Logo von Security

Suche
Jürgen Schmidt 373

Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz


Die Anrufe zum Entsperren sind angeblich kostenlos. Vergrößern
Bild: F-Secure
Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.

Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Anzeige

Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen. (ju)

373 Kommentare

Themen:

  1. Erpressungs-Trojaner für Linux stümpert – noch

    Hacker

    Wer sich die Ransomware Linux.Encoder.1 eingefangen hat, darf hoffen: Durch einen Anfängerfehler lässt sich der Schlüssel zum Dekodieren der verschlüsselten Dateien leicht finden.

  2. Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach

    TeslaCrypt 2.0

    Opfer des berüchtigten Verschlüsselungs-Trojaners TeslaCrypt können aufatmen: Das kostenlose Tool TeslaDecoder kann zumindest die Dateien der Version 2 entschlüsseln. Doch die Betrüger schlafen nicht: Aktuell kursiert schon Version 3.

  3. Online-Dienst erstellt maßgeschneiderte Krypto-Trojaner

    Online-Dienst erstellt maßgeschneiderte Krypto-Trojaner

    Die Einstiegshürde für angehende Online-Erpresser ist erneut gesunken: Ein Dienst im Tor-Netz erstellt nach wenigen Klicks den individuellen Erpressungs-Trojaner. Falls ein Opfer das geforderte Lösegeld zahlt, verdienen die Betreiber mit.

  4. BitTorrent Sync: Update mit verschlüsselten Ordnern

    Bittorrent Sync: Update bringt verschlüsselte Ordner

    Version 2.3 der Datentausch-Software kann ganze Ordner verschlüsseln. Hinzu kommen Fehlerbehebungen sowie Verbesserungen für Windows und Android.

  1. TeslaCrypt 2.0 entschlüsselt

    TeslaCrypt 2.0 entschlüsselt

    Die Ransomware TeslaCrypt ist geknackt und betroffene Nutzer können auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen. Heise Security hat das erfolgreich ausprobiert.

  2. iPhone-Verschlüsselung durchleuchtet

    Die Nachrichten-App speichert SMS, MMS und iMessages nach wie vor ungeschützt.

    Neben der Hardware-Verschlüsselung bietet iOS noch eine optionale Datei-Verschlüsselung. Bei iOS 7 hat Apple deren Einsatz für Apps automatisiert. Allerdings genehmigt sich Apple selbst großzügige Ausnahmen für eigene Anwendungen.

  3. Virustotal analysiert (UEFI-)BIOS-Code

    BIOS-Analyse bei Virustotal

    Der Virenscan-Webdienst Virustotal untersucht nun auch hochgeladene Firmware-Images, beispielsweise BIOS-Updates – und liefert hochinteressante Einblicke.

  1. Fahrbericht: Triumph Street Twin

    Zweirad

    Triumph hat jüngst die Street Twin als Nachfolgerin der Bonneville auf den Markt gebracht - mit zwölf PS weniger. Klingt für viele erst einmal abschreckend lahm, aber das Gegenteil ist der Fall. Wir hatten jetzt die Gelegenheit, beide Modelle im direkten Vergleich zu fahren

  2. Audi Q3, Mazda CX-5 und VW Tiguan im Vergleichstest

    Mit seiner Skyactiv-Technologie verspricht der Mazda CX-5 niedrige Verbräuche und vorbildliche Emissionseigenschaften. Gut ausgestattet ist er auch und könnte damit eine günstige Alternative zu Audi Q3 und VW Tiguan sein. Wie schlagen sich die drei Allrad-Diesel um die 175 PS?

  3. Ausflug im Ford Expedition: Wahre Größe

    Ford

    Gegen Autos vom Schlage eines Ford Expedition wirken selbst ausgewachsenen Luxuslimousinen aus Europa zierlich. Dabei waren wir nicht einmal mit der XL-Version unterwegs. Ein Ausflug mit einem wirklich großen Auto

  4. Räder für den Alltag der Saison 2016

    Praktische Räder für den Alltag der Saison 2016

    Auch, wenn es vor lauter schrillbunten Neuerscheinungen und Technik-Overkill manchmal ganz anders aussehen mag - die meisten Kunden setzen weiterhin auf praktische Räder für den Alltag. Solche Fahrräder müssen sich vor allem in den Disziplinen "Komfort", "Sicherheit" und "Funktionalität" beweisen

Anzeige