Risikobetrachtung

Die Wahrscheinlichkeit, einen solchen Schadcode zu erhalten ist hoch. für Angreifer ist es quasi kostenfrei, Millionen Mails zu versenden und damit die Anzahl der Opfer hoch zu schrauben um je mehr Opfer bezahlen, desto mehr verdienen die kriminellen Personen. Und interessanterweise ist die Aufklärungsquota quasi 0 trotz Vorratsspeicherung, NSA und Co und verschiedene Abhörprogramme anderer Geheimdienste.

Diese Schadcode hat es aber nicht darauf ausgelegt, ihren PC zu zerstören oder sie einfach zu zu nerven, wie dies bei früheren Viren der Fall war. Er hat auch nicht vor ihren PC in ein Heer von Bots einzugliedern, um mit ihm andere Systeme anzugreifen und er will auch gar nicht ihre Daten oder Kennworte stehlen um z.B. an ihr Bankkonto oder Zugänge zu Shops zu kommen. Der Schadcode verschlüsselt einfach ihre Dateien und gibt sie erst nach Zahlung eines Lösegeldes angeblich wieder frei. Er beschränkt sich dabei gezielt auf "interessante" Dateiformat wie die Office-Dateien, Bilder, Musik, Videos aber z.B. auch Steam-Daten, in denen Spielstände und virtuelle Gegenstände gespeichert werden.

Ob dies funktioniert ist natürlich nicht gesichert und was kümmert es den Angreifer, wenn Sie schon bezahlt haben.

  • Ich bin kein Admin - Ich kann mir nichts einfangen
    Das ist ein Irrtum, denn gerade als Anwender können sie natürlich all die Dateien verändern, die sie auch sonst im Zugriff haben, also ihre Bilder, ihre Musik, Briefe, Kalkulationen, Zeichnungen, Buchhaltungsdateien, Steuersoftware etc. Das Betriebssystem Windows und die Programme können sie sehr einfach immer wieder neu installieren. Aber ihre Daten sind das eigentliche Potential auf ihrem PC und die sind nicht durch Berechtigungen geschützt
  • Ich passe bei Mails sehr gut auf
    Ich hoffe für Sie, dass die 100% fehlerfrei solche Mails erkennen. Aber was ist, wenn ein Angreifer aus ihren "Freunden" in sozialen Netzwerken vertrauenswürdige Kommunikationspartner ermittelt und ihnen dann eine sehr gut geschriebene Mail von angeblich dieser Adresse sendet ? Es ist ja nur eine Word-Datei einer "bekannten Person" oder ein Link auf eine "interessante Seite".

Übrigens gibt es natürlich noch andere Verbreitungsmechanismen. Woher beziehen Sie denn ihre Software, wenn Sie diese nicht kaufen? Wie verhalten Sie sich denn, wenn die Software z.B. nicht digital signiert ist? Es ist auf jeden Fall zu spät, wenn Sie etwas in der Art sehen.

Wie sie unschwer erkennen können, ist der Text ein fast fehlerfreies Deutsch geschrieben. Diese "Bild" hatte auf der Test-VM bei mir den Namen "HELP_DECRYPT.PNG". Es gibt natürlich noch viele andere Schreibweisen.

Entschlüsseln, vielleicht ...

Nach Aussagen der Programmierer von Teslacrypt kommen PublicKey mit RSA zum Einsatz, die nicht in kurzer Zeit geknackt werden können. Allerdings haben die Entwickler wohl geschludert, denn mit Tools wie TeslaDecoder ( http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/  ) oder YAFU (http://sourceforge.net/projects/yafu/) kann man wohl doch mit etwas Glück die Daten wieder entschlüsseln, wenn TeslaCrypt in der Version 2.x zugeschlagen hatte. Mittlerweile soll es aber schon eine neuere Version 3 geben, die hier schlechter für Sie als Betroffener ist.

Weitere Links