Was sind Krypto-Trojaner?
In einer Pressemitteilung warnt das Bundesamt für Sicherheit in der Informationstechnik vor dem Verlust von Daten durch Krypto-Trojaner. Darunter versteht man Schadprogramme, die auf einem Computer gespeicherte Daten verschlüsseln und zur Zahlung eines Lösegelds für die Freigabe der Dateien auffordern. Aus diesem Grund werden die Programme häufig auch Erpressungs-Trojaner oder Ransomware genannt. Zu den häufigsten Exemplaren gehören:
Im Februar 2016 zählte der Sicherheitsforscher Kevin Beaumont allein in Deutschland stündlich mehr als 5.000 Infektionen mit dem Erpressungs-Trojaner Locky.
Dieser Blogbeitrag beschäftigt sich im ersten Teil damit, wer gefährdet ist und wie die Erpressungs-Trojaner funktionieren. Im zweiten Teil wird dann erläutert, wie man sich vor der Gefahr schützen kann und wie man sich im Schadensfall verhalten sollte.
Wer ist gefährdet?
Betroffen von Erpressungs-Trojanern sind nicht nur Privatanwender, sondern ebenso Unternehmen und Behörden. In einer Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) gab ein Drittel der befragten Institutionen an, von Ransomware betroffen gewesen zu sein. Während bei Privatanwendern vorrangig Dokumente, E-Mails und Bilder gefährdet sind, geht es bei Unternehmen um den Verlust von Kunden-, Personal- und Geschäftsdaten. Zum Teil werden auch ganze Netzlaufwerke verschlüsselt und der Schaden kann bei fehlenden Sicherungen schnell existenzbedrohend werden.
Wie funktionieren Krypto-Trojaner?
Generell gelangen Erpressungs-Trojaner auf den gleichen Wegen auf den Computer wie Viren (E-Mail, USB-Stick, Netzwerk, präparierte Internetseiten, etc.). Jedoch werden mehr als 75 Prozent der Infektionen durch E-Mail-Anhänge verursacht!
Nach der Infektion kontaktiert der Schädling einen Server (Command-and-Control-Center), um einen Verschlüsselungsschlüssel zu erstellen. Mit diesem Schlüssel werden die Daten auf der Festplatte verschlüsselt. Dies geschieht im Hintergrund, so dass der betroffene Nutzer in der Regel nichts davon merkt. Ist die Verschlüsselung abgeschlossen wird eine Nachricht angezeigt, die den Nutzer über die Verschlüsselung informiert und zur Zahlung eines bestimmten Betrages auffordert, um wieder Zugriff auf die Dateien zu bekommen. Für die Zahlung des Lösegeldes sollen anonyme Bezahlmethoden wie Bitcoin oder Paysafecard verwendet werden. Dies macht eine Rückverfolgung zum Erpresser unmöglich.
So läuft ein Trojaner-Angriff ab:
1. Versand:
Ein Trojaner gelangt meist als Anhang per E-Mail auf den Computer. Dabei handelt es sich häufig um Makros in MS-Office-Dokumenten.
2. Infektion
Durch das Öffnen der verseuchten Datei wird der Trojaner gestartet. Auch der Besuch einer schädlichen Webseite kann ausreichen, um sich mit einem Trojaner zu infizieren.
3. Verschlüsselung
Nach der Infektion werden im Hintergrund Dokumente und Dateien verschlüsselt.
Dies betrifft auch Dateien im Netzwerk und auf externen Festplatten.
4. Erpressung
Im Anschluss wird der Benutzer aufgefordert, einen bestimmten Betrag zu bezahlen, um wieder Zugriff auf seine Dokumente zu bekommen.
5. Bezahlung
Das Lösegeld soll in Form einer anonymen Internetwährung (z.B. Bitcoin) bezahlt werden.
Eine Entschlüsselung der Dateien erfolgt, trotz Zahlung, meist nicht.
Lesen Sie im zweiten Teil, was Sie tun können, wenn Sie betroffen sind und wie Sie sich schützen können!
Abonnieren Sie unseren RSS-Feed, um nichts mehr zu verpassen!