IT-Security-Rätsel: Frisch erpresster Datensalat – warum auch ein Mac einen Virenscanner braucht

IT-Security-Rätsel: Frisch erpresster Datensalat – warum auch ein Mac einen Virenscanner braucht

Viren sind ein Ärgernis für Anwender von Rechnern und mobilen Devices. Für Kriminelle dagegen sind sie ein profitables Geschäft. Noch recht neu ist das Thema Ransomware. Hierbei handelt es sich um Schadsoftware, die Daten oder Geräte verschlüsselt und den Besitzern damit den Zugriff verweigert. Erfahren Sie mehr und lösen Sie unser IT-Security-Rätsel!

Seit Jahren sagen Leute zu mir: "Auf einem Mac brauche ich doch keinen Virenscanner, weil es da gar keine Viren gibt. Oder?" Und ich antworte immer: "Doch, natürlich gibt es auch Viren für den Mac. Deshalb sollten Sie auch dort einen Virenschutz haben."
Tatsächlich gibt es im Vergleich zu einem Windows-PC aber deutlich weniger Schadsoftware, die ein Gerät mit dem Apfel-Logo angreift. Das liegt aber daran, dass es auch viel weniger Macs gibt, im Vergleich zu PCs mit Windows-Betriebssystem. Trotzdem gibt es natürlich auch Viren für den Mac. Ich frage mich echt, wie die Leute auf die Idee kommen, dass das anders wäre.

Spätestens seit Ende 2015 grassieren für Apfelgeräte die Art von Schadprogrammen, die einem alle persönlichen Daten und Bilder mit dem praktisch unknackbaren AES-Algorithmus verschlüsseln – und so unbrauchbar machen. Dann wird der User erpresst: "Zahle 100 €. Nur dann schicke ich Dir das Programm zum Entschlüsseln." Eine Stunde später steigt der Preis auf 150 €, dann auf 200 € und so weiter. Auf diese Weise bauen die Erpresser Druck auf. Das Opfer soll möglichst gar nicht zum Nachdenken kommen und auch gar nicht die Möglichkeit haben, sich kompetente Unterstützung zu holen.

Kreative Kriminalität

Eine andere Variante dieser meist als Trojaner auf die Computer gelangten Programme gaukelt dem User vor, dass dieser eine Straftat begangen habe. Angeblich seien Bilder gefunden worden, die den Tatbestand der Kinderpornografie, Nekrophilie und/oder Zoophilie bzw. Sodomie erfüllen würden. Um der Strafe – genannt werden dann die absurdesten Paragrafen – von bis zu 500.000 € oder mehreren Jahren Haft entgehen zu können, hätte man die einmalige und zeitlich auf wenige Stunden begrenzte Möglichkeit, sich freizukaufen. Mit schlappen 100 €. Zahlen kann man die bequemerweise mit Prepaid-Karten, die man an der Tankstelle oder im Supermarkt erwerben könne. Anhand der eigenen Postleitzahl werden einem auch gleich die nächstgelegenen Verkaufsstellen gezeigt. Mittlerweile tauchen auch bösartige Apps für Smartphones auf, die exakt so vorgehen und das Handy sperren. Ich gehe davon aus, dass diese Erpresserprogramme immer mehr Smartphones befallen und in den kommenden Jahren regelmäßig ganz oben auf der Liste der Schädlinge stehen.

Was tun?

Ransomware nennt man diese Viren, abgeleitet vom englischen Begriff für Lösegeld (ransom). Absurderweise rief ein FBI-Ermittlungsleiter mal dazu auf, das Lösegeld zu bezahlen, denn die "Polizei sei machtlos". Für mich lediglich eine Rauchbombe, die beim Normalbürger Angst vor Verschlüsselung schüren soll. Tatsächlich schützt uns Verschlüsselung – auch vor dem FBI und der NSA. Die Aussage zeigt nur, dass eine gute Verschlüsselung auch von den Behörden nicht geknackt und daher ebenso von bösen Menschen missbraucht werden kann. Die Polizei in Deutschland rät dazu, nicht zu bezahlen. Und zwar deshalb, weil es von tausenden dieser Fälle nur ganz wenige gibt, in denen die Software zum Entschlüsseln nach der Zahlung auch tatsächlich geliefert wurde. Dies änderte sich erst mit dem Locky Virus Anfang 2016. Sonst wurde meist bezahlt und trotzdem blieben die Daten unlesbar.

Unsere Quizfrage: Wie heißt der direkte Nachfolger von Locky, der den Master Boot Record manipuliert und so den gesamten Rechner sperrt?

Aus wirtschaftlichen Gründen ist das aus Sicht der Täter eigentlich unsinnig, wie Locky zeigte. Der geforderte Betrag um die 100 € ist so niedrig, dass wahrscheinlich jeder mehr oder weniger freiwillig bezahlen würde. An der Rückgabe der Daten bestand aber ursprünglich überhaupt kein Interesse. Erst der immense Presserummel um Locky nötigte die Erpresser geradezu dazu, fast immer das Entschlüsselungsprogramm zu liefern, um sich nicht die eigene Glaubwürdigkeit und damit das Geschäft zu untergraben. Daher liefern sie Entschlüsselungsprogramme. Natürlich nur, wenn sie können. Anfang Juni verschwand das von Locky genutzte Botnet spurlos vom Radar des Internets. Necurs – so der Name des Botnets – war verantwortlich für die Verteilung und das Steuern (Command & Control) des Schädlings, aber auch zur Bereitstellung des Entschlüsselungstools an willige Lösegeldzahler.

Es ist nicht sicher, dass die Abschaltung des Botnets mit der zeitgleichen Festnahme von 50 russischen Hackern zu tun hat. Etwas anderes ist hingegen sicher: Die Erpresser werden auch zukünftig alles daran setzen, den zahlenden "Kunden" die Daten wieder zu entschlüsseln. Denn wenn bei Google die meisten Suchergebnisse bestätigen, dass andere Menschen den Zugriff auf ihre Bilder und Daten zurückbekommen haben, brummt auch das Geschäft. Es geht also wie immer nur ums Geld. Deshalb sind diese Viren jetzt auch für Macs immer stärker im Kommen.

Besser vorbeugen

Um gar nicht erst in die Verlegenheit zu kommen, mit den Erpressern in Kontakt treten zu müssen, gilt immer noch der gute alte Spruch: Vorsorgen ist besser als heulen. Es reicht aber nicht mehr, einen Virenscanner zu haben und ein Backup. Locky & Co. Nutzen teilweise Kommandozeilentools oder Makros, die die Betriebssysteme und Office-Programme selbst mitbringen. Da kann kein Anti-Virus-Programm mehr helfen, das nur auf Erkennung durch Pattern (eindeutige Merkmale im Code) basiert. Auch ein automatisches, tägliches Backup auf einer externen Platte ist kein sicherer Schutz, denn aktuelle Ransomware verschlüsselt alle erreichbaren Laufwerke gleich mit. Wie so oft in der IT genügt ein einzelnes Gegenmittel also nicht aus. Daher: Augen auf, wachsam sein bei Mails, Updates einspielen, Firewall und Virenschutz aktivieren und die Backup Platte z. B. nicht über Laufwerksbuchstaben, sondern per ftp erreichbar machen. Das ist das "Breitband-Antibiotikum" gegen Locky & Co.

Und nun zum Rätsel ...

Wie heißt der direkte Nachfolger von Locky, der den Master Boot Record manipuliert und so den gesamten Rechner sperrt?

Nehmen Sie an unserem IT-Security-Rätsel teil und gewinnen Sie das IT-Buch "Ich glaube, es hackt!" von Tobias Schrödel. Unter allen Teilnehmern, die unsere Frage richtig beantworten, verlosen wir fünf Exemplare!

Unser Gastautor Tobias Schrödel ist bekannt durch seine Fernsehbeiträge zu Stern TV und seine humorvollen Live-Vorträge über die dunkle Seite der Computertechnologie. In unserem Blog stellt er ein Kapitel aus der aktualisierten Neuauflage seines ausgezeichneten Sachbuchs "Ich glaube, es hackt!: Ein Blick auf die irrwitzige Realität von Computer, Smartphone und IT-Sicherheit" vor. Es ist im Mai 2016 bei Springer erschienen und im Buchhandel erhältlich.

 

Bildquelle: © psdesign1, Tomasz Zajda - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.