Geld her, sonst geht nichts mehr: Derzeit schwappt eine Welle von Erpressungssoftware durchs Netz, tausende Nutzer sind offenbar betroffen. Die Ransomware Locky ist dabei besonders aggressiv. Bedroht sind nicht nur Verbraucher, sondern auch Behörden und Unternehmen. Die wichtigsten Fakten im Überblick.
Wie tarnt sich Locky?
Die Kriminellen tricksen ihre Opfer aus – etwa mit gefälschten E-Mails, die nach wichtigen Rechnungen oder Nachrichten klingen, aber den Nutzern schädliche Software unterjubeln. Eine Locky-Variante gibt beispielsweise vor, ein Fax von Sipgate zu enthalten. Eine andere soll eine eingescannte Bilddatei im Anhang haben – entpackt und startet man sie, installiert sich jedoch der Trojaner. Auch Office-Dokumente etwa für Word und Excel können verseucht sein.
Einige Ganoven versuchen außerdem, Locky über verseuchte Websites zu verbreiten. Sie setzen darauf, dass die Systeme vieler Nutzer Sicherheitslücken haben, über die sie den Trojaner einschleusen können – etwa im Browser oder in Erweiterungen wie Flash. Schon deswegen sollten Nutzer ihre Software immer unbedingt aktuell halten.
Was richtet Locky an?
Es handelt sich um sogenannte Ransomware, also Erpressungssoftware. Sie verschlüsselt die Daten des Nutzers und fordert Lösegeld. Locky ist besonders aggressiv und greift auch auf Laufwerke im Netzwerk oder der Cloud zu. Im schlimmsten Fall könnte also auch die Sicherung betroffen sein.
Die Opfer werden aufgefordert, die Summe zu überweisen, meist über eine für Behörden nicht nachvollziehbare Bezahlmethode wie Bitcoin. Wie das geht, wird meist in einer Anleitung erklärt. Üblich sind Summen wie 0,5 Bitcoins, was derzeit knapp 200 Euro entspricht – viele verzweifelte Nutzer sind bereit, das zu zahlen. Die Erpresser drohen, den Schlüssel nach einer Zeit zu löschen und so die Daten dauerhaft unbrauchbar zu machen.
Was tun, wenn die Daten verschlüsselt sind?
Das ist eine schwierige Abwägung. Die Kriminellen geben die Daten häufig wieder frei – mit dieser Ganovenehre stellen sie sicher, dass ihr Geschäftsmodell dauerhaft funktioniert. Eine Garantie gibt es dafür aber nicht. Zudem fördern Nutzer so die Kriminalität im Allgemeinen und die Ransomware-Masche im Besonderen. Das Bundeskriminalamt (BKA) empfiehlt, das Geld nicht zu bezahlen und Anzeige zu erstatten. Falls eine aktuelle Sicherung vorliegt, ist das sicher der beste Weg.
In einigen Fällen lassen sich die Daten wieder herstellen, etwa wenn die Kriminellen Fehler bei der Verschlüsselung gemacht haben. Einige Anti-Virus-Spezialisten bieten für bestimmte Varianten kostenlose „Decrytor“-Software an, auch wenn es manchmal länger dauert, bis sie eine bestimmte Sperre überwinden können. Wer den Trojaner auf frischer Tat ertappt, hat noch die besten Aussichten. Betroffene sollten dann schnell den Rechner ausschalten und mithilfe eines Anti-Viren-USB-Sticks bereinigen.
Wie kann man sich schützen?
Nutzer sollten mit E-Mail-Anhängen grundsätzlich vorsichtig umgehen, gerade wenn sie von unbekannten Absendern stammen. Da die Ransomware nicht selten in Office-Dokumenten enthalten ist, ist es außerdem sinnvoll, die automatische Ausführung sogenannter Makros auszuschalten – diese Miniprogramme für Word & Co können die Verschlüsselungsprogramme installieren. Um Infektionen über verseuchte Websites zu verhindern, sollte man außerdem die Software auf dem Rechner jederzeit aktuell halten und einen Virenscanner verwenden.
Unbedingt ratsam ist außerdem eine regelmäßige Datensicherung auf einem Speichermedium, das nicht permanent an den Rechner angeschlossen ist. So lässt sich gewährleisten, dass Locky oder andere Ransomware im Fall einer Infektion nicht auch das Backup verschlüsselt. Einige Tipps für den Schutz der eigenen Daten finden Sie hier.
Hilft ein Anti-Virus-Programm?
Leider nur bedingt. Die Hersteller aktualisieren ihre Anti-Virus-Scanner zwar regelmäßig, allerdings müssen sie dafür die schädliche Software erst einmal kennen. Daran hapert es jedoch: Die Autoren veränderten ihre Programme, „bis eine Erkennung durch die meisten AV-Produkte zum Zeitpunkt der Verbreitung nicht gegeben ist“, erklärt das BSI. Auch die Web-Adressen, über die die Täter Software nachladen, verändern sich ständig.
„Hohe Infektionsraten in aller Welt“
Wie groß ist das Ausmaß des Problems?
Wie gravierend Untergrundphänomene wie Ransomware sind, lässt sich nur schwierig abschätzen. Es deutet aber vieles darauf hin, dass die Hintermänner hinter Locky besonders aggressiv vorgehen. Einen Anhaltspunkt gab etwa der Sicherheitsforscher Kevin Beaumont, dem es nach eigenen Angaben vor einer Woche gelang, den Datenaustausch der Software zu belauschen – er zählte allein Deutschland pro Stunde 5000 Infektionen. Und Microsoft erklärte in einem Blogeintrag: „Diese Ransomware kennt keine Grenzen, wir sehen hohe Infektionsraten in aller Welt.“
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist alarmiert: „Ransomware scheint derzeit eins der beliebtesten Geschäftsmodelle von Cyber-Kriminellen zu sein“, warnt die Behörde. Im Gegensatz zu anderen Betrugsmaschen biete die Erpressungssoftware Kriminellen die Möglichkeit, direkt Geld zu erhalten. Das BSI beobachtet, dass sich die Szene darauf einstellt. So verteilen etliche Botnetze jetzt E-Mails mit Ransomware. Das gelte etwa für das berüchtigte Dridex-Botnet, über das Kriminelle binnen kurzer Zeit Millionen von Nachrichten verschicken können.
Die Gefahr könnte noch wachsen: „Wenn eine Angreifergruppe Erfolge feiert, ermutigt und inspiriert das andere“, warnt das IT-Sicherheitsunternehmen Palo Alto Networks. „Ransomware bleibt eine der größten Cyberbedrohungen im Jahr 2016.“
Inwiefern sind Unternehmen betroffen?
Es sind einige Unternehmen bekannt, die mit Ransomware Probleme habe, etwa einige Kliniken in Nordrhein-Westfalen. Die Dunkelziffer ist jedoch hoch, sodass sich nicht sagen lässt, wie sehr die Wirtschaft betroffen ist. Da Programme wie Locky auch Netzwerklaufwerke befallen, bedeuten sie für Firmen aber ein besonderes Risiko. Zumal eine einzige Infektion reichen kann, um großen Schaden anzurichten.
