Sicherheit
Lösegeldtrojaner spielt mit der Angst der Opfer
von
Thorsten
Eggeling - 28.12.2012
Über Ransomware versuchen Kriminelle PCs zu blockieren und von den Opfern Geld zu erpressen. Ein neuer Trojaner versucht, den Druck zu erhöhen. Er droht nach Ablauf eines Countdowns mit der endgültigen Sperrung des PCs.
Angst ist kein guter Berater. Das gilt auch bei der Infektion eines PCs mit einem Lösegeldtrojaner. Kriminelle versuchen aber über zahlreiche Tricks, den PC-Nutzer zu verunsichern oder gar Panik zu verbreiten. Den Opfern erscheint es dann oft als der leichteste Weg, den Forderungen der Erpresser nachzukommen. Wer zahlt, erhält in den seltensten Fällen den versprochenen Freischaltcode, ermutigt die Täter aber, weiter Schadsoftware zu verbreiten.
Symantec berichtet von einer neuen und sich rasant verbreitenden Variante eines Lösegeldtrojaners mit der Bezeichnung Trojan.Ransomlock.G. Bei Trend Micro trägt der Trojaner den Namen Reveton. Der Trojaner verwendet zuerst altbekannte Methoden: Nach der Infektion zeigt Windows nur einen Bildschirm, der über die Blockade informiert. Eine angeblich behördliche Meldung beschuldigt den PC-Besitzer, Kinderpornografie heruntergeladen oder gegen Urheber- und Software-Lizenzierungen verstoßen zu haben. Die Meldung erscheint in der jeweiligen Landessprache und mit Logos dazu passender Behörden.
Mit der neuen Ramsomware versuchen die Angreifer, den Druck auf das Opfer weiter zu erhöhen. Sie drohen damit, sämtliche Dateien zu löschen oder die Festplatte zu formatieren, wenn der Nutzer eigenmächtig versucht, das System zu entsperren. Stattdessen soll der Nutzer innerhalb von 48 Stunden der Aufforderung nachkommen und zwischen 100 und 300 Euro oder Dollar per Ukash oder Paysafecard zahlen. Das soll innerhalb von 48 Stunden geschehen. Ein Countdown zeigt die verbleibende Zeit an. Danach soll es nicht mehr möglich sein, den Computer zu entsperren, außerdem werde ein Strafverfahren eingeleitet, heißt es im Sperrbildschirm.
Doch Symantec gibt nach einer ausführlichen Analyse des Trojaners Entwarnung. Die angebliche Totallöschung der Festplatte findet nicht statt. Bei der Untersuchung konnten die Sicherheitsexperten keine Funktion zur Datenvernichtung in dem Schadprogramm finden. Außerdem gelang es Symantec, den Trojaner Ransomlock.G zu entfernen und infizierte Rechner wieder zu entsperren.
Jeet Morpari, ein Sicherheitsexperte von Symantec forderte Opfer dringend dazu auf, den Forderungen der Erpresser nicht nachzugeben, sondern den Schädling zu entfernen. Symantec bietet dafür das kostenloses Tool Norton Power Eraser an. Es sucht und beseitigt Ransomware sowie andere Formen von "Scareware", beispielsweise vorgebliche Antiviren-Software.
