Ransomware ist zwar nicht die schlimmste Schadsoftware im Internet, doch eine neue Variante mit dem Namen CryptoLocker gibt Anlass zur Sorge, denn sie macht genau das, was die meisten Erpressungs-Schädlinge nur vorgeben zu tun: Sie verschlüsselt die Inhalte Ihres Computers mit starker Verschlüsselung.
Wenn Sie Ransomware nicht kennen, hier eine kleine Erklärung: Diese Art Schadprogramm infiziert Computer und gibt zumindest an, dass sie alle Daten des Opfers verschlüsselt oder gesperrt hat. Der Schädling informiert den Anwender, dass er ein Lösegeld zahlen muss, um seine Daten wieder freischalten zu können. Natürlich hat man dabei niemals die Garantie, dass die Zahlung auch eine Freigabe der Daten bewirkt. In den meisten Fällen bringt die Zahlung gar nichts, außer, das Konto des Cyberkriminellen, der die Ransomware entwickelt oder verbreitet hat, etwas dicker zu machen.
Es gibt viele besondere Bedrohungen, über die wir hier schreiben, weil sie interessant sind und weil Sie vielleicht einige beängstigende Dinge darüber gehört haben. Wir erklären die Bedrohung, zeigen, wie sie funktioniert, und sagen, warum Sie sich darüber vielleicht gar keine großen Sorgen machen müssen. Doch das ist hier nicht der Fall. CryptoLocker gehört zu den Gefahren, die Ihnen die Arbeit von einer Woche, einem Monat oder einem ganzen Jahr ruinieren können – je nachdem, wie wichtig die Daten auf Ihrem Computer sind (und je nachdem, wie oft Sie Sicherheitskopien anlegen). Also sollten Sie sich hier wirklich ein bisschen Sorgen machen.
Es überrascht nicht, dass Anwender, die das Lösegeld bezahlt haben, niemals eine Entschlüsselung bekommen haben, wobei es auch Berichte gibt, dass die Gruppe hinter CryptoLocker in der letzten Woche begonnen hat, Entschlüsselungs-Schlüssel zu verteilen.
Es scheint mehrere Gruppen zu geben, die derzeit CryptoLocker nutzen. Ich habe im letzten Monat bereits für Threatpost.com über eine solche Implementation geschrieben. Das Schadprogramm verschlüsselt Fotos, Videos, Dokumente und mehr. Es gibt den Opfern sogar einen Link zu einer Liste aller verschlüsselten Dateitypen. CryptoLocker verwendet eine RSA-2048-Verschlüsselung mit privatem Schlüssel. Der Erpresser zeigt drei Tage lang einen Countdown auf dem Bildschirm an, der die Anwender davor warnt, dass der private Entschlüsselungs-Schlüssel bei Ablauf der Zeit für immer gelöscht werden wird, und die verschlüsselten Daten dann nie mehr entschlüsselt werden können.Die Angreifer verlangen ein Lösegeld von etwa 220 Euro, und bieten verschiedene Zahlungsmethoden, inklusive Bitcoin.
Die Gefahr ist so groß, dass das United States Computer Emergency Readiness Team (US-CERT) eine Empfehlung veröffentlicht hat. Das US-CERT ist Teil des Departmentof Homeland Security und kümmert sich um die Analyse und Risikoreduzierung in Bezug auf Online-Bedrohungen. Die Empfehlung sagt aus, dass es immer mehr Infizierungen mitCryptoLockergibt, empfiehlt Opfern aber auch, das Lösegeld nicht zu bezahlen.
In den meisten Fällen, verbreitet sich CryptoLockerüber verschiedene Phishing-Kampagnen, unter anderem über legitime Firmen, aber auch über gefälschte FedEx- oder UPS-Tracking-Nachrichten. Einige Opfer sagten, dass CryptoLockernach einer separaten Botnetz-Infizierung auftauchte. Laut Costin Raiu von Kaspersky Lab zielt der Schädling vor allem auf Anwender in den USA und Großbritannien ab, sucht daneben aber auch Opfer in Indien, Kanada, Australien und Frankreich.
Einige Versionen von CryptoLocker sollen nicht nur lokale Dateien verschlüsseln können, sondern auch Daten auf abnehmbaren Datenträgern, etwa USB-Sticks, externen Festplatten und Netzwerk-Laufwerken, und sogar auf manchen Cloud-Speicherdiensten, die ihren Online-Speicher mit lokalen Ordnern synchronisieren können. Die Empfehlung des US-CERT warnt auch davor, dass der Schädling innerhalb eines Netzwerks von Computer zu Computer springen kann, und empfiehlt, dass infizierte Computer sofort vom Netzwerk getrennt werden.
Der bekannte Sicherheitsjournalist Brian Krebs hat berichtet, dass die Gruppe hinter CryptoLocker die 72-Stunden-Frist gelockert hat, wahrscheinlich, weil sie Geld verloren haben, das die Opfer eigentlich zahlen wollten, es in der gegebenen Zeit aber nicht schafften, eine Zahlung mit Bitcoin oder MoneyPak durchzuführen. Der Countdown-Zähler ist nach wie vor vorhanden, doch der Entschlüsselungs-Schlüssel wird bei Ablauf der Zeit nicht mehr gelöscht. Stattdessen erhöhen die Angreifer einfach den Preis auf das Zehnfache des ursprünglichen Werts.
Lawrence Abrams, Malware-Experte bei Bleeping Computer.com, wird im Artikel von Brian Krebs zitiert: Er sagt, dass viele Firmen und Personen keine andere Möglichkeit haben werden, als das Lösegeld zu bezahlen. Ich widerspreche dem – in erster Linie aus Prinzip. Wenn Sie die Angreifer bezahlen, ermutigen Sie sie nur. Erstellen Sie jetzt gleich und dann regelmäßig eine Sicherungskopie Ihres Computers und lassen Sie externe Sicherungslaufwerke nicht angeschlossen. Wenn Ihr Computer infiziert wird, können Sie ihn einfach auf die letzte Sicherung zurücksetzen.
Manche Funktionen von Antivirus-Lösungen können Ihnen vielleicht helfen, doch laut dem Bericht von Krebs entfernen einige Antivirus-Produkte die Infizierung erst, nachdem Dateien verschlüsselt wurden. Das bedeutet, dass es unmöglich ist, das Lösegeld zu bezahlen, selbst wenn man wollte. Interessant ist, dass die CryptoLocker-Autoren Bildschirmhintergründe verwenden, um genau dieses Problem anzusprechen. Wenn ein Opfer zahlen möchte, eine Antivirus-Lösung aber die Infizierung entfernt hat (was nicht gleichzeitig zum Entschlüsseln der Dateien führt), ist es mit dem Link, der auf dem Hintergrundbild angegeben wird, möglich, den Schädling freiwillig herunterzuladen.
Anwender von Kaspersky-Lösungen wie Kaspersky Internet Security 2014 sind vor allen aktuellen Varianten von CryptoLocker geschützt, da die Software die Ausführung des Schädlings blockiert.