Trojaner - Gefährliche Besucher

Informationen für mehr Sicherheit im Internet.

Die antike Stadt Troja, 10 Jahre belagert von einem griechischen Heer nach der Entführung der schönen Helena. Mit dem bekannten trojanischen Pferd schließlich konnten die Griechen den Krieg für sich entscheiden.

Soviel zur griechischen/römischen Mythologie.

Von Troja zum Trojaner

Ähnlich wie sich die Griechen mit dem Pferd hinter die hohen Mauern Trojas schmuggelten, kommen auch die Trojaner im Verborgenen auf das eigene Computer-Betriebssystem. Die kleinen Programme können teils erheblichen Schaden anrichten – der Verschlüsselungs-Trojaner (auch Crypto-/Krypto-Trojaner genannt) nimmt dabei eine besonders gemeine Rolle ein.
In 2016 stellen die Schädlinge eine ganz neue Bedrohungswelle dar, betroffen sind nicht nur Endanwender sondern auch kleine und mittlere Firmen bis hin zu größeren Netzwerken.

Vorgehensweise

Angekommen auf dem Zielsystem beginnt er damit Dateien zu verschlüsseln. Hat er diese Arbeit abgeschlossen, wird dem Nutzer eine Meldung angezeigt die ihn über den Trojaner informiert und, dass die einzige Methode seine Daten zurückzuerhalten ist, ein Lösegeld an die Autoren des Trojaners zu zahlen. Aufgrund dieser Methode spricht man in diesem Zusammenhang auch von "Ransomware". Aktuelle Vertreter sind "Locky" und "TeslaCrypt" die sich mit unglaublicher Geschwindigkeit auf deutschen Computern verbreiten und auch z.B. ins Netzwerk des Fraunhofer-Instituts eingedrungen sind.

Das Problem mit Krypto-Trojanern

Konnte man andere Schadsoftware noch z.B. durch Ausbau der Festplatte oder mithilfe eines Anti-Virenprogramms per Boot-CD bekämpfen, setzt dies der Krypto-Trojaner außer Kraft. Denn man zwar den Schädling entfernen allerdings wären die Dateien weiterhin unbrauchbar. Es muss also die Verschlüsselung geknackt und der Trojaner entfernt werden.

"Dann zahle ich eben den geforderten Betrag!"

Es wäre eine Möglichkeit den Betrag zu zahlen, leider gibt es hier keine Garantie, dass man dann wirklich eine Entschlüsselung seiner Daten erhält – ob sich dann eine geheime weitere Version des Trojaners auf dem System versteckt hält, lassen wir mal außen vor. Zusätzlich werden die Zahlungen so abgewickelt, dass dem Geschädigten keine Möglichkeit zur Identifizierung der Täter ermöglicht wird.

Verschlüsselung der Daten

Wie bereits beschrieben werden die Daten verschlüsselt, also so verändert abgespeichert, so dass sie nur mit dem passenden Schlüssel wieder lesbar werden. Grundsätzlich könnte man sagen: jeder Verschlüsselung lässt sich knacken. Das ist nicht ganz richtig aber auch nicht ganz falsch.
In der Vergangenheit war es so: nach einer gewissen Zeit gab es Programme zur Entschlüsselung der Daten, da die einheitliche Trojanercodes geknackt wurde. So wurde ihm, mehr oder weniger, die Geschäftsgrundlage entzogen.
Mittlerweile haben sich Verschlüsselungen weiterentwickelt, einfach ausgedrückt: jedes infizierte System ist mit einem eigenen Schlüssel verschlüsselt, so dass es keine generelle Lösung gibt die Daten zu entsperren also Verschlüsselung des Krypto-Trojaner zu entschlüsseln.

Unterschiedliche malware (Schadsoftware)

Neben den Trojanern gibt es weitere Programme die auf einem System viel Schaden anrichten können. Oftmals werden die die Begriffe auch synonym verwendet. Der Virus ist dabei das bekannteste Problem mit dem die Computernutzer zu kämpfen haben – viele Millionen schwirren auf heimischen PCs und im Internet herum. Mit Einsatz einer aktuellen Anti-Viren-Software stellt ein Großteil der Viren aber keine akute Gefahr dar. Einer der bekanntesten Vertreter dürfte wohl der Loveletter / Liebesbrief "I-love-you-Virus" sein. Hierbei wird deutlich, wie sehr die Begriffe verschwimmen, denn I-love-you ist ein Computerwurm. Würmer sind im Gegensatz zu Viren selbst aktiv, der Virus hingegen wartet (passiv) darauf, dass eine Datei vom Benutzer ausgeführt wird und er sich verbreiten kann. Ein Wurm dagegen sucht aktiv nach Schlupflöchern. Daher werden mit seiner Hilfe z.B. Trojaner erst auf ein System gebracht.
Eine Definition und Auflistung der verschiedenen Begriffe finden Sie bei Wikipedia.

Verbreitung

Durch die fortschreitende Vernetzung verbreiten sich die malware wesentlich schneller als noch vor ein paar Jahren. Bevor fast jeder Haushalt ans Internet angeschlossen war, wurden die Viren meist durch Speichermedien wie Disketten, CDs und die USB-Speichersticks weitergereicht. Dies kann natürlich nach wie vor passieren!
Mittlerweile werden die unliebsamen Programme häufiger über Emails und angehängte Dateien verbreitet. Durch öffnen von diesen Datei-Anhängen werden Trojaner und Viren praktisch aktiv auf den Computer eingeladen. Dabei spielt es kaum eine Rolle um welchen Datei-Typ es sich handelt. Ob nun infizierte Office-Dateien, Bilder, mp3 oder die beliebten pdfs, alle können betroffen sein. Noch schwieriger zu erkennen ist die Verbreitung über Websites. Hier können über das als veraltet und unsicher eingestufte Flash (häufig für kleine Videos oder Animationen verwendet) oder auch per JavaScript (führt oftmals dynamische Inhalte auf einer Website aus) Trojaner auf den eigenen Computer gelangen. Der Trojaner „Locky“ macht diesbezüglich von sich reden.

Schutz

Zwei Dinge vorweg: die meiste Schadsoftware funktioniert nur auf Windows von Microsoft und einen 100% Schutz gibt es nicht! Ersteres hat vor allem mit der Verbreitung als meistgenutztes Betriebssystem zu tun. Gerne wird in der öffentlichen Diskussion auf sicherere Systeme wie von die Apple oder der Open Source Software Linux verwiesen. Die Vergangenheit hat aber gezeigt, dass hier ebenfalls Schadprogramme möglich sind.

Wie kann man sich also bestmöglich schützen?

1. Tipp: Erst denken dann klicken! Gesunder Menschenverstand schadet nicht. Wenn Sie keine Rechnungs-Email erwarten, warum sollten Sie diese dann anklicken? Bei jeder Nachricht sollte man sich kurz die Frage stellen: erwarte ich eine solche Email?

2. Tipp: Regelmäßig Updates und Pflege. So wie man seinen Wohnraum regelmäßig sauber hält, so sollte es auch für das virtuelle Heim gelten. Das Betriebssystem, der Browser sollten immer aktuell gehalten und ungenutzte Programme entfernt werden. Eine Anti-Viren-Software gehört ebenfalls zur Ausstattung!

3. Tipp: Sie sollten regelmäßige Backups erstellen. Zwar dienen Backups nicht dem Schutz im eigentlichen Sinne, aber sie schützen Sie vor Datenverlust. Dabei muss es nicht mal ein Krypto-Trojaner oder besonders bösartiger Virus sein, schon ein Defekt am Rechner (PCs. Laptop) kann zu Datenverlust führen. Für die Datensicherung sollte man ein unabhängiges Speichermedium wie z.B. eine externe Festplatte verwenden, auch Sicherung in der Cloud ist eine Möglichkeit. Wichtig hierbei: die Verbindung darf nicht dauerhaft bestehen, da sonst das Risiko besteht, dass die ungeliebten Besucher sich auch auf dieses Medium verbreiten.

Weitere Informationen

Neben Locky und Teslacrypt gelangt auch der "Bundestrojaner" oder „Bayerntrojaner“ in Deutschland zu zweifelhaftem Ruhm. Da die Funktionsweise des Trojaners, im Einsatz der deutschen Behörden, von Dritten missbräuchlich ausgenutzt werden kann.
Abgesehen von Rechnern sind auch Smartphones und Android mittlerweile ins Visier geraten. Der Schädling mit dem Namen "Mazar" infiziert die Android-Geräte. Interessanterweise lässt er dabei Nutzer mit der Spracheinstellung "russisch" in Ruhe und schaltet sich ab. Auch auf dem Smartphone gilt also "safety first", Apps bestenfalls nur aus den Stores installieren und keine Dateianhänge mit unbekannter Quelle öffnen!
Seit Februar 2016 verbreitet sich der trun-Trojaner, der auch zu den Verschlüsselungs-Trojanern zählt. Um seine Arbeit aufnehmen zu können benötigt er Admin-Rechte für Windows, sollte man also die bekannte Abfrage - "möchte Sie die Installation zulassen?" - erhält ohne dass man etwas installieren möchte, auf jeden Fall auf "nein" klicken.

Update März 2016: Weitere Ransomware ist aufgetaucht. Der Trojaner "PowerWare" nutzt die Windows PowerShell um den Computer zu infizieren und die Daten zu verschlüsseln. "Petya" wird hingegen nicht direkt per Email verschickt, sondern fordert den Nutzer lediglich auf eine Datei von dem Cloudanbieter Dropbox herunterzuladen, da "die Datei zu groß zum verschicken gewesen sei". Also Vorsicht vor Datei-Anhängen, oder Aufforderungen zum Download.

Schnelle Hilfe – was kann ich tun?

Infektion: Schon beim ersten Verdacht darauf, dass Ihr System von einem Trojaner oder Virus infiziert sein könnte sollten sie eins tun: abschalten! In den meisten Fällen braucht es eine gewisse Zeit bis ihr ganzes System infiziert ist oder die Verschlüsselung des Trojaners greift.

Datenrettung: Im ersten Schritt sollten Sie versuchen Ihre Daten vom infizierten Notebook/PC zu sichern, sprich auf ein Speichermedium zu kopieren. Um eine weitere Infektion zu verhindern nutzen Sie hierfür am besten eine sogenannte Boot-CD die von den Anti-Viren-Programm-Herstellern angeboten werden. Auf diesen CDs läuft eine einfache Linux-Version, auf die der Schädling keinen Zugriff hat, sie aber an Ihre Daten kommen. Mit dieser CD können Sie ihr System starten und die persönlichen/wichtigen Daten auf ein anderes Speichermedium übertragen. Danach lässt sich mit dem mitgeführten Anti-Viren-Scanner Ihre Festplatte untersuchen und ggf. der Schädling entfernen.

Schutz: Immer wieder wird darauf hingewiesen aktuelle Software zu nutzen. Dies verringert die potentiellen Gefahrenquellen da die Softwarehersteller auf Sicherheitslücken reagieren. Ein aktuelles Anti-Viren-Programm schützt Ihre Datensammlung gegen rund 90% der Angreifer. Die Firma "Malwarebytes" hat sich darauf spezialisiert gegen Trojaner vorzugehen und stellt für Heimanwender kostenlose Software zur Verfügung.