Ransom-Trojaner infiziert PC und bittet zur Kasse

F-Secure rät zur regelmäßigen Sicherung der Daten mittels Backup

(29.01.10) - Die Idee ist nicht neu - ein Computerprogramm zu entwickeln, mit dessen Hilfe Online-Betrüger sensible Daten auf den Rechnern ihrer Opfer verschlüsseln und erst nach der Zahlung einer horrenden Summe wieder freigeben. Doch nun ist mit W32/DatCrypt ein neuer Trojaner aufgetaucht, der sich nicht als solcher ausgibt. Das Opfer wird lediglich darüber informiert, dass eine Datei beschädigt sei und eine Reparatur (gegen einen geringen Obolus) dieses Problem beheben könnte. F-Secure rät deswegen: Der wirkungsvollste Schutz gegen diese Form der Online-Erpressung besteht in der Sicherung der Daten mittels Backup. Im Falle einer Attacke können die verschlüsselten Daten relativ einfach und bei regelmäßiger Sicherung nahezu verlustfrei wieder gewonnen werden.

Mikko Hyppönen, Chief Research Officer bei F-Secure, sagt zu der Problematik mit Ransomware: "Der W32/DatCrypt-Trojaner infiziert den PC und gaukelt seinem Benutzer vor, dass Dokumente, Videos, Musik und Bilder beschädigt seien. In Wahrheit aber arbeitet der Schädling bereits im Hintergrund, verunsichert den User mit täuschend echt aussehenden Windowsbotschaften und fordert zum Download einer 'Reparatursoftware' namens Data Doctor 2010 auf."

Einmal herunter geladen und installiert erhält der User folgende Nachricht: "Eine nicht registrierte Version berechtigt nur zum Reparieren einer Datei. Um weitere Dateien entschlüsseln zu können, benötigen Sie die Vollversion zum Preis von 89,95 Dollar. Sobald das Geld bezahlt worden ist, wird der Zugriff auf sämtliche Dateien wieder freigegeben."

Mikko Hypponen führt weiter aus: "Der Trojaner geht dabei äußerst hinterhältig vor. Der Benutzer setzt in der Regel alle Hebel in Bewegung, um an seine Daten zu kommen, vergisst dabei aber, dass er gerade im Begriff ist, teures Geld zu bezahlen. Einige User empfehlen das Produkt sogar im Freundeskreis weiter, ohne sich über die Konsequenzen bewusst zu sein. Vergleichbare Ransomware setzt dabei auf einen seit Jahren bekannten Trick - File Fix Pro Utility." Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, war der Trojaner TROJ_PGPCODER.A, der nach seiner Infizierung mehrere hundert Dollar zur Entschlüsselung forderte. (F-Secure: ma)