Dieses Werk einschließlich aller Inhalte ist urheberrechtlich geschützt. Alle Rechte vorbehalten, auch die der Übersetzung, der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien.

Bei der Erstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem sind Fehler nicht völlig auszuschließen. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Anregungen und Hinweise auf Fehler sind Verlag und Autor aber dankbar.

Die Informationen in diesem Werk werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Nahezu alle Hard- und Softwarebezeichnungen sowie weitere Namen und sonstige Angaben, die in diesem Buch wiedergegeben werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ®-Symbol in diesem Buch nicht verwendet.

www.gEdition.de

info@gieseke-buch.de

Hinweise für eBook-Leser

Einige Hinweise, mit denen Sie dieses elektronische Buch optimal nutzen können:

Bilder betrachten

Um den Lesefluss nicht zu stören, werden Abbildungen teilweise verkleinert angezeigt. Ihr eBook-Reader bietet Ihnen die Möglichkeit, Bilder auszuwählen, um sie in voller Größe darzustellen bzw. sogar mit einer Zoomfunktion zu vergrößern, um alle Details zu erkennen.

Interaktive Verweise nutzen

Elektronische Texte bieten die Möglichkeit, verschiedene Textstellen interaktiv miteinander zu verknüpfen. Diese verwende ich, wenn ich in einem Abschnitt auf eine andere Stelle im Buch mit weiterführenden Informationen verweise. Solche Verweise können Sie je nach eBook-Reader einfach antippen oder per Taste auswählen und so zu der verknüpften Stelle gelangen. Mit der „Zurück“-Funktion des eBook-Readers finden Sie anschließend schnell wieder zum Ausgangspunkt zurück. So sind unter anderem Inhaltsverzeichnis und am Anfang und das Stichwortverzeichnis am Ende interaktiv angelegt, so dass Sie von dort aus direkt zu den verschiedenen Abschnitten springen können. Verweise im Text sind in der Regel mit einem vorangestellten -> als solche gekennzeichnet.

Aktuelle Internetlinks

Die im Text enthaltenen Links zu Webseiten und Downloads waren bei Veröffentlichung aktuell, was sich aber in Einzelfällen irgendwann mal ändern kann. Unter gEdition.de finden Sie auf der Detailseite zu diesem Buch eine regelmäßig aktualisierte Liste aller Links.

Inhalt

(Verwenden Sie die Einträge, um direkt zu den jeweiligen Themen zu gelangen)

Vorwort

Das 1x1 der Erpressungs-Trojaner

Wie kommen Erpressungs-Trojaner auf den PC?

Wie funktionieren Erpressungs-Trojaner?

Welche Möglichkeiten hat man im Ernstfall?

Wer steckt dahinter?

Im Ernstfall richtig reagieren

Sofortmaßnahmen

Den Übeltäter sicher identifizieren

Den Schädling recherchieren

Den Schädling loswerden

Die Dateiverschlüsselung aufheben

Schützen und Vorbeugen

Infektionen vermeiden

Spezialtools gegen Trojaner

Solide Backup-Strategie gegen Datei-Erpresser

Duplicati: Backups definieren und jederzeit ausführen

Einen Sicherungsauftrag definieren

Dateien aus einer Sicherung wiederherstellen

Backup beim Anschließen eines USB-Mediums starten

Sicherungen auf einem NAS speichern

Zum Schluss…

Eine Bitte in eigener Sache

Stichwortverzeichnis

Vorwort

Erpressungs-Trojaner sind eine ernstzunehmende Gefahr für Windows-PCs und entwickeln sich zu einer wahren Plage. Ein unachtsamer Dateidownload oder auch nur der Besuch auf einer obskuren Webseite und schnell ist ein Schaden entstanden, der sich nicht mal eben so beseitigen lässt. Einmal aktiv, verschlüsseln Erpressungs-Trojaner alle Dokumente, Bilder, Musikstücke, Videos und sonstige Dateien, derer sie habhaft werden können. Ein Zugriff ist für den Benutzer dann nicht mehr möglich, der Inhalt verloren.

Es sei denn, man lässt sich auf die Erpressung ein und zahlt beispielsweise durch Transfer von Bitcoins auf verschlungenen, nicht-nachvollziehbaren Wegen die geforderte Summe. Mit etwas Glück erhält man daraufhin das Passwort, mit dem man die Dateien wieder entschlüsseln kann. Eine Garantie dafür gibt es aber nicht – ebenso kann man bezahlen und anschließend weiter in die Röhre schauen.

Es gibt mittlerweile ein ganzes Arsenal solcher Erpressungs-Trojaner in freier Wildbahn und es kommen ständig neue Varianten hinzu. Manche enthalten Schwachstellen, so dass sich ihre schädliche Wirkung rückgängig machen lässt. Bei anderen hingegen sind bislang keine Gegenmittel bekannt. Deshalb ist es wichtig, sich im Ernstfall darüber klar zu werden, mit welchem Schädling man es zu tun hat und welche Optionen zur Verfügung stehen. Darüber können Sie alles in diesem Ratgeber lesen.

Am Besten aber lässt man es gar nicht erst soweit kommen. Der zweite große Schwerpunkt dieses Buchs sind deshalb Schutz und Vorsorge. Neben Abwehrmaßnahmen gegen Viren gehört dazu vor allem ein effizientes und wirkungsvolles Backup-System, durch das Sie im Falle eines Falles keine dramatischen Datenverluste zu befürchten brauchen.

Bei einem so dynamischen Thema wie Erpressungs-Trojanern gibt es ständig aktuelle Entwicklungen und neue Erkenntnisse sowie Tools und Tipps. Bitte betrachten Sie deshalb meinen Blog unter gieseke-buch.de als Online-Erweiterung dieses Buchs, wo Sie stets aktuelle Informationen rund um das Thema finden und Fragen stellen oder Anmerkungen loswerden können.

Wolfram Gieseke

Das 1x1 der Erpressungs-Trojaner

Durch Erpressungs-Trojanern hat der Angriff mit Schadsoftware auf PCs eine neue Qualität erreicht. Bislang stand bei Computerviren und Trojaner vor allem die eigene Ausbreitung im Fokus, vielleicht noch das Kontrollieren des PCs zwecks Eingliederung in ein Botnetz für finstere Zwecke. Datenverluste waren dabei eher Kollateralschäden, teils billigend in Kauf genommen, teils durch Unachtsamkeit der Schadsoftware-Entwickler bedingt. Beim Erpressungs-Trojaner aber stehen die Daten des Benutzers ganz eindeutig im Fokus. Der Zugriff darauf sollen verhindert und erst nach Zahlung eines „Lösegeldes“ wieder freigegeben werden.

Wie kommen Erpressungs-Trojaner auf den PC?

Die Einfallswege von Erpressungs-Trojanern gleichen denen von anderen Schädlingen, wobei die verschiedenen Varianten sich bei den Infektionswegen unterscheiden bzw. gerne auch mehrere Wege gleichzeitig gehen.

Besonders häufig werden Erpressungs-Trojaner per E-Mail als Dateianhang verschickt. Die Mails werden dabei immer ausgefeilter und ahmen beinahe perfekt Telefonrechnungen, Bestellbestätigungen bei Online-Händlern oder wichtige Nachrichten von Finanzdienstleistern nach. So werden die Empfänger in Versuchung geführt, die angehängten Dateien ohne langes Nachdenken zu öffnen.

Ebenfalls beliebt sind Cloud-Dienste wie Dropbox, OneDrive oder Google Drive. Per E-Mail werden Links auf entsprechende Downloads verschickt, wobei dem Empfänger der Download auf verschiedene Arten schmackhaft gemacht wird.

Ein anderer Einfallsweg ist der Webbrowser, wo Sicherheitslücken im Browser oder in Addons genutzt werden, um Programme herunterzuladen. Auch hier muss der Benutzer aber meist noch mit einem Trick dazu gebracht werden, das Ausführen zu veranlassen.

Auch der Remote Desktop kann zum Infizieren eines PCs genutzt werden. Teilweise werden Server mit den Remote-Zugangsdaten von anderen Rechnern gehackt und diese dann infiziert. Teilweise werden Benutzer durch Tricks dazu gebracht, den Angreifer selbst zu einer Remote-Sitzung auf dem eigenen PC einzuladen.

Und schließlich wird auch der simpelste Weg verwendet, Trojaner im Download von regulären, beliebten Programmen zu verstecken. Lädt der Benutzer diese herunter, bekommt er stattdessen oder zusätzlich den Trojaner installiert.

Wie funktionieren Erpressungs-Trojaner?

Einmal installiert und aktiv, beginnt ein Erpressungs-Trojaner, Dateien auf dem PC zu verschlüsseln. Dabei kommen verschiedene Verfahren zum Einsatz, die allesamt gemeinsam haben, dass die verschlüsselten Dateien nicht geknackt werden können. Zumindest wenn der Entwickler keinen Fehler gemacht hat, was aber gelegentlich vorkommt. Gleichzeitig werden die Dateien mit einer zusätzlichen, einheitlichen Endung versehen. Das dient nur dazu, die verschlüsselten Dateien später einfach aufspüren und mit dem (ggf. gekauften Schlüssel) wieder entschlüsseln zu können. Dabei wird der ursprüngliche Inhalt wieder hergestellt und die zusätzliche Endung entfernt. Alles ist dann also wieder genau wie vor der Verschlüsselung – wenn alles gut läuft.

Kein Erpressungs-Trojaner verschlüsselt wahllos alle Dateien. Das wäre auch kontraproduktiv, denn dann würde der PC sehr schnell nicht mehr funktionieren. Ziel ist es aber, möglichst viele wichtige Dateien zu verschlüsseln, bevor der Benutzer überhaupt merkt, was los ist. Deshalb bemühen sich die Trojaner, ihr Werk zunächst heimlich und unbemerkt zu verrichten. Welche Dateitypen betroffen sind, gehört zu den Unterschieden zwischen den verschiedenen Arten und Varianten von Erpressungs-Trojanern. Generell geht es aber um Dateien, die typischerweise wertvolle Inhalte haben, also

Office-Dateien (Word, Excel, PowerPoint usw.)

Bilder (JPG, PNG, GIF, TIF, usw.)

Musik (MP3, M3U, WAV usw.)

Videos (AVI, MKV, MP4, MOV, DVI, XVID usw.)

Archivdateien (ZIP, RAR usw.)

ausführbare Dateien (EXE, COM, DLL usw.)

und es kommen noch weitere Dateitypen in Frage wie etwa Datenbanken, Backups, Konfigurationsdateien, Mails usw.

Als „Beweis“ ihrer Existenz hinterlassen viele Trojaner in jedem bearbeiteten Ordner eine Textdatei, die eine Aufforderung zum Bezahlen eines Lösegeldes sowie ggf. eine Liste der verschlüsselten Dateien umfasst.

Neben dieser Standardvorgehensweise gibt es auch immer wieder Exoten, die davon abweichen und beispielsweise den Master-Boot-Record der Festplatte manipulieren. Dadurch bootet der Rechner nicht mehr und zeigt stattdessen eine Nachricht des Trojaners auf dem Bildschirm an. Gleichzeitig wird der Inhalt der Festplatte ebenfalls verschlüsselt.

Auch externe Dateien sind gefährdet

Viele Erpressungs-Trojaner greifen nicht nur Dateien direkt auf der Festplatte des PCs an, sondern nehmen alles mit, was sie bekommen können. Das betrifft

weitere im PC verbaute Festplatte

angeschlossene USB-Laufwerke bzw. -Sticks sowie Speicherkarten

Netzlaufwerke auf anderen PCs oder NAS im Netzwerk

direkt ins Dateisystem eingebundene Cloudspeicher wie OneDrive & Co.

Einfach gesagt: Alle Ordner und Dateien, die Sie selbst per Windows Explorer erreichen können, ohne ein Passwort eingeben oder einer Rückfrage der Benutzerkontensteuerung bestätigen zu müssen, sind auch für Erpressungs-Trojaner erreichbar.

Welche Möglichkeiten hat man im Ernstfall?

Hat ein Erpressungs-Trojaner sich eingenistet und sein Werk begonnen, finden sich meist deutliche Hinweise darauf, wie die Urheber sich das Entfernen vorstellen: Der Benutzer muss eine bestimmte Geldsumme bezahlen, wofür in der Regel Bitcoins verwendet werden sollen. Diese digitale Währung hat die entscheidende Eigenschaft, dass damit vollständig anonyme Zahlungen möglich sind. Betroffene Nutzer müssen also beispielsweise einen Bitcoin erwerben und den dazugehörenden Code dann an die angegebene Adresse transferieren. Damit ist das Geld auf Nimmerwiedersehen verschwunden und lässt sich auch in keiner Weise nachverfolgen.

Zahlen

Als Gegenleistung dafür sollte der Benutzer ein Entschlüsselungstool und ein Kennwort erhalten. Damit lassen sich alle verschlüsselten Dateien mehr oder weniger vollautomatisch wiederherstellen. Ob das wirklich klappt, ist jedes Mal ungewiss. Es gibt Berichte von Benutzern, die das Lösegeld gezahlt haben und anschließend alle Informationen bekamen, um ihre Dateien zurückzubekommen. Ebenso gibt es Berichte von Benutzern, die nach Zahlung nichts mehr von den Erpressern gehört haben. Es gab auch schon Fälle, in denen ein Wiederherstellungstool geliefert wurde, das dann aber nicht richtig funktionierte. In einem Fall enthielt ein solches Entschlüsselungsskript einen offensichtlichen Fehler, wodurch die Dateien gelöscht wurden, anstatt entschlüsselt zu werden. Nach einer kleinen Korrektur verrichtete das Programm dann brav seinen Dienst. Offenbar stecken die Trojaner-Urheber also wesentlich mehr Aufwand in ihre Schadsoftware als in die Programme zum Beseitigen des Schadens.

In den USA rät das FBI betroffenen Opfern ganz offiziell dazu, das Lösegeld zu bezahlen. Insofern kann man wohl davon ausgehen, dass man in der Mehrzahl der Fälle die gewünschte Gegenleistung bekommt. Das liegt auch im Interesse der Erpresser, denn wenn sich herumspricht, dass ohnehin keine Entschlüsselung erfolgt, dürfte das die Zahlungsmoral der Opfer eher schwächen. Nichtsdestotrotz empfiehlt in Deutschland das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI), sich nicht auf Zahlungen einzulassen und den Fall unbedingt zur Anzeige zu bringen. Verlässliche Zahlen, in wievielen Fällen das Transferieren eines Lösegeldes zum Erfolg führt, gibt es leider nicht.

Selbst entschlüsseln

Nicht alle Erpressungs-Trojaner sind wasserdicht. Einige sind inkonsequent programmiert oder enthalten – wenn das nicht ironisch ist – Sicherheitslücken. Dadurch ist die verwendete Verschlüsselung kompromittiert und kann rückgängig gemacht werden. In solchen Fällen findet man im Netz Tools, mit denen das Passwort zum Entschlüsseln ermittelt oder die Entschlüsselung direkt vorgenommen werden kann. Deshalb ist es wichtig, den aktiven Erpressungs-Trojaner genau zu kennen und möglichst viele Details dazu zu recherchieren.

Daten aus Backups wiederherstellen

In jedem Fall fein raus ist, wer auf eine intakte, nicht-kompromittierte und möglichst aktuelle Sicherung seiner Daten zurückgreifen kann. Wenn der Trojaner gründlich entfernt oder Windows ggf. zurückgesetzt wurde, kann man auf diese Sicherung zurückgreifen und verliert allenfalls die Arbeit, Daten oder Mails der letzten Tage. Hierfür ist es allerdings erforderlich, eine effektive Backup-Strategie zu verwenden, bei der das Sicherungsmedium vor Angriffen durch den Trojaner geschützt ist. Sonst würde man nur Dateien wiederherstellen, die ihrerseits schon verschlüsselt sind.

Wer steckt dahinter?

Bei Erpressungs-Trojanern geht es ganz schnöde ums Geschäft und man kann schon von einer kleinen Industrie sprechen, die sich darum gebildet hat. Zwar bringt eine einzelne Erpressung nur eine vergleichsweise geringe Summe, aber in der Masse erwirtschaftet die „Branche“ dreistellige Millionenbeträge. Das Ganze geht einher mit einer geradezu beeindruckenden Professionalisierung des Geschäfts. Entwickler bieten maßgeschneiderte Varianten auf Malware-Marktplätzen an. Ein Rundumsorglos-Startpaket ist für wenige hundert Euro zu haben. Der Trojaner ist quasi schlüsselfertig und kann ohne besondere eigene Kenntnisse ganz einfach in Umlauf gebracht werden. Die erzielten Einnahmen werden zwischen Entwickler und Betreiber geteilt. Das ganze läuft so reibungslos und erfolgreich, dass einschlägige Online-Banden, die sich bislang auf eher aufwändige Banking-Trojaner spezialisiert hatte, mittlerweile auf Erpressungs-Trojaner umgeschwenkt sind. Die einzige Herausforderung besteht darin, ständig neue Variante zu entwickeln, um der Antiviren-Software möglichst immer einen Schritt voraus zu sein.

Sie haben die kostenlose Leseprobe beendet. Möchten Sie mehr lesen?

Erpressungs-Trojaner

Andere haben auch gelesen:

Weitere Bücher von diesem Autor