Der Bürgermeister einer kleinen Stadt in New Hampshire weigert sich, ein Lösegeld für die Entsperrung von Dateien auf Polizei-Computern zu zahlen. Die Daten fielen der Ransomware Cryptowall zum Opfer, einer neuen Malware, die auf infizierten Maschinen Daten bis zu einer Lösegeldzahlung verschlüsselt.

„Macht keinen Fehler – die Stadt Durham wird kein Lösegeld zahlen“,

so der Bürgermeister Todd Selig. Computer in der Polizeizentrale der Stadt mit rund 15.000 Einwohnern waren infiziert worden. Auslöser war ein scheinbar gutartiger Anhang einer E-Mail, den ein Polizei-Offizier öffnete. Am nächsten Morgen gab es immer mehr Probleme im Computernetzwerk der Polizei. Um die Mittagszeit wurde das Netzwerk dann komplett heruntergefahren, um eine Infizierung weiterer Systeme auszuschließen.

Die Stadt fiel Crypotwall zum Opfer, einer neuen Form von Krypto-Malware, die im Wettbewerb zu dem bekannteren CryptoLocker steht. Forschern von Cisco Systems zufolge ist Cryptowall seit April in Umlauf. Cryptowall findet sich im RIG-Exploit-Kit, einer Software, die Computer-Scams und Malware-Angriffe für weniger bewanderte Cyber-Kriminelle automatisiert. Cisco hat insgesamt Anfragen von mehr als 90 infizierten Internetdomains geblockt – Cryptowall hätte so Zugriff auf rund 17 Prozent der Cisco-Kunden erhalten.

Im Gegensatz zu dem bösartigen Anhang in der E-Mail an die Polizei von Durham blockt Cisco hauptsächlich schadhafte Anzeigen auf Webseiten wie altervista.org, apps.facebook.com, theguardian.com und ebay.in. Die meisten infizierten Anzeigen sieht man in den USA, gefolgt von Großbritannien. Durch die scheinbar normalen Anzeigen sollen die Opfer zum Klick auf die Anzeige verleitet werden.

Selig:

„Die betroffenen Funktionen sind das E-Mail-System der Polizei und die Textverarbeitung, außerdem Spreadsheets, Excel und andere administrative Aufgaben. Die Daten über Straftaten sind nicht betroffen. Alle unsere Systeme haben ein Back-Up, sodass wir wiederherstellen können, was wir verlieren.“

Ransomware unterstreicht die Bedeutung regelmäßiger Back-Ups. Dabei sollte darauf geachtet werden, dass die Back-Ups am besten offline durchgeführt und aufbewahrt werden. Denn CryptoLocker oder Cryptowall verschlüsseln alle zugänglichen Speicher, auch Back-Up-Daten werden überschrieben. Häufig bleiben die Back-Ups nur intakt, wenn sie offline und getrennt aufbewahrt werden. Für Opfer von Ransomware kann gerade dieser Punkt ausschlaggebend sein. Heutzutage ist Speicherplatz günstig zu haben.

Darüber hinaus ist zu bedenken: Um die Daten überhaupt verschlüsseln zu können, müssen die Hacker Zugriff auf die Schreibrechte erhalten. Auch diese zu schützen, sollte also in Erwägung gezogen werden.

Tests mit Cryptowall zeigten, dass sich die Lösegeldforderung drei Mal auf bis zu 600 US-Dollar erhöhte – danach sind alle Daten verloren. Cisco-Forscher dazu: „Diese Drohung sollte ernst genommen werden. Andere Ransomware ist dafür bekannt, ihre Drohungen wahr zu machen.

Artikel von arstechnica.com, 07.06.2014: We “will be paying no ransom,” vows town hit by Cryptowall ransom malware
Artikel von networkworld.com, 06.06.2014: Malicious advertisements on major websites lead to ransomware