Fiese Erpressung und Abzocke mit Crypto-Trojanern

Der Ablauf ist immer derselbe: Nach einem fatalen Klick auf einen E-Mail-Anhang oder Downloadlink geht plötzlich gar nichts mehr - Verschlüsselungstrojaner versperren in kürzester Zeit den Zugriff auf alle Dateien. Danach folgt die Forderung nach absurden Geldbeträgen bis zu mehreren 10.000 Euro, um das System wieder zu entschlüsseln. Die Opfer stehen meist unter Schock und wissen nicht, wie sie reagieren sollen. [...]

Diese kriminelle Vorgehensweise ist nicht neu, doch die Betrüger entwickeln immer bessere Methoden, um die Virus-Mails täuschend echt aussehen zu lassen. Während diese früher nur nach dem Gießkannenprinzip versendet wurden, suchen die Täter sich mittlerweile auch gezielt Firmen nach Faktoren wie Umsatz, Abhängigkeit von den Daten und potentiell hohem Schaden der Reprobation aus und betreiben Recherche, um die E-Mails perfekt auf die potentiellen Opfer zuschneiden zu können. So wird beispielsweise überlegt, welche Art von Anhang die Mitarbeiter am ehesten öffnen würden.
Nicolas Ehrschwendner, Geschäftsführer von Attingo Datenrettung, kennt die Problematik nur zu gut: „Täglich wenden sich immer mehr Betroffene an uns, dabei lässt sich ein deutlicher Trend zur Professionalisierung der Erpresser erkennen. Einer unserer Kunden hatte eine Stellenanzeige veröffentlicht und erhielt den Trojaner als täuschend echt wirkende Bewerbung getarnt im angehängten Lebenslauf.“ Oft werden auch vermeintliche Updates für branchenspezifische Software, wie beispielsweise Diagnosesoftware für Autowerkstätten oder Vergleichsprogramme für Versicherungsmakler, per E-Mail verschickt. Diese unterscheiden sich in Text und grafischer Gestaltung oft gar nicht von jenen, die die Hersteller tatsächlich verschicken.
Betroffen – was tun?
Hat man einen solchen Trojaner erst einmal aktiviert, kann dieser meist selbst direkt auf die Benutzerdaten zugreifen, um diese zu verschlüsseln oder aber er nutzt Sicherheitslücken im Betriebssystem oder der Software, um sich mit erweiterten Rechten Zugriff auf weitere Daten zu verschaffen. Hiervon können dann auch alle verbundenen Geräte betroffen sein, also Backups per USB aber auch Server-Laufwerke und andere Computer im Netzwerk bis in die Cloud (zum Beispiel über den Dropbox-Zugang). Der User hat somit keinerlei Zugriff mehr auf seine Dateien. Es gibt nun drei mögliche Vorgangsweisen: man kann sich einfach damit abfinden und nichts tun – dies ist aber in den meisten Fällen keine wirkliche Option, insbesondere wenn Firmendaten betroffen sind.
Weiters ist es natürlich auch möglich, in den sauren Apfel zu beißen und die geforderte Summe zu überweisen. Doch selbst dann gibt es keine Garantie, dass die Dateien tatsächlich wieder entschlüsselt werden, weiß Ehrschwendner: „Zum einen gibt es natürlich besonders niederträchtige Betrüger, die trotz einer Zahlung nicht reagieren, zum anderen sind viele aber auch fachlich schlicht nicht in der Lage, die programmiertechnischen Maßnahmen zur Entschlüsselung zu ergreifen.“ Hinzu kommt, dass das Opfer immer wieder sogar unter Zeitdruck gesetzt wird, indem die geforderte Summe mit jedem Tag Wartezeit steigt.
Datenrettung bei Cryptolockern
Als dritte Möglichkeit eröffnet sich für die Opfer eine Datenrettung. Attingo Datenrettung hat hierzu Verfahren entwickelt, die auch eine Datenrettung erlauben, wenn sichere Algorithmen zur Verschlüsselung verwendet worden sind. Gerade bei größeren Dateien wie Datenbanken oder Archiven, aber auch bei Fotos und Office-Dokumenten bestehen gute Chancen auf eine nahezu vollständige Rekonstruktion. Der Aufwand hierbei ist jedoch im Vergleich zu einer „normalen“ Datenrettung viel höher, weswegen der Kunde mit Ausgaben ab 1.500 Euro rechnen muss.
Man sollte jedoch bedenken, dass die Erpresser von ihren Opfern gerade bei gezielten Angriffen meist Summen im fünfstelligen Bereich verlangen. Abgesehen davon, dass man so die Betrüger in ihrem Tun bestärkt, gibt man sich diesen als „geeignetes Opfer“ zu erkennen, warnt Ehrschwendner: „Wir haben von einigen Fällen gehört, in denen Kunden die geforderte Summe bezahlt haben. Das System wurde wieder entschlüsselt, doch bereits nach zwei Monaten kam ein neuer Trojaner. Diesmal wendeten sich die Betroffenen jedoch an uns.“ So konnte Attingo vor Kurzem hunderte Gigabyte einer Exchange-Datenbank mit Kalendereinträgen und Kontakten zum größten Teil retten.
Wie sollten Betroffene reagieren?
Sobald der Verdacht vorliegt, von einem Verschlüsselungs-Trojaner befallen zu sein, ist es wichtig, das Gerät sofort vom Strom zu nehmen! Dies gilt auch für alle anderen Systeme im Netzwerk. Nur so kann die Verschlüsselung gestoppt werden. Danach dürfen die Geräte auf keinen Fall wieder in Betrieb genommen werden. Professionelle Datenretter greifen nicht mittels der Betriebssysteme auf die Daten zu, sondern führen die Datenrettung direkt in den Rohdaten durch. Wenn es sich nicht um dringend benötigte Daten handelt, kann es sich lohnen, einige Monate zu warten – oft werden die zur Entschlüsselung benötigen Keys dann im Internet bekannt.
Bereits im Vorfeld kann man sich schützen, indem man stets E-Mail-Absender verifiziert, und zwar nicht nur den angezeigten Namen des E-Mail-Absenders sondern auch die tatsächliche Adresse. Ebenso lohnt sich bei Links ein Blick auf die genaue URL. Zusätzlich sollte man auf jeden Fall aktuelle Offline-Backups in mehreren Generationen erstellen, die nicht am System hängen, da Online-Backups auf NAS, Server oder externer Festplatte ebenfalls unverzüglich vom Cryptovirus vernichtet werden können.
Professionelle Datenrettung
Attingo ist führender Anbieter von Datenwiederherstellung im Falle von gelöschten, formatierten oder mechanisch zerstörten Datenträgern. Das Unternehmen betreibt hauseigene Reinraumlabore in Wien, Hamburg und Amsterdam und ist seit 20 Jahren europaweit Spezialist für Datenrettung bei Server- und RAID-Systemen. Attingo ist ISO 9001 zertifiziert sowie ein staatlich ausgezeichnetes Unternehmen und verfügt über eine eigene Abteilung für Forschung und Entwicklung sowie mehr als 10.000 lagernde Festplatten für Ersatzteile.

Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*