Privatanwender und Studenten Falsches Windows-Update nimmt Computer als Geisel
News folgenCyberkriminelle hinter der Ransomware "Magniber" zielen jetzt direkt auf Privatanwender und Studenten: Sie tarnen ihre Schadsoftware als Windows-10-Update. Die Opfer müssen zahlen oder verlieren alle Daten.
Sogenannte Ransomware – also Schadsoftware, die alle wichtigen Daten auf einem Computer verschlüsselt und diese nur gegen ein Lösegeld (englisch: "Ransom") wieder freigibt – war in den vergangenen Jahren vor allem ein Problem für Unternehmen. Bei ihnen bedeutet ein kompletter Systemausfall meist große Verluste, sodass viele Firmen offenbar bereit sind, den Kriminellen große Summen zu zahlen.
Doch derzeit droht besonders Privatanwendern und Studierenden Gefahr durch Ransomware, wie die IT-Sicherheits-Site "Bleeping Computer" berichtet: Kriminelle haben ihre Schadsoftware "Magniber" nun als Windows-10-Update getarnt. Die Ransomware-Kampagne soll im April gestartet worden sein und habe mittlerweile massive Ausmaße angenommen.
Leser, die ebenfalls Opfer der "Magniber"-Attacke geworden waren, berichten, dass sie zuvor eine Datei gestartet hätten, die sich als Update für Windows 10 ausgegeben habe. Der Dateiname sei nicht immer gleich, am häufigsten lautete er aber "Win10.0_System_Upgrade_Software.msi" oder Security_Upgrade_Software_Win10.0.msi", wie "Bleeping Computer" schreibt.
Noch unklar, wie die falschen Updates verbreitet werden
Nicht ganz klar sei derzeit, auf welchem Weg die falschen Updates vornehmlich verbreitet werden – allerdings geht die Schadsoftware immer gleich vor, sobald sie installiert wurde: Zunächst werden alle versteckten Kopien und Back-ups der Daten gelöscht, die Windows etwa anlegt, wenn ein automatischer Systemwiederherstellungspunkt gesetzt wird.
Anschließend verschlüsselt die Software alle Dateien und versieht sie mit einer zufälligen, acht Zeichen umfassenden Endung. So verschlüsselte Dateien sind ohne passenden Schlüssel quasi verloren, da sie sich nicht mit herkömmlichen Mitteln und vertretbarem Aufwand knacken lassen.
Deshalb wird in jedem verschlüsselten Ordner zusätzlich eine Readme-Datei hinterlegt, wo die Opfer Hinweise finden, wie sie wieder an ihre Daten herankommen – nämlich, indem sie Lösegeld bezahlen. Dazu muss der Tor-Browser installiert und ein direkt fürs Opfer erzeugter Link damit geöffnet werden.
Auf der angegebenen Seite erfahren die Opfer den Preis: Der liegt laut "Bleeping Computer" derzeit bei 0,068 Bitcoins, umgerechnet etwa 2.500 Euro. Dort wird außerdem nicht an den üblichen psychologischen Druckmitteln gespart: Ein Timer zeigt an, dass dies lediglich ein "Special Price" sei, der nur ein paar Tage lang verfügbar sei. Zudem wird damit gedroht, dass wichtige Daten an Kontakte geschickt und im Internet veröffentlicht werden.
Dass diese Drohungen tatsächlich auch umgesetzt werden, ist eher unwahrscheinlich. Allerdings dürften die Daten der Opfer vorerst verloren bleiben. Ob die Entschlüsselung bei Zahlung wirklich klappt, ist nicht sicher. Experten raten, die verschlüsselten Dateien zu sichern und wegzulegen, falls später ein Entschlüsselungstool auftauchen sollte.
Generell sollten Windows-Nutzer Updates nach Möglichkeit nur über die Microsoft-Seite beziehen – und diese auch selbst im Browser ansteuern und keinen Link dorthin anklicken. Noch besser ist es natürlich, wenn man die automatischen Updates aktiviert und dafür sorgt, dass Windows ausreichend oft und lange mit dem Internet verbunden ist (am besten mehrere Stunden pro Woche), um Aktualisierungen selbständig herunterzuladen und zu installieren.
- Bleeping Computer: Fake Windows 10 updates infect you with Magniber ransomware
