Jetzt ist der neuste Stamm eines gefährlichen Virus auch in Deutschland angekommen: Locky, eine sogenannte Ransomware, die sich gerade auf aggressivste Weise auf Windows-Rechnern hierzulande ausbreitet. Der Sicherheitsexperte Kevin Beaumont war einer der ersten, der das Schadprogramm entdeckt hat. In einem Tweet geht er von 5300 Neuinfektionen pro Stunde aus — allein in Deutschland. Auch das erste prominente Opfer gibt es schon, das Fraunhofer Institut in Bayreuth. Der Bayerische Rundfunk meldet, dort seien 60 Rechner infiziert.
Locky wird durch E-Mails übertragen, in denen sich eine angebliche Rechnung als Word-Dokument befindet. Öffnet ein User diese, gelangt Locky auf den Rechner und verschlüsselt dort, im gesamten Netzwerk und sogar in verbundenen Clouds zentrale Dateien. Sie sind verloren, die Sperren sind nicht ohne weiteres zu knacken. Die Hintermänner geben den infizierten Computer nur dann wieder frei, wenn Lösegeld geflossen ist — deshalb auch der Name Ransomware, Lösegeld-Software. Im Fall von Locky handelt es sich meist um einen halben Bitcoin, umgerechnet rund 210 US-Dollar.
An das Fraunhofer Institut gab es bisher noch keine Lösegeldforderung. Dort geht man davon aus, dass es sich nicht um einen gezielten, sondern um einen zufälligen Angriff auf die eigenen Computersysteme handelt. Zu Beginn der Woche konnten nur drei Anti-Viren-Produkte die Signaturen von Locky erkennen. Seitdem haben aber die meisten Anbieter ihre Produkte aktualisiert und erkennen die Schadsoftware.
Die hohe Infektionsrate zeigt aber, dass von Entwarnung keine Rede sein kann. Sicherheitsforscher Beaumont konnte sie ermitteln, indem er sich in den Datenverkehr der Ransomware einklinkte. Mittlerweile haben die Locky-Entwickler ihrem Schadprogramm sogar schon die deutsche Sprache beigebracht. Als Desktop-Hintergrund tauchen zunehmend detaillierte Informationen zur Lösegeld-Übergabe auf, wenn ein Rechner infiziert ist.
Der Sicherheitsforscher Lawrence Abrams, der Locky ebenfalls untersucht, geht in einem Blogeintrag davon aus, dass die Zahl der Angriffe durch Verschlüsselungs-Malware zunehmen wird. „Es ist trivial, den dazu nötigen Code zu programmieren“, schreibt er. Bald schon sei diese Art der digitalen Erpressung mit Ransomware die Norm.
Die Akteure hinter Locky verfügen über stabile Finanzen, um immer neue Versionen ihrer Malware herzstellen.
Erst in der vergangenen Woche hat ein Verwandter von Locky für Schlagzeilen gesorgt, als das Computersystem eines Krankenhauses in Hollywood zur Geisel nahm. Das Presbyterian Medical Center in Los Angeles war gezwungen, ein Lösegeld von 17.000 Dollar zu zahlen, um die Daten des Krankenhauses wieder zu entschlüsseln.
Wer hinter der Software steckt, bleibt unklar. Dodi Glenn von PC Pitstop sagte dem Blog Dark Reading: „Die Akteure dahinter haben stabile Finanzen, um neue Versionen ihrer Malware herzstellen.“ Auch die Entschlüsellungskeys verändern sich dauernd. Forbes spricht schon von einer explosionsartigen Zunahme der Angriffe.
Ob Erpresser wirklich den Code zur Dechiffrierung übermitteln, wenn das Lösegeld erst einmal geflossen ist, lässt sich nicht sagen. Auch nicht, ob sie danach wirklich völlig aus dem System gelöscht wird. Es ist zu empfehlen, eine lokale Datensicherung auf einer USB-Festplatte zu sichern und diese dann separat und ohne Internetanschluss aufzubewahren.
