Gekidnappte Rechner: Die Rückkehr der Erpressungs-Software

Von

Scare- und Rogueware sind Schadsoftware, mit der Betrüger versuchen, bei Internetnutzern abzukassieren, indem sie diese erschrecken. Ihre große Zeit hatte diese Masche 2005 bis 2008, doch zurzeit erlebt sie ein Revival: Mit angeblichen Drohbriefen vom BKA und Vollsperrungen von Rechnern.

Angebliche BKA-PC-Sperrung: Erhebliche Beschuldigungen, dummdreiste Forderungen Zur Großansicht

Angebliche BKA-PC-Sperrung: Erhebliche Beschuldigungen, dummdreiste Forderungen

Immer besser, wissen Internet-Sicherheitsexperten zu berichten, seien in den vergangenen Jahren die Designs der Scareware geworden: Im letzten Jahr gab es eine Welle von falschen Virenscannern, obskuren Warnungen im Browserfenster und was Cyber-Kriminelle seit einem Jahrzehnt noch so nutzen, um Web-Nutzern einen Schreck zu verpassen. Spätestens aber, wenn es zur Kasse geht, fallen immer weniger Menschen darauf herein: Die Masche von Scareware-Erpressern beruht darauf, erst einen Schadensfall vorzutäuschen - und dann eine Zahlung zu verlangen, um den Rechner wieder sauber zu bekommen.

In den letzten Jahren liefen solche Zahlungen mit Vorliebe über Services, die eine mehr oder minder anonyme Zahlung erlauben - neben Western Union besonders Ukash. Ansonsten gab es wenig Neues von der Scareware-Front: Die Masche schien sich langsam abzunutzen.

Eigentlich ist das ein alter Hut, wir haben über die gängigsten Maschen der Abzocker immer wieder berichtet und erklärt, wie man sie erkennt und dagegen vorgeht. In den letzten Wochen aber mehren sich wieder die Fälle - und sie sind ernstzunehmen.

Denn Mitte letzten Jahres gab es einen Innovationsschub bei der Abzock-Technik. Statt wie bisher üblich nur Popups mit immer häufiger auftretenden obskuren Virenwarnungen zu zeigen, professionalisierten die Virenautoren ihre "Auftritte": Spätestens seit Ende August 2010 gab es dann auch gefälschte Warnmeldungen, die im jeweils richtigen Browser-Design angezeigt wurden - und somit schwerer als Fälschungen zu erkennen waren.

PornoBlocker: Ganz reale Erpressung mit irrealen Vorwürfen

Anfang 2011 dann kam es international zu einer Scareware-Welle von seit langem nicht mehr gesehener Intensität. Kriminellen war es offenbar gelungen, einer großen Anzahl von Webseiten Schadcode unterzujubeln, um dort Drive-by-Fallen zu installieren: Unter einem Drive-by versteht man die Verseuchung eines Rechners mit Schadsoftware durch bloßen Besuch einer Webseite.

Und zur Verbreitung kam eine neue Variante des seit 2005 bekannten GPCoders, einem der fiesesten Erpressungs-Schadprogramme überhaupt. GPCode kapert einen Rechner auf verschiedenen Wegen, nistet sich in der Windows-Registry ein und droht nicht nur - seine besten Varianten sperren den befallenen Rechner wirklich, indem sie Dateien darauf mit einem kräftigen Algorithmus verschlüsseln. Eine im November 2010 erstmals aufgetretene Variante gilt als die bisher kräftigste überhaupt - und die zieht auch aktuell kräftig ihre Kreise, in mehreren Versionen.

Alternativ zum Drive-by kam es seit Januar 2011 zunächst zu einer Welle von Rechner-Infektionen durch klassische Köder-Dateien: Die Betroffenen luden sich die Schadsoftware selbst auf den Rechner, als sie versuchten, einen vorgeblich pornografischen Videostream anzusehen. Solche Maschen funktionieren deshalb so gut, weil der Übertölperte selbst den Systembefehl zur Installation gibt, indem er auf die - wie auch immer verkleidete - Datei klickt.

Wegen dieser Verbreitungsmasche bekam die neue GPCoder-Variante den Spitznamen PornoBlocker, so wird die Software von einigen Virenscannern erkannt. Sie ging wahrscheinlich von Russland aus. Der russischen Originalversion der Erpressernachricht konnte man entnehmen, dass man angeblich illegale pornografische Inhalte aufgerufen habe. Die Sperrung des Rechners sei durch Zahlung von (meist) 400 Rubel aufzuheben.

Technisch eng verwandt mit dieser Rogueware, wie man betrügerische Erpresser-Software auch nennt, war der in Deutschland seit Ende März verbreitete sogenannte BKA-Trojaner, der aktuell wieder vermehrt aufzutreten scheint.

Ungerechtfertigte, aber keine leere Drohung!

Und der ist ungewöhnlich gut verpackt (siehe Grafik oben): Er kommt als angeblich von namhaften IT-Unternehmen mitentwickelte, von BKA und Bundespolizei verordnete Rechnersperrung daher. Viele Nutzer schockt das ganz gehörig - obwohl die in der gezeigten Sperrwarnung geäußerten Vorwürfe die reinste Realsatire sind.

Denn vorgeworfen wird den Opfern dieser Bauernfängerei nicht weniger als der Aufruf von Webseiten "mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder" sowie das Vorhalten von "Spam mit terroristischen Hintergründen".

Da ist es quasi eine Art Sonderangebot, dass dieses vermeintliche BKA kein Rollkommando losschickt, den Delinquenten nicht direkt an die Amerikaner ausliefern oder lebenslang einbuchten möchte, sondern nur die Zahlung einer Strafe binnen 24 Stunden verlangt. Bei Zuwiderhandlung werde die Festplatte gelöscht. Der Tarif zur Freischaltung des quasi virtuell konfiszierten Beweismittels: 100 Euro per Ukash, einzuzahlen beispielsweise beim freundlichen Tankwart an der Ecke. So einfach ist das. Das Perfide daran: Zumindest das mit der Unbrauchbarmachung des PC, wenn man nicht zahlt, stimmt offenbar.

Der Hinweis darauf, dass deutsche Strafverfolgungsbehörden weder so bescheiden, noch so bescheuert mit Schwerverbrechern umgehen, erübrigt sich. Hier trotzdem der O-Ton aus Wiesbaden: "Weder das Bundeskriminalamt noch die Bundespolizei sind Urheber einer solchen Meldung. In dem vorliegenden Fall handelt es sich um einen Betrugsversuch. Die Polizeien in Deutschland nutzen in keinem Fall Pop-Up-Fenster, in denen zur Zahlung bestimmter Beträge aufgefordert wird."

Reagieren muss man trotzdem, denn die Kriminellen meinen es ernst: Lässt man die Warnfrist einfach verstreichen, droht die Verschlüsselung der Festplatte - eine Wiederherstellbarkeit ihrer Daten gilt dann zumindest als höchst unwahrscheinlich. In der Regel hinterlässt die Schadsoftware also Elektronikschrott, den man nur noch formatieren und neu aufsetzen kann.

Was also kann man tun, wenn es einen erwischt?

Erwischen kann es jeden: Wir haben aktuell davon erfahren, dass das Drive-by derzeit offenbar unter anderem auch über einzelne unlizenzierte Streaming-Webseiten verbreitet wird, die TV-Serien oder Pay-TV-Inhalte wie Fußballübertragungen zeigen.

Abhilfe schaffen so genannte Rescue-CDs, die der einschlägigen PC-Presse in regelmäßigen Abständen als DVD beiliegen: Es kann nie schaden, so etwas im Haus zu haben. Sie beruhen alle auf dem gleichen Prinzip: Die bootfähigen CDs rufen ein abgespecktes Linux-System mit sehr limitierten Funktionen auf, über das dann ein oder mehrere Virenscanner aufgerufen werden. Die aktualisieren sich über das Internet, bevor sie mit der Suche und Eliminierung beginnen.

Erfolgreich getestet haben wir zum einen die letzte von "PC Welt" verbreitete Rescue-DVD mit dem Virenscanner von Bitdefender, zum anderen die von Kaspersky als Brennvorlage-Download angebotene Notfall-CD, die auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt. Die folgenden Links führen zu aktuellen Notfall-CD-Downloads, mit denen man sich selbst eine Rescue-CD erstellen kann:

Kaspersky: Rescue Disk 10 (Download via Firmen-Website)

F-Secure: Rescue CD (Download über Firmen-Website)

AVG Rescue CD (Download über Chip.de)

Avira Antivir Rescue System (Download über Chip.de)

Wir haben in diese kurze Liste nur kostenfreie Tools aufgenommen, die in den letzten Wochen aktualisiert wurden. Sie sollten GPCoder vom befallenen Rechner löschen. Eine Garantie, dass danach alles wieder so ist wie vorher, ist damit aber nicht gegeben: In mindestens einem all, von dem wir erfahren haben, funktionierte danach Firefox nicht mehr und war angeblich auch nicht zu restaurieren.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. .
virtualtom 07.05.2011
Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup. Backup...
2. Rechtschreibfehler
wortmord 07.05.2011
Wenn man sich den Screenshot genau anschaut, erkennt man einen fatalen Rechtschreibfehler. Zitat: "Um die Sperre des Computers aufzuheben, sind sie dazu verFLICHTET..." Ich würde es immer wieder kurios, dass so unzählig viele PC User keinerlei Ahnung vom System und der Technik haben. Menschen haben beim Zensus 2011 Angst vor Datenklau...auf ihrem PC läuft aber das Microsoft-Betriebssystem. Von einem Proxy haben die Wenigsten gehört und wenn man sich diverse Fragen zu Problemen von Windowsusern anschaut, vergeht selbst einem Linux User das Lachen. Es ist einfach nur irrsinnig traurig. Ich nutze nun seit langem schon Linux und es ging mir und meinen Daten nie besser. Besuche ich Seiten, wie Videobroadcastern, um US Sitcoms in Originalsprache zu schauen, schalte ich meinen Proxy ein. Viren sind für Linux beinah kaum möglich, aufgrund der Kernelprogrammierung. Das gleicht dann ungefähr einer versuchten Tröpfcheninfektion eines Stahlträgers. Ich frage mich ernsthaft, warum Menschen eine Maschine bedienen, die sie nicht beherrschen. Ich stelle mir schliesslich auch keine Drechslermaschine ins Wohnzimmer. Zudem finde ich es absolut verantwortungslos, dass diese Maschinen standardmäßig mit Windows verkauft werden. Dem unsicherstem Betriebssystem, was es für PCs gibt.
3.
irobot 07.05.2011
Als ich mir den Screenshot ansah, muste ich laut lachen. 100€ für so schwere Vergehen? Das ist doch ein Schnäppchen. Mein Gott, wie blöde müssen die Leute sein? Als ich aber das Wort "Unbrauchbarmachung" las, verschwand mein Grinsen sofort. Schreiben beim Spiegel jetzt schon Verwaltungsfachangestellte und Beamte?
4. Mac...
freund-der-worte 07.05.2011
Als Mac-User kann ich da auch nur müde lächeln...
5. .
Narog 07.05.2011
Zitat von wortmordViren sind für Linux beinah kaum möglich, aufgrund der Kernelprogrammierung.
Es würde sicher genügend Viren geben wenn Linux die selben Nutzerzahlen wie Windwos hätte. Aber ja, es ist echt traurig. Wer auf so einen Text wie im Screenshot reinfällt hat es auch irgendwie nicht anders verdient. So lächerlich wie der Text ist dürfte eigentlich niemand mit einem IQ über 80 darauf reinfallen. Mal ganz abgesehen von der genannten eMail-Adresse des BKAs bei yahoo.com :)
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computerviren
RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 44 Kommentare
Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potentiell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.