Logo von Security

Suche
Jürgen Schmidt 373

Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz


Die Anrufe zum Entsperren sind angeblich kostenlos. Vergrößern
Bild: F-Secure
Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.

Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen. (ju)

373 Kommentare

Themen:

Anzeige
  1. Erpressungs-Trojaner für Linux stümpert – noch

    Hacker

    Wer sich die Ransomware Linux.Encoder.1 eingefangen hat, darf hoffen: Durch einen Anfängerfehler lässt sich der Schlüssel zum Dekodieren der verschlüsselten Dateien leicht finden.

  2. Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach

    TeslaCrypt 2.0

    Opfer des berüchtigten Verschlüsselungs-Trojaners TeslaCrypt können aufatmen: Das kostenlose Tool TeslaDecoder kann zumindest die Dateien der Version 2 entschlüsseln. Doch die Betrüger schlafen nicht: Aktuell kursiert schon Version 3.

  3. Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu

    Neue Ransomware Locky treibt ihr Unwesen

    Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag gleichzeitig bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.

  4. Erpressungs-Trojaner verschlüsselt mit PGP

    Hacker

    Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

  1. TeslaCrypt 2.0 entschlüsselt

    TeslaCrypt 2.0 entschlüsselt

    Die Ransomware TeslaCrypt ist geknackt und betroffene Nutzer können auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen. Heise Security hat das erfolgreich ausprobiert.

  2. Das Gratis-Upgrade auf Windows 10

    Das Gratis-Upgrade auf Windows 10

    Was ist neu in Windows 10, was ist besser und was schlechter? Und vor allem: Wie kann ich das Gratis-Upgrade für Windows 10 bekommen, verhindern oder wieder loswerden? Dieser Artikel gibt Ihnen einen Überblick zu Microsofts neuem Betriebssystem und Antworten auf häufige Fragen.

  3. WhatsApp: Preise, Backups, Tablet-Nutzung, Verschlüsselung, Alternativen

    WhatsApp

    WhatsApp informiert sehr ausführlich über seine Dienste, doch manche Fragen bleiben offen – zum Teil mit Absicht. Wir haben die häufigsten Fragen unter anderem zu Backups, Preisen und Alternativen gesammelt und beantworten sie in diesem Artikel.

  1. Ausfahrt auf der Royal Enfield Continental GT: Der Kommunikator

    Der Kommunikator

    Royal Enfield ist die älteste noch existierende Motorradmarke der Welt und hat ein "modernes" Bike rausgebracht. Sie ist everybodies Darling und ein echter Hingucker. Ich hatte das Vergnügen, sie ein paar Tage lang fahren zu dürfen und habe durch sie jede Menge neuer Leute kennengelernt

  2. Maserati 3500GT: Buddenbrooks con dolce vita

    Klassiker, Maserati

    Die italienische Marke Maserati hatte schon einige Besitzer. Doch ihre Existenz verdankt sie einer Handvoll verrückter Italienern ohne jede Ahnung von Betriebswirtschaft und dem Maserati 3500GT. Eine Danksagung

  3. Computex im Zeichen von Pascal, Broadwell-E und Bristol Ridge

    Computex im Zeichen von Polaris, Pascal, Broadwell-E und Bristol Ridge

    Auf der Computex zeigen Nvidias Partner ihre günstigeren GTX-1080-Varianten. Überdies erwartet man die neuen PC-Prozessoren Broadwell-E und Bristol Ridge. Möglicherweise kommen auch Details zu AMDs Polaris-GPUs ans Licht.

  4. Crypto Wars 3.0: Enisa und Europol gegen Hintertüren bei Verschlüsselung

    Crypto Wars 3.0: Enisa und Europol gegen Hintertüren

    Die europäischen Sicherheitsbehörden Europol und Enisa sprechen sich in einem gemeinsamen Positionspapier ausdrücklich gegen Hintertüren aus. Gleichzeitig fordern sie eine enge Kooperation zwischen Unternehmen und Sicherheitsforschung.

Anzeige