Neue Nachricht an Opfer "WannaCry"-Erpresser betteln um Lösegeld

Die Erpressersoftware "WannaCry" hat weltweit Computer lahmgelegt. Nun haben die Täter ihre Opfer noch einmal kontaktiert - ausgerechnet, um an die Ehrlichkeit der Betrogenen zu appellieren.
"WannaCry"-Sperrbildschirm mit Lösegeldforderung

"WannaCry"-Sperrbildschirm mit Lösegeldforderung

Foto: B. TONGO/ EPA/ REX/ Shutterstock

Am Donnerstag haben sich die "WannaCry"-Erpresser überraschend bei ihren Opfern gemeldet - zumindest bei solchen, die nach wie vor die Schadsoftware auf ihrem Rechner haben. Über dem roten Sperrbildschirm mit der Lösegeldforderung poppte eine Botschaft der Kriminellen auf, im Format einer Fehlermeldung.

"Sie haben eine neue Nachricht", hieß es dort: "Ich habe bereits Dekryptierungs-Schlüssel an viele Kunden geschickt, die den korrekten Betrag in Bitcoin überwiesen haben. Und ich garantiere solch ehrlichen Kunden die Entschlüsselung", steht dort. Anders formuliert: Wer nun endlich zahlt, bekommt auch seine Daten zurück - behaupten zumindest die Erpresser.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Hier ist die ganze Nachricht im englischen Wortlaut:

"You have a new message: I have already sent decryption keys to many customers who had sent me the correct amounts of bitcoin, and I guarantee the decryption for such honest customers. Send me a message with your unique bitcoin wallet address an hour before your payment. The you will receive the decryption key more quickly."

Die Sicherheitsfirma Symantec hatte die Meldung auf einem ihrer Honeypot-Rechner gefunden, auf einem Gerät also, das absichtlich infiziert wurde, als eine Art Malware-Falle.

Mehr als 200.000 Rechner betroffen

"Die Nachricht hat uns überrascht, das ist schon sehr unüblich", sagt Sicherheitsforscher Candid Wüest von Symantec. Eigentlich habe man nicht mehr damit gerechnet, überhaupt noch etwas von den Kriminellen zu hören.

Bisher seien auch die von Opfern gezahlten Bitcoin von den Kriminellen nicht ausgelöst worden - wobei das Wüest zufolge kaum überrascht, blicken doch Ermittler und Forscher weltweit auf jede Regung in dem Fall. Von dem "WannaCry"-Angriff waren mehr als 200.000 Rechner weltweit betroffen.

Allerdings ist im Verhältnis dazu bislang wenig Lösegeld gezahlt worden. Das dürfte unter anderem daran liegen, dass Experten über die Medien eindringlich davon abgeraten haben. Laut Wüest waren unter den überschaubaren Zahlungen auch gefälschte Bitcoin-Anweisungen, hinter denen sich statt der geforderten rund 300 Dollar nur wenige Cent verbargen.

Ein Appell an die Ehrlichkeit - der Betroffenen

In den vergangenen Tagen war immer wieder spekuliert worden, dass die Daten selbst im Fall einer Zahlung für immer verloren sein könnten. Experten hatten nämlich herausgefunden, dass die Kriminellen im Fall von Zahlungen jeden Rechner händisch entschlüsseln müssten und dafür kaum Zeit haben dürften.

"Das war tatsächlich zunächst ein Programmierfehler", sagt Sicherheitsforscher Wüest. In späteren Versionen der Malware sei der aber von den Kriminellen behoben worden. Die Daten könnten dann auch automatisiert entschlüsselt werden.

Auf all das spielt die neue Nachricht der Erpresser an, die ausgerechnet mit dem Appell an die Ehrlichkeit der Betrogenen daherkommt. Ein Sicherheitsforscher berichtet übrigens auf Twitter , er habe die Nachricht bekommen, nachdem längst eine Bitcoin-Zahlung stattgefunden habe.

Daten können zum Teil auch ohne Zahlung entschlüsselt werden

Forscher Wüest mutmaßt, die Nachricht könnte eine Verzweiflungstat der Erpresser sein, weil bisher kaum jemand gezahlt hat. Vielleicht sei sie auch schlicht ein Versuch, für Sicherheitsexperten und Ermittler eine falsche Fährte zu legen, die es weltweit auf die Erpresser abgesehen haben.

Die kuriose Bitte, nun doch aber wirklich endlich mal zu überweisen, dürfte viele Opfer genau einen Tag vor Ablauf der Zahlungsfrist erreicht haben. Denn die Kriminellen hatten ihre Lösegeldforderungen an perfide Bedingungen geknüpft: Wer nach drei Tagen nicht zahlt, muss das Doppelte anweisen, heißt es. Nach sieben Tagen sei die Chance, die Daten wiederzubekommen, dann endgültig vertan. Die erste Welle der Infektionen begann am Freitag vor einer Woche.

Für Opfer des Erpressungstrojaners hat der Sicherheitsforscher Candid Wüest vielleicht auch noch eine gute Nachricht: Mittlerweile hätten er und seine Kollegen herausgefunden, dass gar nicht per se alle Daten auf den betroffenen Rechnern durch die Malware verschlüsselt wurden. Es handele sich hauptsächlich um die auf dem Schreibtisch (Desktop) und die Dateien unter "Eigene Dokumente".

Die anderen seien bloß in den Papierkorb verschoben und dieser geleert worden - man könne sie aber prinzipiell wieder zurückbekommen. Dazu benötige man ein Programm zur Wiederherstellung , sagt Wüest. So ließen sich zumindest einige Dateien doch noch retten.