Sogenannte Ransomware – also Schadsoftware, die wichtige Daten auf einem PC verschlüsselt und diese nur gegen ein Lösegeld (englisch: «Ransom») wieder freigibt – ist in den vergangenen Jahren vor allem ein Problem für Unternehmen. Bei ihnen bedeutet ein kompletter Systemausfall meist jeden Tag grosse Verluste, sodass viele Unternehmen offenbar bereit sind, den Kriminellen grosse Summen zu zahlen.
Doch derzeit droht vor allem Privatanwendern und Studenten wieder Gefahr durch Ransomware, wie die IT-News-Site Bleeping Computer berichtet: Kriminelle haben ihre Ransomware «Magniber» nun als Windows-10-Update getarnt. Die Schadsoftware-Kampagne soll im April gestartet worden sein und habe mittlerweile massive Ausmasse angenommen.
User, die ebenfalls Opfer der «Magniber»-Attacke geworden waren, berichten, dass sie zuvor eine Datei gestartet hatten, die sich als Update für Windows 10 ausgab. Der Dateiname sei nicht immer gleich, am häufigsten lautete er aber «Win10.0_System_Upgrade_Software.msi» oder Security_Upgrade_Software_Win10.0.msi«, schreibt Bleeping Computer.
Nicht ganz klar sei derzeit, auf welchem Weg die falschen Updates vornehmlich verbreitet werden – allerdings geht die Schadsoftware immer gleich vor, sobald sie installiert wurde: Zunächst werden alle versteckten Kopien und Backups der Daten gelöscht, die Windows etwa anlagt, wenn ein automatischer Systemwiederherstellungspunkt gesetzt wird.
Anschliessend verschlüsselt die Software alle Dateien und versieht sie mit einer zufälligen, acht Zeichen umfassenden Endung. So verschlüsselte Dateien sind ohne passenden Schlüssel quasi verloren, da sie sich nicht mit herkömmlichen Mitteln und vertretbarem Aufwand knacken lassen.
Deshalb wird in jedem verschlüsselten Ordner auch eine Readme-Datei hinterlegt, wo die Opfer Hinweise finden, wie sie wieder an ihre Daten herankommen – nämlich Lösegeld bezahlen. Dazu muss der Tor-Browser installiert und ein direkt fürs Opfer erzeugter Link damit geöffnet werden.
Auf der angegebenen Darknet-Seite erfahren die Opfer den Preis: Der liege laut Bleeping Computer derzeit bei 0.068 Bitcoin, umgerechnet etwa 2500 Franken.
Dort wird ausserdem nicht an den üblichen psychologischen Druckmitteln gespart: Ein Timer zeigt an, dass dies nur ein «Special Price» sei, der nur ein paar Tage lang verfügbar ist, ausserdem wird damit gedroht, dass wichtige Daten an Kontakte geschickt und im Internet veröffentlicht werden.
Dass diese Drohungen tatsächlich auch umgesetzt werden, ist eher unwahrscheinlich. Allerdings dürften die Daten der Opfer vorerst verloren bleiben. Ob die Entschlüsselung bei Zahlung wirklich klappt, ist nicht sicher. Experten raten, die verschlüsselten Dateien zu sichern und wegzulegen, falls später ein Entschlüsselungstool auftauchen sollte.
Generell sollten Windows-Nutzer Updates nach Möglichkeit nur über die Microsoft-Seite beziehen – und diese auch selbst im Browser ansteuern und keinen Link dorthin anklicken. Noch besser ist es natürlich, wenn man die automatischen Updates aktiviert und dafür sorgt, dass Windows ausreichend oft und lange mit dem Internet verbunden ist (am besten mehrere Stunden pro Woche), um Aktualisierungen selbstständig herunterzuladen und zu installieren.
(dsc/t-online)