Erpressungstrojaner: FBI hofft auf mehr Anzeigen

Die Erpresser, die Computer kapern und verschlüsseln, werden immer professioneller. In den USA wünscht sich das FBI möglichst viele Anzeigen der Opfer, da jede Information im Kampf gegen die Verbrecher helfen könne.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Trojaner

(Bild: dpa, Sebastian Kahnert/Archiv)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Bales arbeitet bei der Cybercrime Division des FBI

Das Federal Bureau of Investigation (FBI) ruft seine Landsleute dazu auf, Anzeige zu erstatten, wenn sie von einem Erpressungstrojaner (Ransomware) betroffen sind. "Definitiv. Melden Sie es", sagte Supervisory Special Agent Will Bales am Mittwoch bei einem Seminar zum Thema Erpressungstrojaner. Opfer könnten wichtige, hilfreiche Informationen liefern.

Dazu gehören etwa Angaben über das vom Erpresser genannte Bitcoin-Wallet, gegebenenfalls Transaktionsdaten oder Einzelheiten aus der E-Mail-Kommunikation. "Wir sind an diesen Informationen sehr interessiert", sagte Bales. Jede Kleinigkeit helfe. "Die Informationen, die sie geben können, sind enorm […] und können unseren Untersuchungen weiterhelfen."

US-Einwohner sollen sich an das lokale FBI-Büro wenden oder auf der Website IC3.gov Meldung erstatten. Dass die Täter womöglich in einem anderen Land säßen, ändere daran nichts. Da es sich um ein globales Problem handle, arbeite das FBI mit Kollegen in anderen Ländern zusammen. Und wenn Täter vor Gericht gestellt werden, könnten viele Berichte von Opfern den Unterschied zwischen einem und 20 Jahren Haft machen.

FTC-Siegel

Das Seminar war eine Veranstaltung der US-Handelsbehörde Federal Trade Commission (FTC). Diesen Herbst folgen in der Seminarreihe noch zwei andere Themen: Am 13. Oktober geht es um Flugdrohen, am 7. Dezember um Smart-TVs. Die Veranstaltungen dienen in erster Linie dazu, Informationen für Verbraucher zusammenzutragen. Aber sie sollen auch der FTC Anstöße für ihre Regulierungsarbeit geben. Die Ausführungen des FBI könnten dazu führen, dass die FTC mehr Druck auf Unternehmen ausübt, Ransomware-Vorfälle nicht geheim zu halten.

Einhellig waren die geladenen Experten der Meinung, dass Opfer kein Lösegeld zahlen sollen. Die öffentliche Meinung, wonach die Dateien nach Bezahlung freigegeben würden, sei falsch, sagte etwa Craig Williams von Cisco Talos: "Das ist nicht der Fall. Ransomware kann man nicht vertrauen." Zwar gäbe es solche Fälle, aber oft gehe etwas bei der Ver- oder Entschlüsselung schief oder die Erpresser verlangten schlicht noch mehr Geld.

Manche Dateien würden durch die Ransomware beschädigt oder sie wurden mehrmals verschlüsselt, unter Umständen auch von verschiedenen Tätern. Vom Upload von Beispieldateien wurde ebenso abgeraten, weil die Täter dann vielleicht Daten bekommen, die sie bislang nicht hatten – oder anhand der Datei merken, wie wertvoll ihr Pfand ist. Das treibt den geforderten Preis.

Dank laufender Einnahmen werden die Erpresser immer professioneller. Sie können inzwischen spezialisierte Entwickler anstellen. Auch aus diesem Grund sind Zahlungen eine schlechte Idee. "Das FBI unterstützt Zahlungen nicht […]. Allerdings haben wir viel Verständnis und möchten mit [den Opfern] zusammenarbeiten", sagte Bales.

Eine der Diskussionrunden des FTC-Seminars

(Bild: Screenshot)

Wer trotz allem zahlen möchte, sollte vorher verhandeln. Anthony Masi von der New York University verhandelte unter Vorspiegelungen verschiedener Identitäten mit Erpressern. Dabei konnte er den geforderten Preis um durchschnittlich ein Viertel drücken. Die Bandbreite der ursprünglich geforderten Bitcoins reichte von umgerechnet 15 bis über 3.000 US-Dollar. Masi hat aber nicht wirklich gezahlt, weshalb er nicht sagen kann, ob die Dateien freigegeben worden wären.

Allerdings ist Verhandlungsgeschick gefragt. Wer seine echte Identität und vielleicht auch noch die Firmen-E-Mail-Adresse verwendet, darf sich nicht wundern, wenn der Preis nach oben schnellt. Auch Fieslinge können googeln.

Gewarnt wurde zudem vor dem Kauf von Entschlüsselungstools. Im besten Fall zahle man für Schlüssel oder Schwachstellen der Trojaner, die bereits veröffentlicht und damit kostenfrei zugänglich sind. Häufig spiele man aber den Verbrechern in die Hände: Die angeblichen Helfer können Mittelsmänner sein, die den Schlüssel beim Erpresser einkaufen und dann die Dateien des Opfers entschlüsseln.

Im Constitution Center in der US-Hauptstadt Washington ward getagt.

(Bild: Tim1965 CC-BY-SA 3.0)

Natürlich kann man auch ganz leer ausgehen. Und im schlimmsten Fall verschlüsselt das angebliche Entschlüsselungstool die Daten noch einmal und das Opfer hat den doppelten Scherbenhaufen.

Ein Allheilmittel zur Abwehr von Erpressungstrojanern gibt es nicht. Entscheidend ist laut den Experten eine Kombination aus technischen Mitteln und Verhaltenstraining. Zu den technischen Mitteln zählen E-Mail-Authentifizierung und -Filter, Intrusion Prevention, Schutzmaßnahmen für Webbrowser, Filter gegen bekanntermaßen Malware-verseuchte Webseiten sowie Updates, Updates und Updates.

Geschützt werden müssen dabei nicht bloß PCs, sondern viel mehr Geräte – vom Handy über Server bis hin zu vernetzten Thermostaten. Betreiber von Werbeplattformen sollten alle Links in der von ihnen verbreiteten Werbung überprüfen und außerdem nur noch signierte Reklame akzeptieren.

Nur-Text-E-Mail an einem historischen Beispiel

(Bild: dpa)

Auf der Verhaltensseite gelte es, Warnungen vor Malware, vor unerwarteten E-Mails mit Attachments, vor dem leichtfertigen Klicken von Links und so weiter immer wieder zu wiederholen. Viele User hätten noch nie von Erpressungstrojanern gehört.

Außerdem ist eine Rückkehr zu reinen Text-E-Mails ratsam, sowohl beim Versenden als auch bei der Anzeige eingehender Nachrichten im E-Mail-Programm. Aktive Elemente in E-Mails sollten genauso tabu sein, wie Makros in Office-Dokumenten.

Ist das Kind in den Brunnen gefallen, sollte das Gerät sofort offline genommen werden. Da der Computer anfällig ist, könnte er auch von anderer Seite angegriffen werden. Außerdem fungiert Ransomware bisweilen als Backdoor oder lädt andere Malware herunter, die den Computer einem Botnetz zuführt. Außerdem muss die Weiterverbreitung im eigenen Netz verhindert werden.

Anschließend muss aufgeräumt werden. Entweder, indem man die Datenträger löscht, oder, bei erfolgreicher Entschlüsselung, indem man die Sicherheitslücken schließt und die auslösenden Dateien entfernt. Nicht nur einmal hat ein Opfer nach erfolgreicher Entschlüsselung das auslösende E-Mail-Attachment noch einmal angeklickt...

Backups helfen gegen Datenverlust – aber nur, wenn das Backup nicht leicht zugänglich ist. Es sollte idealerweise räumlich getrennt und offline gelagert werden. Denn sonst verschlüsseln die Verbrecher womöglich das Backup gleich mit. Gegen eine neue Spielart helfen Backups nicht: Manche Erpresser drohen damit, erbeutete Daten zu veröffentlichen. (ds)