Erpressungs-Trojaner sind auch in Österreich auf dem Vormarsch und verursachen Schäden in Millionenhöhe. Dabei handelt es sich um Schadsoftware, die sich meistens in Dateianhängen von Spam-E-Mails versteckt und nach dem Herunterladen sämtliche Dateien auf dem Computer, Smartphone oder in Netzwerken unlesbar verschlüsselt. Dokumente, Fotos und andere persönliche Daten sind damit für die Nutzer/innen unbrauchbar.
Die Masche dahinter: Nur wer „Lösegeld“ (etwa in Form von Bitcoins) an die Täter/innen bezahlt, bekommt angeblich seine Dateien wieder. An den meisten Anti-Viren-Programmen werden Erpressungs-Trojaner unbemerkt vorbeigeschleust.
Erpressungs-Trojaner werden auch Ransomware, Lösegeld-, Krypto- oder Verschlüsselungs-Trojaner genannt und können jeden treffen. Besonders gefährdet sind Windows-Nutzer/innen, wobei mittlerweile auch schon Erpressungs-Trojaner für Mac, Linux und mobile Betriebssysteme aufgetaucht sind.
E-Mail & Co: Wie werden Erpressungs-Trojaner verbreitet?
Die Täter/innen verschicken unter einem bestimmten Vorwand massenhaft E-Mails mit dem Erpressungs-Trojaner im Dateianhang. In manchen Fällen wird auch dazu aufgefordert, die Datei über einen Dropbox-Link herunterzuladen. Getarnt sind die Trojaner z.B. als (gefälschte) Rechnungen, Auftragsbestätigungen, DHL-Versandbestätigungen, Bewerbungsschreiben oder Adresslisten in Dateiformaten mit der Endung .bat, .cmd, .js, .vbs, .wsf, .com, .scr, .pif, .exe oder .zip.
Laden die Empfänger/innen diese Dateien herunter, werden bösartige Programme auf dem Computer ausgeführt, wie z.B. Chimera, Cryptowall, Locky oder TeslaCrypt.
Mittlerweile werden Erpressungs-Trojaner auch über Filesharing-Plattformen, wie z.B. The Pirate Bay, verbreitet. Wer dort Filme, Serien oder Musik herunterlädt, begeht nicht nur eine Urheberrechtsverletzung, sondern läuft auch Gefahr, Schadsoftware auf den eigenen Computer zu laden.
Achtung: Es werden laufend neue Arten von Anschreiben bzw. neue Versionen von Erpressungen-Trojanern in Umlauf gebracht!
Wie funktionieren Erpressungs-Trojaner?
Einmal ausgeführt, durchsuchen Erpressungs-Trojaner den Computer nach bestimmten Dateiendungen – zum Beispiel .doc, .pdf oder .jpg – und verschlüsseln die gefundenen Dokumente. Dadurch werden diese codiert und sind nur noch mithilfe eines Schlüssels nutzbar. Diesen Schlüssel zum Öffnen der manipulierten Dateien erhalten Nutzer/innen nur dann, wenn sie hohe Geldbeträge in Form der Internet-Währung Bitcoins an die Täter/innen bezahlen – so zumindest das Versprechen.
Grafik: cert.at
Die Watchlist Internet rät dringend davon ab, den geforderten Betrag zu bezahlen! Es gibt keine Garantie, dass die verschlüsselten Dateien nach Bezahlung tatsächlich freigegeben werden. Selbst wenn Sie den Schlüssel erhalten und damit Ihre Daten zurückbekommen, kann der Trojaner auf Ihrem Computer verbleiben – der PC sollte daher unbedingt neu aufgesetzt werden!
Wie kann ich mich vor Erpressungs-Trojanern schützen?
Im Fall von Erpressungs-Trojanern gilt: Vorsicht ist besser als Nachsicht! Folgende Tipps helfen, sich vor Erpressungs-Trojanern zu schützen.
- Datensicherung anlegen. Sichern Sie regelmäßig alle wichtigen Dateien auf einem externen Datenträger (z.B. USB-Stick oder externe Festplatte) oder in einem Cloud-Speicherdienst. Wichtig: Trennen Sie den externen Datenträger nach der Datensicherung wieder vom Computer –andernfalls werden beim Angriff durch einen Erpressungs-Trojaner auch diese Daten verschlüsselt. Regelmäßige Daten-Backups ermöglichen es, im Fall des Falles wichtige Daten wiederherzustellen. Nachdem es Trojaner gibt, die das BIOS – es ist dafür verantwortlich, den PC und das Betriebssystem zu starten – verschlüsseln, ist es für versierte Computer-Nutzer/innen empfehlenswert, die gesamte Festplatte samt Betriebssystem auf einem externen Medium zu spiegeln. Bei Bedarf können Sie so auf einen ursprünglich einwandfreien Zustand mit funktionierendem BIOS zurückzugreifen.
- Unbegründete E-Mails ignorieren. Halten Sie Erpressungs-Trojaner von Ihrem Computer fern! Öffnen Sie keine E-Mails, deren Absender/innen Sie nicht kennen, und verschieben Sie diese sofort in den Spam-Ordner. Das gilt auch für Rechnungen oder Versandbestätigungen bekannter Unternehmen, wenn Sie dort nichts gekauft haben.
- Dateianhänge nicht herunterladen. Öffnen Sie keine Dateianhänge von unbekannten Absender/innen, denn dahinter verbirgt sich sehr oft Schadsoftware. Erpressungs-Trojaner verstecken sich häufig in Dateiformaten mit der Endung .bat, .cmd, .js, .vbs, .wsf, .com, .scr, .pif, .exe oder .zip. Lassen Sie solche Dokumente ungeöffnet und löschen Sie am besten sofort. Sie können verdächtige Inhalte mit Ihrem Anti-Viren-Programm oder mithilfe eines Online-Dienstes wie zum Beispiel virustotal.com überprüfen. Wichtig: Auch die besten Anti-Viren-Programme bieten keinen hundertprozentigen Schutz – sie benötigen erst etwas Zeit, bevor sie neuartige Bedrohungen erkennen.
- Administratorkonto anlegen. Jedes Betriebssystem kennt die Möglichkeit, zwischen einem Administrator- und einem Standardkonto zu unterscheiden. Ein Administratorkonto dient dazu, den Computer sicher zu verwalten. Standardkonten hingegen sind für den alltäglichen Gebrauch bestimmt und können ohne Bestätigung des Administrators keine Programme installieren – der Administrator muss Installationen erst mit Eingabe seines Passworts bestätigen. Das erschwert es Kriminellen, bei Standardkonten unbemerkt Erpressungs-Trojaner zu installieren. Legen Sie zwei getrennte Konten an und nutzen Sie den PC in erster Linie mit dem Standardkonto.
- Programme aktuell halten. Schadsoftware nutzt oft Sicherheitslücken im Betriebssystem und in Programmen (z.B. Browser) aus, um sich auf fremden PCs zu installieren. Legen Sie in den Systemeinstellungen Ihres Computers fest, dass das Betriebssystem und alle installierten Programme automatisch aktualisiert werden – denn regelmäßige Updates bereinigen etwaige Sicherheitslücken. Dasselbe gilt für Plug-ins, wie zum Beispiel dem Adobe Flash Player oder PDF Reader.
- Makros deaktivieren. Schalten Sie in Microsoft Office die automatische Ausführung von sogenannten Makros ab. Makros sind kleine Programme, die automatisch bestimmte Befehle durchführen und dadurch ein mögliches Sicherheitsrisiko darstellen. So können etwa Kriminelle ein Dokument mit schädlichen Makros manipulieren, um einen Erpressungs-Trojaner auf Ihren PC zu schleusen. Wie Sie Makros in Ihrer MS Office-Version deaktivieren, finden Sie am einfachsten mit einer Internet-Recherche heraus.
Ich habe mir einen Erpressungs-Trojaner eingefangen – was kann ich tun?
- Gehen Sie nicht auf die Geldforderungen der Täter/innen ein! Es gibt keine Garantie, dass Sie nach dem Bezahlen auch tatsächlich den versprochenen Schlüssel zum Decodieren Ihrer Daten erhalten – möglicherweise wird noch mehr Geld verlangt. Selbst wenn Sie den Schlüssel erhalten und damit Ihre Daten zurückbekommen, kann der Trojaner auf Ihrem Computer verbleiben – der PC sollte daher unbedingt neu aufgesetzt werden!
- Versuchen Sie, den Erpressungs-Trojaner zu identifizieren. Für ältere Erpressungs-Trojaner wurden bereits Entschlüsselungs-Tools entwickelt. Dazu müssen Sie aber erst herausfinden, um welchen Schädling es sich in Ihrem Fall handelt. Das Portal ID Ransomware hilft laut heise.de, die Art des Trojaners zu identifizieren und nennt gegebenenfalls auch ein Tool, um die Daten wieder zu entschlüsseln.
- Schalten Sie die Polizei ein. Erstatten Sie Anzeige bei der nächsten Polizeidienststelle. Nur so ist eine strafrechtliche Verfolgung der Erpresser/innen möglich.
Dieser Beitrag wurde in Zusammenarbeit mit der Watchlist Internet erstellt.
Weiterführende Links:
- Watchlist Internet: Beispiele für E-Mails mit Erpressungs-Trojaner – DHL-Versandnachricht mit Cryptolocker, gefälschte Rechnung mit Locky-Trojaner, Chimera Ransomware in Bewerbungsschreiben und Auftragsbestätigungen
- Watchlist Internet: Sicherheitsvorkehrungen gegen Ransomware
- Cert.at: Empfehlungen zu Ransomware
- Meldestelle gegen Internetkriminalität des Cyber Crime Competence Centers der Bundespolizeidirektion
- Watchlist Internet: Wofür Schadsoftware genutzt werden kann
- heise.de: Aktuelle Informationen zum Thema Ransomware
- heise.de: Entschlüsselungs-Tool verfügbar? Webseite identifiziert Erpressungs-Trojaner
- Saferinternet.at: Mehr Informationen rund um Viren, Spam & Co.