Logo von Security

Suche
373

Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz


Die Anrufe zum Entsperren sind angeblich kostenlos. Vergrößern
Bild: F-Secure
Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.

Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Anzeige

Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen. (ju)

373 Kommentare

Themen:

  1. Online-Dienst erstellt maßgeschneiderte Krypto-Trojaner

    Online-Dienst erstellt maßgeschneiderte Krypto-Trojaner

    Die Einstiegshürde für angehende Online-Erpresser ist erneut gesunken: Ein Dienst im Tor-Netz erstellt nach wenigen Klicks den individuellen Erpressungs-Trojaner. Falls ein Opfer das geforderte Lösegeld zahlt, verdienen die Betreiber mit.

  2. OnionDuke: Downloads von Tor-Nutzern mit Schadcode verseucht

    OnionDuke-Konfigurationsdatei

    Sicherheitsforscher von F-Secure haben entdeckt, dass ein Tor-Exit-Knoten in Russland Downloads mit einem Schadprogramm infiziert, das mit einem Spionagetrojaner verwandt ist.

  3. Peerio: Ende-zu-Ende-Verschlüsselung nur einen Klick entfernt

    Peerio: Ende-zu-Ende-Verschlüsselung nur einen Klick entfernt

    Die kostenlose Verschlüsselungs-Anwendung Peerio will mit einer Ende-zu-Ende-Verschlüsselung neben dem Nachrichtenversand auch den Dateiaustausch sicherer gestalten und lockt mit einer einfachen Bedienung.

  1. Abhörsichere Drahtlostastatur

    Abhörsichere Drahtlostastatur

    Reguläre Funk-Keyboards lassen sich recht einfach knacken. Das Secure Pro von Matias verschlüsselt deshalb hart.

  2. iPhone-Verschlüsselung durchleuchtet

    Die Nachrichten-App speichert SMS, MMS und iMessages nach wie vor ungeschützt.

    Neben der Hardware-Verschlüsselung bietet iOS noch eine optionale Datei-Verschlüsselung. Bei iOS 7 hat Apple deren Einsatz für Apps automatisiert. Allerdings genehmigt sich Apple selbst großzügige Ausnahmen für eigene Anwendungen.

  3. c't-Notfall-Windows 2014

    Screenshot Winbuilder

    Die Neuauflage unseres auf Windows aufbauenden Rettungssystems hat mehrere Helfer an Bord, um ein von Schädlingen befallenes Windows zu säubern, aber auch zahlreiche weitere nützliche Werkzeuge, um Probleme einer Windows-Installation von außen zu Leibe zu rücken. Die zum Bauen des Systems nötigen Dateien finden Sie auf der Heft-DVD in c't 26/14.

  1. Downsizing 1930

    Klassiker

    Der Bentley 4,5 Litre ist eine Legende. Der Rennwagen wurde von einem Motor mit Roots-Verdichter beflügelt, Turbolader waren damals noch Schiffsdieseln vorbehalten. Wenn auf Veranstaltungen wie der Mille Miglia eines von 50 gebauten Exemplaren antritt, wird der Mythos lebendig

  2. McLarens Every-Day-Car

    Im neuen McLaren 570 S

    Zum Festival of Speed im britischen Goodwood gehören auch Neuvorstellungen mit dynamischer Premiere. Zum ersten Mal in Aktion zu erleben war auch der neue Einstiegs-Sportler im Hause McLaren 570 S. Eine Probefahrt mit Chef-Test-Pilot Chris Goodwin

  3. Java-Anwendungsserver: Red Hat veröffentlicht WildFly 9

    Liebelle fliegt über Wasser

    Das zweite große Release von Red Hats mit Java EE 7 kompatiblem Anwendungsserver kann nun mit HTTP/2 umgehen und bringt außerdem etliche neue Server-Administrations-Features mit.

  4. Landreisender: Audi A6 allroad quattro 3.0 TDI

    Der Audi allroad wurde erstmals 1999 angeboten, immer als Kombi, immer mit Allrad. Nun kommt der zünftigste A6 in der dritten Generation auf den Markt. Wir haben den Audi A6 allroad in der Version mit dem 3.0 TDI gefahren

Anzeige