Es häufen sich Berichte über infizierte Windows-Systeme, auf denen ein Schadprogramm Dateien verschlüsselt und nur gegen Zahlung eines Lösegelds von 500 Euro wieder freigibt. Die sind via Tor in Bitcoins zu entrichten.
Jedes Opfer erhält eine eigene ID, über die es dann Zugriff auf eine personalisierte Seite erhält. Der Tor-Dienst spricht Englisch, Französisch, Italienisch, Spanisch und Deutsch.
Die Datei DECRYPT_INSTRUCTION.TXT findet sich in den Ordnern mit den verschlüsselten Daten und enthält Informationen zur Geldübergabe via Tor.
"Bitcoins kaufen, das wird jeden Tag immer einfacher" - die Gauner beherrschen Werbe-Sprech schon ganz gut.
"Wir garantieren, dass all Ihre Dateien dechiffriert werden" verspricht die FAQ – und Sie werden doch das Wort solcher "Ehrenmänner" nicht in Frage stellen, oder?
Immerhin kann man eine Datei testweise dechiffrieren lassen
Bei heise Security melden sich in den letzten Tag vermehrt Betroffene, denen ein Schädling Daten verschlüsselt hat, an die sie dann nur gegen Zahlung eines Lösegeld von 500 Euro oder mehr wieder rankommen. Es handelt sich offenbar um Bitcrypt2, einen Nachfolger des Erpressungs-Trojaners Bitcrypt, der damals noch von findigen Forschern geknackt werden konnte.
Ob das nochmal klappt ist sehr zweifelhaft; das gesamte Auftreten der Erpresser ist so professionell, dass man eine gewisse Lernfähigkeit in Sachen Verschlüsselung durchaus annehmen kann. Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet. Die enthält dann in perfektem Deutsch erste Informationen zur Lösegeldübergabe und verweist dazu auf eine spezielle Seite des Anonymisierungs-Netzes Tor. Besonders heimtückisch in Firmenumgebungen: Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln.
Den Angaben der Gauner zufolge wurden die Daten nach dem RSA-Verfahren mit einem 2048-Bit-Schlüssel chiffriert. Den dazu verwendeten öffentlichen Schlüssel hat sich der Schädling von einem Server der Gauner geholt; der zugehörige geheime Schlüssel, den man zum Entschlüsseln benötigt, verbleibt demnach jedoch dort – zumindest für einen Monat. Dann wird er gelöscht und die Daten sind unwiederbringlich verloren, drohen die Erpresser.
Anfangs kostet das Entschlüsseln 500 bis 600 Euro; die Summe verdoppelt sich jedoch jeweils nach einer Frist von etwa einer Woche. Ob man nach dem Bezahlen tatsächlich wieder Zugang zu seinen Daten bekommt, steht in den Sternen. Die Polizei rät in solchen Fällen jedenfalls stark davon ab, die geforderte Summe zu bezahlen.
Quelle: heise
Du musst angemeldet sein, um Bilder zu sehen.
Jedes Opfer erhält eine eigene ID, über die es dann Zugriff auf eine personalisierte Seite erhält. Der Tor-Dienst spricht Englisch, Französisch, Italienisch, Spanisch und Deutsch.
Du musst angemeldet sein, um Bilder zu sehen.
Die Datei DECRYPT_INSTRUCTION.TXT findet sich in den Ordnern mit den verschlüsselten Daten und enthält Informationen zur Geldübergabe via Tor.
Du musst angemeldet sein, um Bilder zu sehen.
"Bitcoins kaufen, das wird jeden Tag immer einfacher" - die Gauner beherrschen Werbe-Sprech schon ganz gut.
Du musst angemeldet sein, um Bilder zu sehen.
"Wir garantieren, dass all Ihre Dateien dechiffriert werden" verspricht die FAQ – und Sie werden doch das Wort solcher "Ehrenmänner" nicht in Frage stellen, oder?
Du musst angemeldet sein, um Bilder zu sehen.
Immerhin kann man eine Datei testweise dechiffrieren lassen
Ob das nochmal klappt ist sehr zweifelhaft; das gesamte Auftreten der Erpresser ist so professionell, dass man eine gewisse Lernfähigkeit in Sachen Verschlüsselung durchaus annehmen kann. Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet. Die enthält dann in perfektem Deutsch erste Informationen zur Lösegeldübergabe und verweist dazu auf eine spezielle Seite des Anonymisierungs-Netzes Tor. Besonders heimtückisch in Firmenumgebungen: Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln.
Den Angaben der Gauner zufolge wurden die Daten nach dem RSA-Verfahren mit einem 2048-Bit-Schlüssel chiffriert. Den dazu verwendeten öffentlichen Schlüssel hat sich der Schädling von einem Server der Gauner geholt; der zugehörige geheime Schlüssel, den man zum Entschlüsseln benötigt, verbleibt demnach jedoch dort – zumindest für einen Monat. Dann wird er gelöscht und die Daten sind unwiederbringlich verloren, drohen die Erpresser.
Anfangs kostet das Entschlüsseln 500 bis 600 Euro; die Summe verdoppelt sich jedoch jeweils nach einer Frist von etwa einer Woche. Ob man nach dem Bezahlen tatsächlich wieder Zugang zu seinen Daten bekommt, steht in den Sternen. Die Polizei rät in solchen Fällen jedenfalls stark davon ab, die geforderte Summe zu bezahlen.
Quelle: heise
