Datenkidnapping – Erpressung mit neuester Technik

André Stämmler

Erpressungsschadsoftware oder Ransomware verschlüsselt alle Daten auf der Festplatte und gibt diese erst wieder frei, wenn ein bestimmter Geldbetrag an den “Erpresser” gezahlt wurde. Die aktuellen Versionen verwenden hierbei professionelle Verschlüsselungsalgorithmen und asymmetrische Schlüssel.

IMG_20130203_122314Der Anschein einer offiziellen Behörde

Die Software sucht auf dem befallenen Rechner gezielt nach .doc, .pdf, .pdf und .mp3 Dateien. Danach wird jede Datei einzeln verschlüsselt. Eine Freigabe der Daten soll erst nach Zahlung eines bestimmten Betrages erfolgen.

Um dem Zahlungsbegehren Nachdruck zu verleihen, erweckt die Software meist den Anschein offiziell von einer Behörde oder der Polizei zu stammen und trägt dabei meist die Logos der nationalen Behörden. Die Software meldet dann unter Umständen, dass kinder-pornografisches Material oder sonstige illegale Downloads gefunden wurden.  Werde man nicht zahlen, werden Daten an die Polizei übermittelt, so die Drohung.

In Deutschland treibt sich aktuell die Software Reveton um. Auch diese erweckt den Eindruck einer offiziellen Behördensoftware und trägt die Logos des Bundesamtes für Sicherheit und Informationstechnik (BSI) oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU).

Nicht neu aber besser

Die Masche mit der Epressersoftware ist keineswegs neu. Bereits 1989 ist die erste Software dieser Art aufgetaucht und zuletzt wieder 2012.

Die früher verwendeten Schlüssel waren vergleichsweise harmlos und wurden auf der eigenen Festplatte abgelegt. Mit entsprechenden Sicherheitsprogrammen konnten die Daten in aller Regel gerettet werden.

Die aktuellen Programme nutzen Verschlüsselungen nach AES-256, einem relativ sicheren Verfahren, und greifen auf die Crypto-API in Windows zu. Zudem wird ein asymmetrischer Schlüssel verwendet. Ein öffentlicher Schlüssel mit 1024-Bit RSA wird einmalig erzeugt und für die Verschlüsselung genutzt und mit dem Schlüssel der Erpresser verschlüsselt. Nur mit diesem Schlüssel ist eine Rettung der Daten möglich. Dieser Schlüssel liegt aber auf den Servern der Erpresser; ein Zugriff ist kaum möglich.

Nicht zahlen! Die Daten sind so oder so weg!

Die geforderten Beträge liegen meist zwischen 30 und 100 Euro. Dies sicherlich nicht zuletzt um beim Nutzer die Zahlungsbereitschaft  zu erhöhen. Gezahlt werden sollte aber dennoch nicht. Beim Großteil der Fälle werden die Daten auch nach der Überweisung nicht freigegeben und sind damit verloren.

Was kann man tun?

Ein effektiver Schutz gegen die Schadsoftware besteht kaum. Sind die Daten erst einmal verschlüsselt, sind diese meist verloren. Gerade die neueren Verschlüsselungsmethoden sind kaum noch knackbar.

Einzig effektiver “Schutz” ist eine regelmäßige Datensicherung.

Für Deutschland kann aber derzeit eine leichte Entwarnung gegeben werden. Die hier umtriebige Reveton Version verschlüsselt nicht die Daten, sondern sperrt den Windows Rechner. Eine Entsperrung ist in der Regel mit entsprechenden Programmen und dem abgesicherten Modus von Windows möglich.

Dennoch ist Vorsicht geboten.

Zurück

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert