Ransomware
10.06.2016, 14:30 Uhr
Cyberkriminelle erpressen Schweizer Firmen - und «beraten» bei Lösegeld-Zahlung
Die neueste Masche der Erpresser: Sie nutzen die Panik ihrer Opfer aus und 'beraten' bei der Bezahlung des Lösegeldes. Dabei lassen sich einige Erpresser-Trojaner relativ leicht ausser Gefecht setzen.
Mit Ransomware verschlüssen Cyberkriminelle die Daten ihrer Opfer, und geben sie nur gegen ein Lösegeld wieder frei. Die neueste, groteske Masche der Kriminellen: Mithilfe einer Live-Chat-Funktion, sozusagen ein After-Sales-Support, beraten die Gangster bei der Zahlung des Lösegeldes. Denn nicht jedem sind Bitcoins oder andere Geldtransfer-Mechanismen geläufig. Die Sicherheitsspezialistin Trend Microo hatte jüngst eine Jigsaw-Variante mit Live-Chat-Funktion entdeckt. Jigsaw gehört technisch gar nicht zu den gefährlichsten Erpresser-Trojaner, weil man ihn relativ leicht stoppen kann. Er setzt seine Opfer aber auf perfide Weise unter Druck. Die Erpresser fordern ein Lösegeld, zahlbar in Bitcoins. Mit jeder Stunde, die ohne Zahlung verstreicht, verschlüsselt Jigsaw mehr Dateien und löscht die Originale auf der Festplatte. Ausserdem steigt die geforderte Lösegeldsumme. Nach 72 Stunden ist Schluss, dann sind alle Dateien auf der Festplatte des Opfers verschlüsselt und alle Originale gelöscht.
Regel #1: keine Panik
Mit jeder verflossenen Stunde erhöht sich der Schaden. Gut möglich also, dass die Opfer in Panik verfallen und so schnell wie möglich zahlen wollen. Und dabei 'helfen' ihnen die Erpresser per Live-Chat. Der cyberkriminelle Untergrund denkt wirtschaftlich, arbeitet umsatzorientiert, will seinen Gewinn maximieren. Bei Jigsaw war es anscheinend profitabler, in einen Live-Chat mit den damit verbundenen Zeit- und Kostenaufwänden zu investieren, als den Erpresser-Trojaner selbst zu verbessern.
Anleitung: So stoppen Sie Jigsaw
Denn Jigsaw lässt sich relativ leicht ausser Gefecht setzen. Jede Software startet einen Prozess, der dann auf dem Rechner läuft. Jigsaw tarnt sich unter dem Prozessnamen 'Firefox', die zugehörige Datei heisst 'drpbx.exe'. Um den Erpresser-Trojaner zu stoppen, muss man also seinen Prozess löschen. Das ist nicht schwer: Unter Windows starten Sie den Task-Manager (Tastenkombination Strg/Ctrl+Alt+Entf/Delete) und löschen den Prozess 'Firefox'. Damit ist der Verschlüsselungsprozess der Dateien auf der Festplatte zwar beendet, aber die Gefahr noch nicht vollständig abgewendet. Löschen Sie ausserdem im Verzeichnis /Appdate/Local/drpbx/ die Datei 'drpbx.exe und im Verzeichnis /Appdata/Roaming/Frfx/ das ausführbare File 'Firefox.exe. Eine Video-Anleitung auf Youtube erklärt die Details.