Während bis 2011 noch Scareware des Typs Fake Antivirus unter den häufigsten PC-Schädlingen zu finden war, hat Erpresser-Malware, so genannte Ransomware , inzwischen deren Platz eingenommen. Nur Trojanische Pferde der Zeus/Zbot-Familie sind noch stärker verbreitet. Zu diesem Ergebnis kommt eine aktuelle Analyse des britischen Antivirusherstellers Sophos. Scareware täuscht einen Scan des Rechners vor und behauptet dann, der PC sei mit Viren verseucht. Der Benutzer wird dann zum Kauf einer ebenso teuren wie nutzlosen Vollversion des vorgeblichen Antivirusprogramms genötigt. Ransomware hingegen blockiert den PC und fordert dann ein Lösegeld. Zum Teil werden zudem Dateien verschlüsselt. Anand Ajjan, leitender Sicherheitsforscher bei SophosLabs, hat eine Analyse verfasst, aus der hervorgeht, welche Entwicklung Ransomware in den letzten Jahren genommen hat. Die ersten Schädlinge dieser Art blockierten den PC und forderten den Benutzer auf das Lösegeld als SMS an eine Premiumrufnummer zu senden. Die Gebühr für die Premium-SMS war das Lösegeld.
Im ersten Evolutionsschritt sind Schädlinge des Typs WinLocker entstanden. Sie blockieren nicht nur den PC, sondern behaupten dabei auch, dies erfolge durch Polizei, GEMA oder eine andere Organisation, weil illegale Dateien auf dem Rechner gefunden worden seien. Das Lösegeld soll nunmehr in Form einer Ukash-Karte oder Paysafecard gezahlt werden. In Deutschland am bekanntesten ist die Variante “BKA-Trojaner”. In der nächsten Stufe ist Dateiverschlüsselung als Druckmittel hinzu gekommen. Diese Idee stammt noch aus dem Urvater der Ransomware, Gpcode . Der Schädling verschlüsselt etwa Dokumenten sowie Fotos und benutzt sie als Geisel. In letzter Zeit sind jedoch die einfacher zu programmierenden WinLocker ohne Verschlüsselung häufiger anzutreffen. Das ist auch für die Opfer gut, denn die lassen sich leichter beseitigen ohne ungesicherte Daten zu gefährden. Die Verbreitung dieser Schädlinge erfolgt oft über mit Exploit-Kits präparierte Web-Seiten. Seit etwa einem Jahr sind jedoch auch Mails mit vorgeblichen Rechnungen, Mahnungen und Bestellstornierungen zu einem wichtigen Verbreitungsweg geworden. Der Schädling steckt dabei in einer angehängten ZIP-Datei, derzeit sogar zweifach verpackt. Vorgeblich soll der Anhang Details zu einer Online-Bestellung enthalten, die der Empfänger jedoch nie getätigt hat. Anand Ajjan geht in seiner Analyse auch ausführlich auf die eingesetzten Verschlüsselungsmethoden und deren technische Entwicklung ein. Die PDF-Datei ist über den Sophos-Blog “Naked Security” erhältlich.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.