt angeschlossenen externen Festplatte Backups auffindbar sein, werden auch diese verschlüsselt.
Um die Daten wieder zu entschlüsseln fordern die Erpresser eine Bezahlung mit dem anonymen Zahlungsmittel „Bitcoin“ in Höhe von umgerechnet 200-500€. Bei Bezahlung des Lösegeldes gibt es keine Garantie dafür, dass die Daten auch wieder freigegeben werden. So gab es in der Vergangenheit bereits Fälle, in denen die Lösegeldforderung nach der Zahlung nochmals verdoppelt wurde. Gelegentlich werden jedoch auch Wege gefunden, um die von den Kriminellen eingesetzte Verschlüsselung zu brechen. So können Daten, die mit bestimmten Versionen von „Petya“ und „Teslacrypt“ verschlüsselt wurden, kostenlos entschlüsselt werden.
Die Infektion erfolgt über verschiedene Wege. Der derzeit am häufigsten verwendete Weg ist dabei mit Schadcode versehende E-Mail Anhänge. Dem Benutzer wird suggeriert, im E-Mail Anhang beispielsweise eine Rechnung, Mahnung, Bestellbestätigung, eingescannte Dokumente oder empfangene Faxe vorzufinden, um ihn zum Öffnen zu animieren. Sobald der Schadcode ausgeführt wird, werden weitere Programmteile und damit der eigentliche Schädling nachgeladen. Da diese Schädlinge Tages- und Stunden-aktuell erstellt werden sind die gängigen Virenscanner machtlos in deren Erkennung.
Die wichtigste Prävention ist absolute Vorsicht bei dem Öffnen von E-Mail Anhängen.Anhänge in den Formaten „PDF“ und „JPG“ sind in der Regel gefahrlos zu öffnen, größte Vorsicht ist bei „.ZIP, .RAR, .DOC, .DOCX, .CMD, .JS“ geboten.