Cryptolocker und Co.So hat der Erpresser-Virus keine Chance
Schädliche Software, die Nutzer erpresst, ist auf dem Vormarsch. Doch wie kann man sich schützen – und wer steckt hinter den Attacken? 20 Minuten klärt die wichtigsten Fragen.
Der Cryptolocker-Virus verschüsselt die Daten auf dem PC und erpresst die Opfer danach zur Bezahlung einer «Freischaltgebühr».
Wie kommt die erpresserische Schadsoftware auf meinen Rechner?
Im Falle des Cryptolockers sind der Melde- und Analysestelle Informationssicherung (Melani) drei mögliche Wege bekannt: Einerseits verbreitet sich der Virus über verseuchte E-Mail-Anhänge. Ein weiteres Einfalltor sind andere Trojaner oder Viren, die bereits auf dem heimischen PC nisten und zu einem späteren Zeitpunkt den Cryptolocker herunterladen. Besonders heimtückisch ist die Verbreitungsmethode über sogenannte Drive by Downloads. «Dabei genügt schon das Aufrufen einer dieser präparierten Websites, die dann im Hintergrund den Schädling auf dem Computer installieren», sagt Max Klaus, stellvertretender Leiter von Melani. Für diese Methode werden meist Sicherheitslücken in Browsern ausgenutzt.
Wie kann ich mich schützen?
Grundsätzlich gilt es, die Antiviren-Software immer auf dem neusten Stand zu halten, System- und Softwareupdates umgehend zu installieren und die Firewall zu aktivieren. Um sich vor dem versehentlichen Besuch von sogenannten Drive-by-Download-Websites zu schützen kann in den Einstellungen des Browsers Java und Java Script deaktiviert werden. «Das kann aber zu Unbequemlichkeiten führen, da viele vertrauenswürdige Websites ebenfalls darauf aufbauen und diese dann eventuell nicht mehr richtig angezeigt werden», sagt Klaus.
Präventiv sollten Daten auf dem eigenen Computer regelmässig extern gesichert werden. Nach dem Backup sollte das Speichermedium aber wieder ausgestöpselt werden. Denn: Bei einem Befall mit Cryptolocker könnte der Virus auch dort die Daten verschlüsseln.
Wer sind die Täter und wo stecken diese?
Herauszufinden, wer hinter den Attacken steckt, ist schwierig. Bei der Analyse von Viren wie dem Cryptolocker sehen die Behörden zwar, wo die entsprechenden Server stehen, über die zum Beispiel die verseuchten E-Mails laufen. Doch: «Der Standort der Server alleine ist nicht gleichbedeutend mit dem Standort der Täter», sagt Klaus. Diese könnten ihre Spuren im Internet sehr gut verwischen, was die Ermittlungen sehr zeitaufwändig macht.
Können die Täter nicht anhand der Geldspur gefunden werden?
Es gibt immer wieder Opfer, die den Forderungen der Täter nachgeben und bezahlen, in der Hoffnung wieder an ihre Daten zu kommen. Doch auch dieser Spur zu Folgen sei schwierig, so Klaus. «Die Zahlungen werden nicht per E-Banking abgewickelt. Meist kommen andere Bezahldienste wie Ukash oder Western Union zum Einsatz». Bei Western Union zum Beispiel kann man Geld nur unter Angabe eines zuvor definierten Passworts ins Ausland überweisen. So können die Täter, ohne einen Ausweis vorzuzeigen, das erpresste Geld abholen.
Was soll ich tun, wenn ich betroffen bin?
Sind die Daten erst einmal durch Cryptolocker verschlüsselt, gibt es eigentlich kein zurück mehr. Von einer Zahlung des Betrags rät Melani ab. Denn eine Garantie, dass die Zahlung eine Freigabe der Daten bewirkt, hat man nicht. In den meisten Fällen bewirkt die Zahlung lediglich, dass das Portemonnaie der Betrüger dicker wird.
Einen Hoffnungsschimmer bietet eine sogenannte Bruteforce-Attacke auf den Virus. Dabei übergibt man eine verschlüsselte Datei einem speziellen Programm, etwa dem Ransomware-Decrypt von Sicherheitsanbieter Panda. Dieses versucht den geheimen Schlüssel zu finden und so die Daten zu entsperren. Da bei Cryptolock ein extrem langer Key zum Einsatz kommt, sind die Erfolgschancen allerdings verschwindend klein. Der Virus selbst kann allerdings von betroffener Hardware mit allen gängigen Antiviren-Programmen entfernt werden. Die Daten bleiben allerdings trotzdem verschlüsselt. Da hilft nur noch der Rückgriff auf das Backup.
Waren Sie auch schon von erpresserischer Schadsoftware wie dem Cryptolocker betroffen? Schildern Sie uns Ihre Erfahrung in einem Mail an feedback@20minuten.ch
Was macht der Cryptolocker-Virus?
Internet-Betrüger sind auf dem Vormarsch auch in der Schweiz. Dies hat die Melde- und Analysestelle Informationssicherung (Melani) in ihrem aktuellen Halbjahresbericht 2013 offengelegt. Besonders schlimm sind die Auswirkungen von schädlicher Software, sogenannter Ransomware, die Daten auf dem eigenen PC verschlüsselt.
Durch solche Viren, zum Beispiel den aggressiven Cryptolocker können Nutzer unter Umständen ihr ganzes digitales Leben verlieren: Fotos, Musik, Filme aber auch persönliche Dokumente werden mit der Verschlüsselung unbrauchbar. Mit diesem Vorgehen versuchen die Cyberkriminellen den PC-Nutzer zu erpressen. Dieser soll Geld überweisen, damit seine Daten wieder entschlüsselt werden. Um auf die Opfer noch mehr Druck auszuüben, startet nach der Infektion ein Countdown nur während dieser vorgegeben Frist sollen die verschlüsselten Daten gerettet werden können. (tob)
