Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 373

Lösegeld-Trojaner sperrt scheinbar die Windows-Lizenz


Die Anrufe zum Entsperren sind angeblich kostenlos. Vergrößern
Bild: F-Secure
Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.

Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.

Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.

Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.

Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen. (ju)

373 Kommentare

Themen:

Anzeige
  1. Gratis Entschlüsselungs-Tools nehmen es mit elf Erpressungs-Trojanern auf

    Gratis Entschlüsselungs-Tools nehmen es mit elf Erpressungs-Trojanern auf

    AVG und Trend Micro haben ihre kostenlosen Tools aktualisiert, mit denen Opfer von diversen Verschlüsselungs-Trojanern unter Umständen wieder Zugriff auf ihre Daten bekommen können.

  2. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  3. Erpressungs-Trojaner Sage nutzt Bleeding-Edge-Krypto-Funktionen

    Erpressungs-Trojaner Saga nutzt Bleeding-Edge-Krypto-Funktionen

    Eine neue Ransomware-Familie orientiert sich bei der Verschlüsselung mit Curve25519 und ChaCha20 am oberen Ende des derzeit zur Verfügung stehenden Repertoires von Krypto-Funktionen.

  4. Pokémon Go-Ransomware verschlüsselt, erpresst und schnüffelt

    PokémonGo-Ransomware verschlüsselt, erpresst und schnüffelt

    Hinter einer gefakten Version des Smartphone-Spiels PokémonGo für PCs steckt ein Erpressungs-Trojaner, der es auf Daten von Nutzern abgesehen hat.

  1. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  2. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony, Teil II

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Wie diese Analysiert:-Folge enthüllt, weist die scheinbar perfekte Verschlüsselung des RAA-Trojaners doch Lücken auf. Auch der von RAA gestartete Passwort-Dieb kann sich mit seinen Anti-Debugging-Tricks der Analyse nicht entziehen.

  3. TeslaCrypt 2.0 entschlüsselt

    TeslaCrypt 2.0 entschlüsselt

    Die Ransomware TeslaCrypt ist geknackt und betroffene Nutzer können auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen. Heise Security hat das erfolgreich ausprobiert.

  1. Im Test: BMW X1 xDrive 20d

    BMW

    Der zweite BMW X1 wirkt innen nobler, dreht aber aus Kostengründen sein Antriebskonzept um. Statt des standardmäßigen Hinterradantriebs mit zugeschalteter Vorderachse werden nun die Hinterräder nur bei Bedarf angetrieben. Eine Ausfahrt sollte zeigen, ob sich dieser BMW noch wie einer anfühlt

  2. Test: Hyundai Ioniq electric

    Hyundai Ioniq electric

    Ursprünglich hatte Hyundai erwartet, maximal 25 Prozent aller Ioniqs als electric verkaufen zu können, jetzt sind es 45. Der Grund ist simpel: Das Auto ist einfach gut, und ich behaupte, es ist das Sparsamste aller reinen E-Autos

Anzeige