Lesezeit ca. 11 Min.
arrow_back

Hilfe, ich werde erpresst!


Logo von PC Magazin
PC Magazin - epaper ⋅ Ausgabe 2/2022 vom 06.01.2022

SICHERHEIT

Am eigenen digitalen Leib wollen wir es erfahren: Wir starten Ryuk, den Trojaner, der seinen Namen vom Todesengel aus der Manga-Welt entlehnt hat. Wir nutzen dabei einen Windows-Account mit Adminrechten und schalten den Defender ab: Die Startdatei verschwindet sofort, und die Verschlüsselung setzt blitzschnell ein. Windows meldet in Folge ein paar Profilund Systemfehler, denn Ryuk ist bekannt dafür, viele Systemdateien zu manipulieren. Manche Programme lassen sich anschließend nicht mehr starten, beispielsweise Veracrypt.

Ryuk ändert interessanterweise die Dateiendungen der verschlüsselten Dateien nicht, aber legt in alle Verzeichnisse, auch auf dem Desktop, seinen Erpresserbrief: „Your network has been penetrated. All files on each host in the network have been encrypted with a strong algorithm ... To get info (decrypt your files) contact us at ... Ryuk“. Er droht auch damit, alle ...

Artikelbild für den Artikel "Hilfe, ich werde erpresst!" aus der Ausgabe 2/2022 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 2/2022

Eine vom Trojaner Ryuk zerstörte Textdatei ist nicht nur verschlüsselt, sondern enthält binäre Zeichen.
Weiterlesen
epaper-Einzelheft 3,49€statt 4,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 2/2022 von Kostenloser Neustart. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Kostenloser Neustart
Titelbild der Ausgabe 2/2022 von Programme im Überblick. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Programme im Überblick
Titelbild der Ausgabe 2/2022 von Premium-DVD + Top-Vollversion + Online-DVD. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Premium-DVD + Top-Vollversion + Online-DVD
Titelbild der Ausgabe 2/2022 von Mit einem Klick zur Online-DVD. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mit einem Klick zur Online-DVD
Mehr Lesetipps
Blättern im Magazin
Systemwandel
Vorheriger Artikel
Systemwandel
Microsofts Angriff auf Chromebooks
Nächster Artikel
Microsofts Angriff auf Chromebooks
Mehr Lesetipps

... Backups und Schattenkopien gelöscht zu haben.

Zurück zu Ryuk: Wir lassen unserem Gegner keine Zeit, sich mit einer Geldsumme bei uns zu melden; stattdessen gehen wir sofort zu Schritt 1 unseres Workshops über:

1. Rechner ausschalten: Wenn Sie verdächtige Aktivität feststellen, schalten Sie am besten sofort den Rechner aus, oder ziehen Sie rabiat das Stromkabel. Ein Trojaner verschlüsselt nicht nur alle Ihre wichtigen Daten; er greift wie Ryuk unter Umständen tief ins System ein und verzögert eventuell den regulären Shutdown, um sein böses Werk zu beenden.

Achtung: Starten Sie das verseuchte System nicht mehr. Führen Sie stattdessen alle Rettungsschritte wie im Folgenden beschrieben von außen durch. Dass ist sinnvoll, weil der Trojaner inaktiv bleibt und Sie auch keine rettbaren Daten aus Versehen löschen können, etwa Dateireste in leeren Bereichen der Festplatte oder Schattenkopien.

2. Vorbereitungen: Sie benötigen mehrere externe Festplatten per USB oder als NAS-Laufwerk, eine davon mindestens so groß wie alle Festplatten Ihres verseuchten Systems. Eine weitere sollte mindestens so groß sein wie Ihr Kernsystem (meist C:). Außerdem müssen Sie einen Teil der Rettungsarbeiten an einem anderen Rechner durchführen. Prüfen Sie dort sofort anhand Ihrer Backups, was Ihnen tatsächlich fehlt, denn das spart viel Zeit durch eine gezielte Suche. Bringen Sie dennoch viel Geduld mit.

3. Komplett-Image mit dd: Als Erstes legen Sie eine 1-zu-1-Kopie Ihres Systems an, und zwar mit allen leeren Bereichen, denn auch hier können sich Daten verbergen. Dieses Image können Sie auch einer professionellen Datenrettung aushändigen, falls Ihre eigenen Versuche scheitern. Für eine 1-zu-1-Kopie einer Festplatte eignet sich der schlichte Linux-Befehl dd am besten. Booten Sie also den Rechner mit einem geeigneten Live-Linux, zum Beispiel dem Mint von der Heft-DVD oder linuxmint. com. Auf dem Desktop finden Sie im Ordner Home den Dateimanager und dort bei Devices die angeschlossenen Partitionen. Fahren Sie mit der Maus über einen Eintrag, springt der Hilfetext auf und zeigt den Namen der Partition, etwa /dev/sda2. Dann lautet der Name der zugehörigen Festplatte /dev/sda. Ist eine zweite eingebaut, handelt es sich vermutlich um /dev/sdb. Merken Sie sich die Namen aller Platten.

Klicken Sie nun der Reihe nach auf die kleinen Pfeile rechts neben den Partitionen, um diese auszuhängen. Alle Ordner rechts sollten jeweils verschwunden und keine verseuchte Partition eingehängt/gemountet

Sie erscheint im Home-Ordner ebenfalls bei den Devices, etwa unter dem Namen

Volume. Diese Partition lassen sie eingehängt. Öffnen Sie nun ein Konsolen-Fenster und kopieren die komplette Festplatte mit folgendem Befehl in eine Abbilddatei (hier ransom.img):

sudo dd if=/dev/sda of=/media/mint/ Volume/ransom.img.

Das Prozedere dauert ein paar Stunden, am besten planen Sie es über Nacht. Verfahren Sie mit allen anderen Festplatten gleich.

Achtung: Diese Sicherheitskopien sollten Sie anschließend nicht mehr anrühren. Wenn Sie mit einem der Images arbeiten wollen, kopieren Sie es zuvor.

4. Daten finden Wenn dd seine Arbeit beendet hat, finden Sie auf der Konsole die Erfolgsmeldung: „xyz bytes copied … xyz s“: In unserem Fall waren es 224 GB in 74 000 Sekunden, fast ein ganzer Tag.

Trennen Sie die Platte mit der Sicherheitskopie, und legen Sie sie beiseite. In Mint können Sie über den Home-Ordner nun auf Ihre Daten zugreifen und suchen, ob noch etwas unbeschädigt vorhanden ist, vermutlich leider nicht viel. Vielleicht waren Sie brav eingeloggt als einfacher User und nicht als Admin (so wie wir), als der Trojaner zuschlug; dann sind wahrscheinlich Daten Ihrer Familie in anderen Windows- Accounts erhalten. In unserem Fall waren alle Accounts betroffen, aber ein Blick in die User-Papierkörbe hat sich gelohnt! Dort war alles unverschlüsselt. Nun kopieren Sie alles, was Sie finden, auf einen weiteres USB-Laufwerk.

5. Trojaner erkennen: Der einfachste Weg, wieder an die versperrten Bilder und Dokumente zu kommen, ist, sie zu entschlüsseln. Das ist oft, aber leider nicht immer möglich. Oft haben Kryptoanalytiker Schwächen in der Verschlüsselungsfunktion eines Trojaners gefunden und ein Knackprogramm veröffentlicht. Auch der Polizei gelingt es immer wieder, Erpresserbanden zu fassen, und sie gelangt so an Schlüssel. Die von Europol und verschiedenen Sicherheitsfirmen gegründete Organisation No more Ransom (nomoreransom.org) bündelt all diese Informationen und stellt entsprechende Decryptoren zur Verfügung. Arbeiten Sie weiterhin in Mint oder von einem zweiten Rechner aus. Öffnen Sie im Browser die Webseite von No More Ransom, denn es ist auch die erste Anlaufadresse, um festzustellen, welcher Trojaner Sie genau befallen hat (falls er nicht, wie Ryuk eh mit seinem Namen unterschrieben hat). Unter dem Stichwort Crypto Sheriff haben Sie auf der Seite die Möglichkeit, die Textnachricht der Erpresser und verschlüsselte Dateien (bis 1 MByte) hochzuladen und eine Analyse durchführen zu lassen.

Wenn Sie Glück haben, kennt No More Ransom den Schädling und bietet Ihnen einen Decryptor inklusive Anleitung an. Wenn nicht, sinken Ihre Chancen deutlich. Versuchen Sie, markante Teile der Erpressernachricht bei Google zu suchen, spätestens darüber sollten Sie Ihren Gegner identifizieren. Das nutzt Ihnen im Augenblick vermutlich nicht viel, aber vielleicht in Zukunft, wenn es Sicherheitsexperten gelungen ist, den Code zu knacken (siehe Punkt 9).

6. Versuchen zu entschlüsseln: Sollten Sie ein Entschlüsselungs-Tool gefunden haben (bei Ryuk hatten wir Pech), ist auch das leider noch keine Erfolgsgarantie, denn oft sind nur Teile der Schlüssel aufgetaucht, sodass das Dechiffrieren nicht immer gelingt. Die Decryptoren sind Windows-Tools, die Sie am besten auf einem zweiten Rechner verwenden, mit gesperrten Dateien, die Sie über Mint aus dem verseuchten System kopieren. Müssen Sie das Original-Windows starten, entfernen Sie zuvor den Trojaner (wie in Schritt 10 beschrieben). Alle Entschlüsselungs-Tools arbeiten nach einem ähnlichen Prinzip: Geben Sie den Pfad der verschlüsselten Dateien ein (meist C:\), und das Tool erledigt den Rest. Ein Report am Schluss zeigt Ihnen die Erfolgsquote.

7. Photorec mit Mint: Ist das Entschlüsseln nicht gelungen, lohnt es sich, an versteckten Orten im System zu suchen. Den Windows-Papierkorb hatten wir schon erwähnt, eine weitere Möglichkeit sind die leeren Bereiche Ihrer Festplatte, in denen sich Reste von gelöschten Dateien finden können. Linux bringt für die Suche ein bewährtes Datenrettungs-Tool mit: Photorec, das Sie in Mint aber zuerst installieren müssen. Öffnen Sie den Software Manager, und suchen Sie nach Testdisk. Installieren Sie dieses.

Achtung: Führen Sie Photorec vor der Trojaner-Entfernung durch, weil die Sicherheitsprogramme wie z.B. Kaspersky (siehe Punkt 10) Daten im Dateisystem ablegen und Leerbereiche damit zerstören.

Dann öffnen Sie ein Konsolenfenster und starten:

sudo photorec

Es erscheint eine Liste der angeschlossenen Laufwerke, Ihr System kennen Sie ja schon, z.B. /dev/sda. Wenn Sie Proceed klicken, zeigt das Tool alle noch vorhandenen Partitionen, bzw. die gesamte Platte zur Auswahl an. Wählen Sie Letzteres. Nun legen Sie das Dateisystem fest: Other. Im letzten Schritt wählen Sie das externe Laufwerk, auf dem Sie die gefunden Daten speichern wollen (z.B. /media/mint/Volume/). Bestätigen Sie den Ort mit Taste c.

Nun durchsucht Photorec Ihre Festplatte Sektor für Sektor nach Dateiresten, wobei es sich nicht am Dateisystem orientiert, sondern die Datei-Header zu erkennen versucht. Das ist sehr erfolgreich, bedeutet aber, dass das Ergebnis nicht die ursprünglichen Dateinamen enthält, sondern eine fortlaufende Nummer mit Endung, etwa f12345678.jpg. Das macht die Suche in den

Das ins VDI-Format konvertierte (verseuchte!) dd-Image lässt sich ohne Probleme in einer virtuellen Maschine von Virtual Box starten.

wiederhergestellten Dateien etwas umständlich. Ihnen hilft ein Dateimanager, der die Suche nach bestimmten Dateitypen beherrscht, z.B. Total Commander (auf Heft-DVD oder ghisler.com). Mit ihm suchen Sie gezielt nach JPGs oder DOCX (= *.doc*). Die Ergebnisliste öffnen Sie mit anwenden, kopieren sie dann in einen neuen Ordner und durchsuchen sie dort in Ruhe.

Tipp: Man ist immer wieder erstaunt, was alles an Dateiresten auf einer Festplatte rumgeistert. Eine Suche mit Photorec lohnt sich so gesehen auch ohne Ransomware-Attacke.

8. Schattenkopien prüfen: Ein weiteres Versteck sind die Dateikopien des Volume Shadow Copy Service von Windows, die sogenannten Schattenkopien. Windows legt hier bis zu 64 ältere Versionen von Dateien ab. Leider schlagen moderne Trojaner oft auch hier zu, aber einen Versuch ist es wert.

Für die Analyse der Schattenkopien gibt es das Windows-Tool Shadow Explorer (auf Heft-DVD oder shadowexplorer.com). Das heißt aber, dass Sie Ihr infiziertes System starten müssen. Hierzu gibt es zwei Möglichkeiten: Entweder Sie verwenden das Original oder besser eine dd-Kopie in einer virtuellen Maschine – das geht. In beiden Fällen entfernen Sie den Trojaner wie in Punkt 10 beschrieben, bevor Sie es booten. Wenn Sie die Virtual-Box-Variante wählen, sollten Sie nicht mit den Original-dd- Images aus Punkt 3 arbeiten, die unangetastet bleiben wollen. Machen Sie also eine Kopie des Images, auf dem sich das System befindet (meist c:\). Nun wandeln Sie auf dem sauberen Zweitrechner das dd-Image ins VDI-Format um. Geben Sie im Windows-Terminal mit Adminrechten ein: c:\pfad\VBoxManage convertdd c:\pfad\ ransom.img c:\pfad\ransom.vdi --format VDI --variant Fixed Das dauert einen Moment, aber bei Weitem nicht so lange, wie das dd-Image selbst aus Punkt 3. Nun erzeugen Sie eine neue virtuelle Maschine, und wählen beim Punkt Platte das soeben umgewandelte ransom. vdi-Image.

Nicht vergessen: Ein Trojaner ist an Bord. Legen Sie keinen gemeinsamen Ordner an! Geben Sie im Betrieb auch keine Passwörter (Google, E-Mail-Konto usw.) ein.

Eine gewisse Gefahr bleibt auch dann bestehen, wenn Sie den Schädling, wie im Folgenden beschrieben, entfernt haben. Manche Trojaner sind zäh.

Bevor Sie die virtuelle Maschine starten, entfernen Sie den Trojaner wie in Punkt 10 beschrieben. Das Kaspersky-ISO fügen Sie der virtuellen Maschine bei Massenspeicher hinzu. Achten Sie auch auf die Boot- Reihenfolge im Punkt System.

Nun laden Sie den Shadow Explorer herunter, entpacken und starten ihn. Das Tool zeigt die Partitionen des Systems und die gesicherten Zustände. Sie können nun probieren, einzelne Dateien zu öffnen. In unserem Fall hat Ryuk ganze Arbeit geleistet. Die Schattenkopien waren bis auf die aktuelle verschlüsselte gelöscht.

System plattmachen oder Trojaner entfernen? Die nächste Frage,

die sich stellt, lautet: Reicht eine Virensäuberung durch ein Sicherheitsprogramm, oder ist es sicherer, den Rechner komplett neu aufzusetzen. Wir würden immer zu Letzterem raten, denn moderne Trojaner vergraben sich tief im System, und es reicht, wenn das Sicherheits-Tool eine Komponente übersehen hat. Diese lädt alle weiteren Teile wieder aus dem Netz. Der neue Trojaner versucht dann vielleicht keine Erpressung, sondern späht leise und unbemerkt Ihre Kontodaten aus.

Setzen Sie also Windows komplett neu auf, und installieren Sie sofort ein Sicherheitsprogramm, mit dem Sie alle geretteten Daten unmittelbar scannen. Wenn eine Neuinstallation nicht möglich ist, starten Sie den Rechner mit einer Recovery-DVD oder einem Stick von außen. Sie können z.B. in Mint ClamTk nachinstallieren (wie in Punkt 7 beschrieben), oder Sie besorgen sich z.B. die kostenlose Kaspersky Rescue Disk (bit.ly/32Xp2Z3). Führen Sie vor dem Scan immer ein Update der Virensignaturen durch, Kaspersky weist Sie automatisch darauf hin: „Update now!“ Bei Kaspersky sollten Sie unter Change Parameter noch All Volumes mit einbeziehen. Dann starten Sie den Scan. Wurde der Trojaner gefunden, haben Sie die Wahl, ihn zu löschen oder in Quarantäne zu verschieben. Löschen ist meist die bessere Wahl.

Diese Frage hat sich uns glücklicherweise nicht gestellt, da unser Trojaner nur in einer virtuellen Maschine herumgeisterte. Mit einem Klick haben wir ihn dahin befördert, wo sein Vorbild aus dem Manga-Comic herkam: ins digitale Jenseits. ■

So schützen Sie sich vor Ransomware

Für Ransomware gelten die gleichen Hinweise wie für alle Arten von Trojanern. Besonders wichtig ist ein Backup.

Virenschutz

✔ Betreiben Sie ein Anti-Viren-Programm.

✔ Achten Sie auf Updates für Windows und alle weiteren Programme.

✔ Die meisten Erpresser kommen per Mail. Seien Sie misstrauisch, und ignorieren Sie bei Anhängen keinesfalls die Warnungen Ihres Office- Programms. Erkundigen Sie sich im Zweifelsfall beim Absender, ob er Ihnen wirklich etwas geschickt hat.

✔ Surfen Sie nicht auf zwielichtigen Webseiten, und wenn es sein muss, dann geschützt in einer virtuellen Maschine.

✔ Seien Sie vorsichtig mit Downloads, deren Quelle Sie immer prüfen sollten.

Schutz der Daten

✔ Machen Sie regelmäßig ein Backup auf ein externes Medium, das Sie anschließend physikalisch vom PC trennen.

✔ Manche NAS-Laufwerke verwenden das btr-Dateisystem (btrfs). Es legt Snapshots Ihrer Daten in Bereichen der NAS an, wo ein Trojaner keinen Zugriff hat.

✔ Die meisten Virenwächter wie Avast, Bitdefender, Eset, Kaspersky oder weitere bieten einen speziellen Ransomware-Schutz, der erkennt, wenn ein Programm versucht, viele Daten auf einmal zu verschlüsseln.

Trend: Erpressung durch Doxing

Erpresser lassen sich immer neue Tricks einfallen, um ihre Opfer zu bedrängen.

■ Seit einiger Zeit mehren sich Fälle von Erpressung durch Doxing. Hierbei sammelt der Täter so viele Informationen über das Opfer wie möglich, einerseits aus öffentlichen Quellen wie Facebook usw., andererseits aus gehackten Daten. Dabei helfen ihm Trojaner oder Tools wie Findface, das Gesichter auf Fotos mit Daten aus (derzeit nur russischen) Social-Media-Plattformen abgleicht.

Hat er etwas Illegales oder auch nur Peinliches gefunden, erpresst er damit das Opfer und droht mit einer Veröffentlichung. Sind die Daten einmal gestohlen, hilft kein Anti-Viren-Programm, das Problem zu lösen. Es schützt freilich im Vorfeld vor einer Trojaner-Attacke. Zusätzlich sollten Sie potenziell peinliche Daten verschlüsseln und nicht zu viel Persönliches ins Netz stellen. Oft sind einzelne Bilder harmlos, aber in der Masse möchte man sie nicht in den Händen eines Kriminellen wissen.

Das ist nicht zu verwechseln mit den massenhaften Erpresser-Spam-Mails, die nur mit heißer Luft drohen.

9. Zahlen oder nicht?

An diesem Punkt stellt sich die Frage: Soll ich bezahlen? Hier finden Sie eine Auf stellung von Argumenten, die dafür und dagegen sprechen.

Pro:

■ Oft bekommt das Opfer den Schlüssel (ein Decryptor-Tool) tatsächlich, sonst funktioniert das Geschäftsmodell der Erpresser nicht.

■ Für wichtige oder schnell benötigte Daten ist Bezahlen eine reelle Chance.

■ Oft verliert sich nach einiger Zeit der Kontakt zum Erpresser, dann ist die Chance vertan.

■ Manchmal lässt sich der Täter im Preis herunterhandeln

Contra:

■ Manchmal bekommt das Opfer den Schlüssel nicht, wenn es bezahlt. Dann sind Daten und Geld weg.

■ Nicht alle Decryptoren funktionieren richtig. Über den von Ryuk z.B. wurden Probleme berichtet.

■ Bei nicht so wichtigen Daten lohnt es, sich zu warten. Oft finden Kryptoanalytiker nach einiger Zeit eine Schwäche im Trojaner, oder die Polizei beschlagnahmt Schlüssel bei einer Verhaftung. Sehen Sie gelegentlich bei No more Ransom nach.

■ Mit Bezahlen fördert man das Geschäft der Hacker. Versuchen sie es daher zu vermeiden.