!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> Erpressung durch Trojaner, Festplatte gesperrt

gegen Trickdiebe und Trickbetrüger

Erpressungs-Trojaner sperrt Computer/Smartphones

Allein für das Jahr 2014 registrierte das Bundeskriminalamt lediglich 545 Fälle von digitaler Erpressung unter Einsatz so genannter Ransomware, von der weltweit unterschiedlichste Versionen im Umlauf sind (Vorjahr: 6.754 Fälle!) (Quelle: Bundeslagebild Cybercrime des BKA 2014)

Beim sog. BKA-Trojaner Hier wird dem Nutzer des mit der Schadsoftware infizierten Computers mittels einer eingeblendeten Meldung z.B. mit Kopf Bundeskriminalamts, suggeriert, dass der Computer im Zusammenhang mit verschiedenen strafbaren Handlungen in Erscheinung getreten und daher gesperrt worden sei. Die Meldung informiert den Geschädigten weiterhin über die Möglichkeit einer Entsperrung des Computers nach Zahlung von 100 Euro. Dabei wird dem Geschädigten in der Regel die Möglichkeit der Bezahlung über digitale Zahlungsdienstleister angeboten, wodurch ein anonymer Geldtransfer vom Opfer zum Täter erfolgt. Mittlerweile sind weltweit mindestens 25 Staaten von diesem Phänomen betroffen. Andere Trojaner fordern Bezahlung in Bitcoins oder iTunes-Geschenkgutscheinen.

Was tun?

Deutsche Behörden raten davon ab, auf Lösegeld­forderungen einzugehen. In vielen Fällen würden die Dateien oder Programme auch nach Bezahlen der geforderten Geldsumme nicht entschlüsselt, warnt das Bundes­amt für Sicherheit in der Informations­technik BSI. Die Polizei rät, den Bild­schirm mit der Erpressungs­nach­richt zu fotografieren und Anzeige zu erstatten. Die Daten kommen so freilich nicht zurück. IT-Experten bescheinigen den Angreifern hohe Professionalität. Die Verschlüsselung kann jeden treffen (Quelle: www.test.de v. 01.04.16, Test Sicherheitssoftware in Zeitschrift test Heft 4/2016)

Erpressungstrojaner auf Smart TV

Die Entwickler von Android Ransomware haben es nun auf Smart TVs abgesehen. Malware "FLocker" prüft, ob ob die Geräte in folgenden osteuropüäischen Ländern stehen: Armenien, Aserbaidschan, Bulgarien, Georgien, Kasachstan, der Ukraine, Ungarn, Russland. Ist dies der Fall, schaltet sich der Trojaner ab. In allen anderen Ländern versucht der Trojaner, eine App zu installieren, die Kontakt zu einem Kontroll-Server hält. FLocker bittet dazu um die Erlaubnis des Nutzers. Wird diese nicht erteilt, blockiert der Trojaner den Bildschirm. Bei einem Malwarebefall, sollte der Hersteller kontaktiert werden. Weitere Informationen bei www. blog.trendmicro.com v. 13.06.16

nach oben

Ransomware: Entschlüsselungen verfügbar

Computernutzer, deren Daten von der Schadsoftware TeslaCrypt verschlüsselt wurden, haben Grund zum Aufatmen. Es gibt es nun einen Masterschlüssel, um die Daten kostenfrei zu dechiffrieren, das berichtet unter anderem golem.de [http://www.golem.de/news/ransomware-teslacrypt-macher-sagen-sorry-und-veroeffentlichen-masterkey-1605-120984.html]. Damit können jetzt auch die Versionen 3.0 oder 4.0 der Ransomware entschlüsselt werden, was mit dem TeslaDecoder zuvor nur für Version 2 des Kryptotrojaners möglich war.

Auch der Erpressungstrojaner Jigsaw, der in jüngster Vergangenheit unter dem Namen CryptoHitman sein Unwesen trieb, konnte von einem Sicherheitsforscher dechiffriert werden, wie heise.de [http://www.heise.de/security/meldung/Erpressungs-Trojaner-Jigsaw-mutiert-zu-CryptoHitman-und-ist-geknackt-3208807.html] berichtet. Mit dem kostenlosen Werkzeug JigsawDecrypter sind Anwender in der Lage, ihre verschlüsselten Verzeichnisse oder die komplette Festplatte zu dechiffrieren. Allerdings empfehlen die Experten aus Sicherheitsgründen, nicht die Funktion „Delete Encrypted Files“ zu verwenden, falls die Entschlüsselung nicht einwandfrei funktioniert.

Wie heise.de in einem weiteren Beitrag [http://www.heise.de/security/meldung/Kaspersky-treibt-Katz-und-Maus-Spiel-mit-Erpressungs-Trojaner-CryptXXX-3208810.html] schreibt, lässt sich zudem auch CyptXXX wieder entschlüsseln. Demnach hat die Firma Kaspersky ein kostenfreies Tool entwickelt, das die Ransomware knacken kann: den RannohDecrypter. Trotz dieser jüngsten Erfolge bei der Entschlüsselung sollten Nutzer auch weiterhin vorsichtig sein und regelmäßig Backups ihrer wichtigen Daten durchführen.

Quelle: Newsletter www. buerger-cert.de v. v. 30.05.16

nach oben

Ransomware, die Dateien verschlüsselt

TeslaCrypt 4, Surprise, Petya, Zcryptor

Microsoft warnt vor einem neuen Erpressungstrojaner. Zcryptor verhält sich ähnlich wie andere Ransomware, kopiert sich darüber hinaus aber auch auf USB-Laufwerke und USB-Sticks, die an den Rechner angeschlossen sind. Da er sich in die Autostart-Datei der Laufwerke einklinkt, ist es Zcryptor auch auf diesem Weg möglich, sich wie ein Wurm von Rechner zu Rechner zu verbreiten. Meist infizieren sich Nutzer, wenn sie den Schädling aus dem Internet herunterladen, beispielsweise im Zusammenhang mit einer Phishing-Mail. Manchmal nutzt die Ransomware auch bösartige Makros in einem Office-Dokument, um sich zu verstecken. Zcryptor nutzt zudem gefälschte Adobe-Flash-Installationsprogramme. Auf der Webseite des Bundesamtes für Sicherheit sind Informationen zu Ransomware und zu Schutzmaßnahmen [https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/TrojanischePferde/trojaner.html] für Sie zusammengestellt.

Quelle: Newsletter www. buerger-cert.de v. v. 09.06.16

Sicherheitsexperten vor der vierten Version der Ransomware TeslaCrypt, die auch Dateien mit mehr als vier Gigabyte korrekt verschlüsselt. Da der Trojaner keine Namenszusätze mehr an verschlüsselte Dateien anhängt, ist es für Geschädigte schwerer zu verstehen, was mit ihren Dateien passiert. Zudem ist es dem Trojaner möglich, mehr Informationen über den betroffenen Computer auszulesen und daraus einen individuellen Schlüssel zu erstellen. Eine Entschlüsselung ist derzeit nicht möglich.

Blog [https://blog.botfrei.de/2016/03/surprise-ransomware-per-teamviewer/] berichtet zudem von einer weiteren Ransomware, bei der Dateien durch ferngesteuertes Ausführen einer schadhaften Datei – suprise.exe) – verschlüsselt werden. Dabei nutzen die Kriminellen gestohlene Accounts von TeamViewer, einer Software-Lösung für Fernwartung und Online-Meetings.

Mit dem Petya wurde ein weiterer Expressungs-Trojaner entdeckt, der nicht nur bestimmte Datei-Typen verschlüsselt, sondern den gesamten Rechner blockiert, denn installierte Betriebssysteme lassen sich nicht mehr ausführen. Der Trojaner hat es laut PC-Magazin [http://www.pc-magazin.de/news/petya-ransomware-trojaner-dropbox-mbr-festplatte-3195943.html] auf Windows-Rechner abgesehen und wird via Dropbox verteilt. Wie in der jüngsten Meldung auf heise.de [http://www.heise.de/security/meldung/Petya-Den-Erpressungs-Trojaner-stoppen-bevor-er-die-Festplatten-verschluesselt-3153388.html] zu lesen ist, besteht noch eine Möglichkeit, die Daten nach der ersten Phase der Infektion zu retten, denn der Erpressungstrojaner verschlüsselt die Systeme in zwei Phasen. Daher soll es erst nach einem Neustart des Systems nicht mehr möglich sein, Daten zu retten. Außerdem zerstört Petya die zum Booten notwendigen Informationen auf Systemen, die er nicht verschlüsseln kann.

Quelle: Newsletter www. buerger-cert.de v. v. 31.03.16

Das LKA Schleswig-Holstein registriert in den letzten Wochen einen signifikanten Anstieg der Fallzahlen mit Verschlüsselungstrojanern. Einfache Sperrbildschirme auf Computern und Smartphones waren gestern. Heute verschlüsseln Cyberkriminelle die Dateien ihrer Opfer und fordern ein Lösegeld für die Entschlüsselung. Die Erpressernachricht wird den Opfern in der Regel direkt auf dem Bildschirm oder in Form einer entsprechenden Textdatei präsentiert.

Auch wenn es immer mal wieder gelingt, in einzelnen Fällen Dekryptier-Programme zu entwerfen, sind viele Verschlüsselungstrojaner heute derart hochwertig programmiert, dass die einmal kodierten Daten verloren scheinen. Trotzdem rät z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon ab, das geforderte Lösegeld zu zahlen. Die Erfahrungen des Landeskriminalamtes Schleswig-Holstein zeigen, dass die von den Ganoven versprochene Entschlüsselung oftmals trotz einer Lösegeldzahlung ausbleibt.

Schützen kann man sich vor derartigen Vorfällen am besten dadurch, dass die Schadsoftware erst gar nicht auf den eigenen Rechner gelangt. Regelmäßige Updates des Betriebssystems, des Webbrowsers und sämtlicher genutzter Software verhindern in Verbindung mit einer aktuellen Antivirensoftware, dass der Computerschädling auf den PC geschleust werden kann. Ansonsten kann eine Infektion allein schon durch den Besuch einer entsprechend präparierten Webseite ausgelöst werden.

Cyberkriminelle versuchen auch, ihre Schadsoftware per E-Mail mit Dateianhang oder Verlinkung zu verteilen. Derzeit fügen sie ihren E-Mails sehr gerne z. B. eine Word-Datei bei, die eine Makro-Funktion beinhaltet, welche dann für die eigentliche Infektion sorgt. Klug beraten ist, wer bei E-Mails und insbesondere den Dateianhängen bzw. Links größte Vorsicht walten lässt.

Wirkungsvolle Prävention ist natürlich auch durch das Vorhalten von Backups möglich. Ist das Kind doch einmal in den Brunnen gefallen, können die verlorenen Daten darüber wiederhergestellt werden. Moderne Verschlüsselungstrojaner sind allerdings mittlerweile in der Lage, auch die Daten in angeschlossenen Netzlaufwerken und auf externen Festplatten gleich mit zu verschlüsseln. Ein Backup, das z. B. auf einer solchen externen, aber weiterhin angeschlossenen Festplatte abgelegt wird, wäre dadurch ebenfalls verloren und somit wertlos. Daher ist es wichtig, Backups auf Speichermedien abzulegen, die nicht dauerhaft mit dem möglicherweise betroffenen PC verbunden sind.

Welche verheerende Wirkung heutige Verschlüsselungstrojaner haben können, zeichnet sich seit dem 11.02.2016 in Nordrhein-Westfalen ab: Schadsoftware sorgte dafür, dass der Betrieb in mehreren Klinken stark in Mitleidenschaft gezogen wurde. Besondere Brisanz erhält dieser Vorfall dadurch, dass hier erstmals Krankenhäuser angegriffen wurden, die zu den sogenannten "kritischen Infrastrukturen" zu zählen sind.

Quelle: Landeskriminalamt Schleswig-Holstein v.17.02.16

Wie www.heise.de am 23.03.16 berichtete, soll die Ransomware Surprise Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts. Ein anderer Trojaner wird über Dropbox verteilt.

nach oben

Erpressungstrojaner als JavaScript-Anwendung

Wie heise [http://www.heise.de/security/meldung/Erste-Sichtung-Erpressungstrojaner-Ransom32-aufgrund-JavaScript-noch-bedrohlicher-3060409.html] berichtet, ist mit Ransom32 ein Erpressungstrojaner aufgetaucht, der sich als erster Schädling seiner Art als JavaScript-Anwendung auf Rechnern einschleicht. Das haben die Kryptologen von BleepingComputer und Emsisoft herausgefunden. Zwar seien bislang nur Windowsrechner von den Attacken betroffen, für die Cyber-Kriminellen sei es aber einfach möglich, die Schadsoftware auch für Linux oder OS X zu entwickeln. Das große Problem: Viele Antivirenprogramme schätzen diese Software bislang noch nicht als bösartig ein. Um sich vor Datenverlust zu schützen, sollten Sie regelmäßig eine Datensicherung [https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Datensicherung/Sicherungsmethoden/sicherungsmethoden_node.html] auf externen Datenträgern vornehmen. Bei E-Mails von unbekannten Absendern sollten Sie Anhänge nicht öffnen und keine Links anklicken. Auf keinen Fall sollten Sie den Lösegeldforderungen nachkommen, falls Sie durch Ransomware geschädigt sind, sondern umgehend Anzeige in Ihrer örtlichen Polizeidienststelle erstatten

Quelle: Newsletter www.buerger-cert.de v. 07.01.16

nach oben

Betrüger antworten auf Stellenanzeigen, Chimera Ransomware

Im Laufe der vergangenen Wochen haben sich mehrere Unternehmen bei der Polizei gemeldet, die Opfer von Cyberkriminellen geworden waren. Alle Firmen hatten Stellenanzeigen geschaltet, auf welche sich die Täter per E-Mail meldeten. Beim Anklicken eines Dateianhanges mit den angeblichen Bewerbungsunterlagen installierte sich die Schadsoftware „Chimera“ und sperrte den Bildschirm. Die Polizei warnt deshalb vor dem Öffnen von E-Mail Anhängen oder Internetlinks unbekannten Ursprungs.

In der letzten Oktoberwoche ging bei der Unterfränkischen Polizei unter anderem die Anzeige eines Würzburger Einkaufsmarktes, einer Gas-Wasser-Installationsfirma aus dem Landkreis Main-Spessart und eines Friseursalons im Raum Kitzingen ein. Alle hatten im Internet Stellenausschreibungen veröffentlicht und die E-Mail eines vermeintlichen Bewerbers erhalten. Dieser schildert darin sein Interesse an einer Beschäftigung und verweist hinsichtlich seiner detaillieren Bewerbungsunterlagen auf einen Link in der E-Mail.

Durch das Anklicken dieses Links gelangte die Firma jedoch nicht zu den angekündigten Bewerbungsunterlagen. Vielmehr wurde eine Schadstoffsoftware (sogenannte „Chimera Ransomware“) heruntergeladen und auf dem Rechner installiert. Für den Nutzer hatte dies ganz konkret zur Folge, dass sein Bildschirm durch eine Einblendung blockiert wurde. Um diese wieder rückgängig zu machen bzw. die Entschlüsselungssoftware zu erhalten, sollte er einen gewissen Betrag der virtuellen Währung „Bitcoin“ überweisen. Außerdem wurde auch gedroht, dass bei Nichtbezahlen sämtliche Daten im Internet veröffentlicht werden.

Die strafrechtlichen Ermittlungen in allen drei Fällen laufen wegen des Verdachts der versuchten Erpressung und der Computersabotage. Um sich vor den Cyberkriminellen zu schützen, raten die Spezialisten, regelmäßige Datensicherungen vorzunehmen. Keinesfalls sollten Dateianhänge oder Internetlinks an bzw. in E-Mails eines unbekannten Absenders geöffnet werden. Ganz besonders gilt dies für .exe-Dateien. Weiterhin sollte von den entsprechenden Firmen Anzeige bei der nächsten Polizei erstattet und die E-Mail übergeben werden.

Zur Illustration folgendes anonymisiertes Originalbeispiel einer solchen E-Mail:

-------------------- Beginn -------------------------------
„Betreff: Bewerbung als ….
Sehr geehrte Damen und Herren,

Quelle: Newsletter www.buerger-cert.de v. 16.10.14

nach oben

Durch meine mehr als 5-jährige Berufserfahrung als …. und die kontinuierliche, selbständige Weiterbildung bin ich davon überzeugt, die mit der herausfordernden Stelle als ….. verbundenen Anforderungen zu Ihrer Zufriedenheit erfüllen zu können. Daher bewerbe ich mich hiermit gerne bei Ihrem Unternehmen.

Mittlerweile arbeite ich seit mehr als fünf Jahren als …… . Bereits während meiner Ausbildung hatte ich die Möglichkeit, Tätigkeiten die geforderten Tätigkeiten kennenzulernen.

Eine hohe Einsatzbereitschaft sowie sorgfältiges aber effektives Arbeiten ist für mich die Grundlage, um die dort gesteckten Unternehmensziele zu erreichen.

Mein Ziel ist es,die angeeigneten Fähigkeiten gewinnbringend in Ihrem Unternehmen einzusetzen und mich dabei selbst kontinuierlich weiterzuentwickeln, um stets ein leistungsfähiger Mitarbeiter in Ihrem Unternehmen zu sein.

Gerne überzeuge ich Sie bei einem persönlichen Vorstellungsgespräch von meinen Fähigkeiten.

Mit freundlichem Gruß
(Vorname Nachname)

Anhang
Bewerbungsunterlagen und Zertifikate
https://www.......
Ich konnte die Unterlagen nicht anhängen, dennoch müssen Sie sich nicht extra anmelden um die Bewerbung anzusehen, Entschuldign Sie bitte die Unannehmlichkeiten!“
---------------------------------- Ende

Quelle: Polizeipresse Bayern v. 03.11.14

nach oben

Android Virenschutz mit EUROPOL-Sperrbildschirm

Android Virenschutz mit EUROPOL-Sperrbildschirm

Nach erfolgter Installation öffnete sich ein Sperrbildschirm mit einer falschen Meldung des EUROPOL - EUROPEAN CYBERCRIME CENTER. Um einer möglichen Strafverfolgung zu entgehen und das Handy wieder zu entsperren, sollte eine „Freischaltgebühr“ mittels Ukash oder Paysafe Card bezahlt werden. Dies führt jedoch in der Regel nicht zu einer Entsperrung des Gerätes.

Quelle: Polizeipresse Bayern v. 13.08.14

nach oben

Erpressungstrojaner auf Smartphone

Beim BSI gehen zur Zeit viele Anfragen ein, die einen Trojaner betreffen, der Smartphones unter Android sperrt. Es solle ein Geldbetrag, zumeist 100 Euro, überwiesen werden, um die Sperre aufzuheben, was sich jedoch nicht nur als teuer, sondern auch als nutzlos erweist. Die Schadsoftware gibt an, im Sinne der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) oder einer Behörde zu handeln. Auch das BSI wird in diesem Zusammenhang genannt. Selbstverständlich ist weder die GVU noch eine Behörde Urheberin der Schadsoftware. Das BSI empfiehlt, den geforderten Betrag auf keinen Fall zu zahlen und gegebenenfalls bei der Polizei Anzeige zu erstatten. Im Netz finden Sie Anleitungen, wie Sie den Trojaner entfernen – zum Beispiel aufChip.de [http://www.chip.de/news/BKA-Trojaner-fuer-Android-Erpresser-fuers-Smartphone_69617862.html].

Quelle: Newsletter www.buerger-cert.de v. 16.10.14

nach oben

Android-Trojaner verschlüsselt Festplatte Dieser Trojaner scannt die SD-Karte nach bestimmten Dateitypen und verschlüsselt sie. Dann verlangt er ein Lösegeld. "The device is locked for viewing and distribution child pornography , zoophilia and other perversions. To unlock you need to pay 260 UAH."

Die Benachrichtigung über die Sperrung erfolgt zur Zeit nur auf russisch. Es gibt keine Garantie, dass die Dateien nach Zahlung tatsächlich entschlüsselt werden.

Quelle: www.welivesecurity.com v. 04.06.14

nach oben

"Attention, your phone has been blocked up for safety reasons listet below"

Verteilt wird die Malware in der Regel über kompromittierte Webseiten und über alternative App-Stores. Desweiteren wird gerne die Verteilung über E-Mail und SMS-Nachrichten genutzt, mit eingebetteten Links und komprimierten Anhängen, wird der Anwender auf mit Schadcode infizierte Internetseiten geführt, oder ein Installation eines Schadprogrammes gestartet. Weiterhin wird der Anwender über die Verschlüsselung seiner Dateien informiert und zur Lösegeldzahlung von 300$ über Prepaid-Karte oder MoneyPak aufgefordert.
Weitere Informationen und wie man den Schädling loswird bei http://blog.botfrei.de

Man geht davon aus, dass die meisten Bedrohungen auf Android-Geräten vom Nutzer selbst ausgeführt wurden!

Quelle: http://blog.botfrei.de v. 06.05.14.14

nach oben

500 € in Bitcoins gefordert

Ein Trojaner infiziert Windows-Systeme, verschlüsselt Dateien, die erst nach Zahlung eines Lösegelds von 500 Euro wieder freigegeben werden sollen. Die sind via Tor in Bitcoins zu entrichten. Weitere Informationen dazu bei www.heise.de

Quelle: www.heise.de v. 30.04.14