Home / How-To / Antivirus
How-To

Erpressungs-Trojaner halten Versprechen nicht

Der Fall Wannacry zeigt deutlich: Nur wenige Menschen sind bereit, Lösegeld an Kriminelle zu zahlen. Zu Recht, denn die Zahlungen sind meistens wirkungslos. Viele als Ransomware getarnte Viren und Würmer haben zudem dazu beigetragen, den „Ruf“ klassischer Erpressungstrojaner zu ruinieren.
Peter Meyer
Von Peter Meyer
PC-WELT
Ransomware-Scam ist auf Zerstörung aus
Image: istockphoto.com/alexskopje

Ein solides Produkt, ein verlässlicher Service und Vertrauen sind wesentlich für den wirtschaftlichen Erfolg eines Unternehmens. Die Verbreiter von Ransomware , sogenannten Erpressungs-Trojanern, haben sich in der Vergangenheit die notwendige „Reputation“ hart erarbeitet: Viele Unternehmen, Gemeinden oder auch Privatpersonen, die sich einen Erpressungs-Trojaner eingefangen haben und nicht mehr auf ihre Rechner zugreifen konnten, hatten in der Vergangenheit das geforderte Lösegeld gezahlt.

Der Grund: Viele Betroffene denken, dass die Cyberkriminellen als „verlässliche” Geschäftspartner gelten und nach Zahlung des Lösegelds die Daten der Opfer wieder entschlüsseln. Doch leider ist das immer weniger der Fall.

Wannacry: Keine Entschlüsselung trotz Lösegeld

Auf die Entschlüsselungs-Versprechen der Cyberkriminellen hinter der Ransomware Wannacry konnten sich Betroffene beispielsweise nicht verlassen. Sicherheitsforscher berichteten von vielen Fällen, in denen die Opfer trotz Bitcoin-Zahlung keinen Entschlüsselungs-Key für ihre Daten erhalten hatten. Möglicherweise liegt die Ursache dafür nicht in der „bösen“ Absicht der Cyberkriminellen, sondern schlicht an einem Programmierfehler in der ersten Version des Erpressungs-Trojaners. Der zwingt die Kriminellen, jeden infizierten Computer manuell zu entschlüsseln. Bei der geschätzten Zahl von weit über hunderttausend infizierten Geräten ein schwieriges Unterfangen, das von den Kriminellen aller Voraussicht nach nicht zu stemmen ist.

Die finanziellen Erwartungen der Macher von Wannacry hat die Ransomware wohl verfehlt – trotz des globalen Ausmaßes der Infektionen und des Medienechos. Die Erpresser gaben auf dem Sperrbildschirm den Opfern eine Woche Zeit, das Lösegeld zu zahlen. Am Tag des Fristablaufs erhielten die Betroffenen einen ungewöhnlichen Appell, doch bitte zu zahlen. Man könne garantieren, dass jeder ehrliche Lösegeldzahler einen Entschlüsselungs-Key erhalten würde.

Letztendlich zeigt jedoch der Fall Wannacry , dass die Botschaft, niemals Lösegeld an Kriminelle zu zahlen, sich nach und nach bei den Menschen durchsetzt.

Manche Geduldige wurden belohnt: Am Tag nach dem Appell haben IT-Security-Experten einen Decryptor veröffentlicht, der die Zahlung unter bestimmten Voraussetzungen obsolet macht – beispielsweise durfte das Gerät nach der Infektion nicht neu gestartet werden. Es bleibt zu hoffen, dass nun auch der letzte Internetnutzer und vor allem die Unternehmen verstanden haben, wie wichtig zeitnahe Updates und der Einsatz von weiterhin mit Sicherheitsupdates versorgten Betriebssystemen ist.

Antiviren-Industrie häufig überfordert

Das Geschäftskonzept „Erpressungs-Trojaner“ ist damit wohl leider noch lange nicht überstanden. Die Einnahmen der Cyberkriminellen waren in der Vergangenheit sehr hoch. Das Unternehmen PhishMe hat die Summe des erpressten Schutzgelds durch Ransomware-Infektionen im Jahr 2016 mit einer Milliarde US-Dollar beziffert.

Manche Menschen bezahlen beispielsweise, weil sie die Höhe des geforderten Lösegelds akzeptabel finden. Der in Deutschland durchschnittlich gezahlte Betrag von 211 Euro steht oft in keiner Relation zu möglichen wirtschaftlichen Schäden, die vom Datenverlust bis zum vollständigen Stillstand des Produktionsablaufs reichen können. Manche Privatpersonen sind ebenfalls bereit, für die eigene Musik-, Film- oder Fotosammlung eine Summe dieser Größenordnung zu bezahlen. Es sind inzwischen sogar Fälle bekannt geworden, bei denen eine Behörde entgegen der klaren Empfehlung der Polizei ein Lösegeld gezahlt hat.

Lesetipp: Schutz vor Ransomware einfacher als gedacht

Ransomware-Scam schädigt Rechner unabhängig vom Lösegeld

Damit das künftig immer weniger passiert, arbeiten Security-Experten, die Polizei und Strafverfolgungsbehörden wie das BKA daran, alle Menschen davon zu überzeugen, trotz der Erpressungsversuche kein Lösegeld zu zahlen. Der stetige Geldfluss ist Cyberkriminellen ein Anreiz, das lukrative Geschäft weiter auszubauen und sogar zu optimieren. Unterstützung erhalten diese Stellen von unerwarteter Seite, denn das lange gut funktionierende Business der kriminellen Ransomware-Autoren hat Konkurrenz bekommen durch Trittbrettfahrer aus den eigenen Reihen.

Trittbrettfahrer ruinieren die hart erarbeitete “Reputation” der Erpresser

In den letzten Monaten verbreitete sich vermehrt eine neue Generation der Schadsoftware. Sie bedient sich weiterhin typischer Elemente von Ransomware: Unterbinden des Zugriffs auf die eigenen Daten, ein Countdown, um die Opfer unter Druck zu setzen und das Versprechen, die verschlüsselten Daten nach Bezahlung wieder freizugeben.

Das Ganze kommt jedoch mit einem wesentlichen Unterschied daher, denn diese Art der Ransomware verschlüsselt die Daten nicht mehr. Es handelt sich um Ransomware-Scam, also Betrug: Es sind klassische Viren oder Würmer, die allein darauf ausgerichtet sind, Daten und Backups zu löschen, das Computersystem des Opfers unbrauchbar zu machen und somit irreversiblen Schaden anzurichten. Wo nichts verschlüsselt wird, sondern pure Zerstörung im Vordergrund steht, bietet die Zahlung von Lösegeld keine Abhilfe mehr, auch wenn dies den Opfern weiterhin suggeriert wird.

Zahlen führt nicht mehr zum Entschlüsseln der eigenen Daten

Die neuen Akteure nutzen dabei den hart erarbeiten „Ruf“ der bekannten Cyberkriminellen zu ihren Gunsten aus. Dieses Verhalten ruiniert mittelfristig das „Vertrauen“ in die Betreiber „klassischer“ Erpressungs-Trojaner von Locky, Keranger oder Petya, bei denen die meisten Opfer fest damit rechnen konnten, dass sie nach Zahlung von Lösegeld wieder Zugriff auf ihre Daten und ihr System erhalten.

Es wird noch einige Zeit vergehen, in der einige Opfer von Ransomware Lösegeld zahlen, auch an die Betreiber von Ransomware-Scam. Doch immer mehr Opfer werden feststellen, dass das Zahlen von Lösegeld nicht mehr zum Entschlüsseln der eigenen Daten führt.

Langfristig bleibt die Hoffnung, dass das Auftauchen von Ransomware-Scam dazu führt, dass die Bereitschaft, Erpressungsgelder an Cyberkriminelle zu zahlen, bald ganz verschwindet. Damit hätte selbst der Ransomware-Scam einen positiven Nebeneffekt.

vgwort

Peter Meyer verfügt über langjährige Erfahrung in der IT-Security-Branche und leitet beim Eco–Verband der Internetwirtschaft e.V. die Cyber Security Services (Botfrei, Initiative-S & Siwecos).