Schon seit geraumer Zeit verbreiten Online-Kriminelle Trojanische Pferde der Kategorie “Ransomware”. Erpresserische Schädlinge behaupten, der Benutzer habe mit seinem PC Straftaten begangen, blockieren den PC und verschlüsseln Dateien. Sie verlangen die Zahlung eines Lösegelds, um den Rechner und die Dateien wieder freizugeben. Im Gegensatz zu manchen früheren Vertretern dieser Malware-Gattung behauptet CryptoLocker nicht nur, er würde Dateien verschlüsseln – er tut es auch. Dafür verzichtet er auf die Maskerade als vorgebliche Polizei-Software. Der Schädling kommt entweder als Mail-Anhang mit vorgeblichen Rechnungen, Mahnungen, Buchungsbestätigungen oder Paketzustellbenachrichtigungen auf den Rechner oder per Drive-by Download auf präparierten Web-Seiten. Wie Sean Sullivan heute im F-Secure Blog berichtet, werden auch Spam-Mails verbreitet, in deren Anhang eine Passwort-geschützte ZIP-Datei mit einem CryptoLocker-Downloader steckt. Wird die Malware ausgeführt, nimmt CryptoLocker Kontakt zu seinem Mutterschiff auf, das ein Schlüsselpaar generiert. Dabei handelt es sich um einen 2048-bittigen RSA-Schlüssel, den zu knacken nicht realistisch ist. Den öffentlichen Schlüssel bekommt der Schädling, der damit persönliche Dateien wie Office-Dokumente, Fotos, Videos, Musik und andere Dateitypen verschlüsselt. Einige Varianten beschränken sich nicht auf lokale Dateien, sondern greifen auch auf Netzwerkfreigaben zu. Der private Schlüssel, der zum Entschlüsseln benötigt wird, bleibt auf dem Server der Täter. Auf dem befallenen Rechner zeigt CryptoLocker einen Countdown bis zum Löschen des privaten Schlüssels an, meist hat man drei Tage Frist. Wenn sich CryptoLocker meldet, ist jedenfalls zu spät für Gegenmaßnahmen – der Schaden ist angerichtet. Die Täter geben an, sie würden ihn zusammen mit einem Entschlüsselungsprogramm übermitteln, sobald das Opfer das Lösegeld gezahlt habe. Doch meist geschieht dies nicht – die Daten bleiben verloren, falls kein Backup vorhanden ist. Das Lösegeld zu zahlen ist somit auch für verzweifelte Benutzer keine zielführende Möglichkeit, wieder an die Dateien zu gelangen. Abhilfe durch Knack-Tools, wie bei manchen früheren Schädlingen dieser Kategorie, ist nicht zu erwarten. Frühere Schädlinge nutzten eine schwache, zum Teil auch fehlerhafte umgesetzte Verschlüsselung. Doch die Täter haben dazu gelernt. Das wichtigste und sicherste Mittel gegen die Folgen eines CryptoLocker-Befalls sind deshalb regelmäßige Backups wichtiger Dateien. Sichern Sie Ihre Daten auf einem externen Medium, etwa einer USB-Festplatte. Schließen Sie das Backup-Medium nur für die Datensicherung an den Rechner an, damit CryptoLocker nicht auch die Backups verschlüsseln kann. Vor der Wiederherstellung der Dateien muss der PC von Schädlingen befreit werden. Die Antivirushersteller geben zwar an, ihre Software würde alle Varianten der Ransomware erkennen, doch oft hinken die nötigen Updates um einige entscheidende Stunden hinter den neuesten Schädlingsvarianten her. Wird der Schädling erst nach der Infektion und Dateiverschlüsselung entdeckt und entfernt, entfällt auch die fragwürdige Option das Lösegeld zu zahlen. Bei Microsoft heißt CryptoLocker “Trojan:Win32/Crilock.A” , bei Avira “TR/Fraud.Gen2”, bei Kaspersky “Trojan-Ransom.Win32.Blocker”. Nick Shaw hat ein kostenlos erhältliches Tool namens CryptoPrevent entwickelt, das vor Infektionen mit CryptoLocker und anderen Schädlingen schützen soll. Der Ansatz ähnelt dem des Microsoft-Programms AppLocker , das in Windows 7 und 8 enthalten ist, allerdings nur in Enterprise- und Ultimate-Ausgaben. CryptoPrevent erstellt synthetische Gruppenrichtlinienobjekte, die das Starten ausführbarer Dateien in bestimmten Verzeichnissen blockieren. Der Windows-Gruppenrichtlinieneditor, der den Home-Editionen fehlt, wird nicht benötigt und CryptoPrevent soll auch unter Windows XP funktionieren. Als Ausrede, um keine Backups zu machen, sollte das Programm allerdings nicht dienen. Es ist auch eher für Nutzer mit guten Systemkenntnissen geeignet, die wissen, was sie tun und mit eventuell auftretenden Problemen umgehen können.
News
Erpressung mit CryptoLocker
Die neueste und bislang problematischste Inkarnation der Erpresser-Malware wird als "CryptoLocker" bezeichnet. Meldungen über eine starke Verbreitung dieses Schädlings kommen vor allem aus den USA und aus Großbritannien. Ein Freeware-Tool soll Schutz bieten.

Image: IDG