Euer Rechner läuft unter Linux? Na, dann ist ja alles gut. Meinetwegen auch, wenn ihr ein Apple-Produkt benutzt. Alles nicht der Fall? Windows drauf, aus Gründen? Okay. Dann jetzt wirklich aufgepasst und weitergesagt, weil man das überhaupt nicht oft genug sagen kann und weil es im Moment noch mehr gilt als sowieso: Finger weg von obskuren E-Mail-Anhängen.
Wenn bei euch ne Mahnung oder ähnliches per Mail eintrudelt, mit der ihr nichts anfangen könnt, dann MACHT. SIE. NICHT. AUF. Auch nicht „nur mal ganz kurz“, weil ihr so neugierig seid. Nur mal ganz kurz gucken wollt. MACHT. ES. EINFACH. NICHT.
Warum? Weil seit etwa einer guten Woche ein neuer, fieser Trojaner (bzw. inzwischen schon mehrere Derivate davon) im Umlauf ist. Gegen den gibt es im Moment noch kein vernünftiges „Heilmittel“: Man kann ihn zwar entfernen (wenn ihr das nicht selbst mit Hilfe entspr. Anleitungen im Netz hinbekommt, könnt ihr euch an PC-Dienst eures Vertrauens wenden, für Berlin und Umgebung empfehle ich mal ganz uneigennützig diesen hier ;)), aber jedes dieser Pferdchen verschlüsselt vorher Dateien. So richtig fies. Und bisher gibt’s noch keine verlässliche Möglichkeit, die wieder zu entschlüsseln. Nicht mal die schnellen Engel auf den einschlägigen Boards (für D insbesondere trojaner-board.de und forum.botnet.de) haben bisher eine Möglichkeit zur Entschlüsselung gefunden.
Zumindest bisher könnt ihr euch das gemeine Biest nur per E-Mail einfangen, nicht beim Surfen via Verteilung über Bannernetzwerke. Die gängigen Virenscanner erkennen, wenn aktualisiert(!), inzwischen die Versionen, die seit einigen Tagen kursieren, aber da täglich neue dazukommen, sollte sich niemand darauf verlassen.Wenn ihr, warum auch immer…, doch einen entsprechenden Mailanhang anklickt und damit ausführt, ist wirklich schnell die Kacke am Dampfen.
Schauen wir uns doch einmal ein bisschen näher an, worum es sich handelt:
(fyi: Wer meinen Artikel hier gelesen hat, kennt von Nachstehendem schon Teile. Aber nicht alles.)
Version
Bei dem aktuellen Trojaner handelt es sich um eine seit einer guten Woche kursierende neue Version des Ukash/Paysafe-Trojaners, auch gerne „BKA-Trojaner“ genannt. Schon in den letzten Wochen wurden verschiedene mehr und mehr verschärfte Varianten des BKA-Trojaners in Umlauf gebracht:
Waren bis dato vor allem Versionen im Umlauf, die dem Nutzer schlicht den Zugriff auf sein System verweigerten bzw. erschwerten und stattdessen eine Grafik mit Zahlungsaufforderung einblendeten, begann vor etwa sechs Wochen BKA-Trojaner-Versionen die Verbreitung von Trojanern, die begannen, Anwendungsdateien und systemrelevante Dateien zu verschlüsseln. Am 11. Mai berichtete heise online (der Text ist entsprechend auch in der aktuellen c’t im Print abgedruckt): „verschlüsseln aktuelle Versionen des Trojaners Dateien, sodass deren Inhalt auch nach einer Reinigung des Rechners nicht ohne Weiteres wieder zugänglich ist“. Zu diesem Zeitpunkt setzte die Schadsoftware aber (im Vergleich zu den jetzt aktiven) noch vergleichsweise einfache Algorithmen (RC4) ein, sodass, als das erst einmal herausgefunden war (das muss ja auch erst mal jemand errätseln..), sich die betroffenen Dateien nach der Entfernung des Trojaners noch mit relativ geringem Aufwand wieder herstellen ließen. Hier sei insbesondere auf ein auf dem Trojaner-Board frei zugänglich gemachtes Reparaturtool verwiesen (andere folgten).
Umfangreicherer Algorithmus
Am vermutlich zuerst 15. Mai 2012 wurde dann eine neue Version des Trojaners bekannt, welcher möglicherweise mit einem umfangreicheren Algorithmus verschlüsselt. Betroffen sind „nur“ die ersten 3.000 Zeichen einer Datei (vorher 4KB); der Schlüssel selbst ist aber vermutlich deutlich länger, was ein Entschlüsseln massiv erschwert; die Art der Codierung konnte bisher noch nicht nachvollzogen werden. Lagen beim Vorgänger die verschlüsselten Dateien in der zumindest noch wiedererkennbaren Benennung locked-.
Dies trifft so auch für die inzwischen bekannt gewordenen Derivate zu.
Warum kann man das nicht so einfach wieder zurückübersetzen?
Um die verschlüsselten Dateien, welche der Trojaner hinterlässt, wieder entschlüsseln zu können, benötigt man halt – richtig, den Schlüssel. Es gilt also, den Algorithmus herauszufinden, den der Trojaner benutzt, um die Dateien zu verschlüsseln. Das ist bisher noch nicht gelungen. Warum? Nun, jemand Schlaues muss sich den Trojaner (genau genommen, denn in Details unterscheiden die sich, sogar jede dieser neuen Trojaner-Varianten -wie gesagt, es sind inzwischen noch diverse aufgetaucht!) installieren, z.B. in einer virtuellen Maschine. Dann muss der Trojaner in einem Debugger gestartet werden. Während der Trojaner dann macht, was er halt macht, muss die schlaue Person 😉 dann versuchen, die Stelle rauszufinden, in welcher die Verschlüsselungsroutine steht. Das ist aber nicht so einfach, denn, wie ich mir erklären lassen habe: Das Teil installiert sich selbst, beendet sich bald wieder und startet sich dann im Hintergrund über nicht so leicht als infiziert erkennbare Windowsfunktionen. Die Originaldatei wird währenddessen vom Trojaner selbst wieder gelöscht, was alles nochmal unnötig verkompliziert.
Kurz: Das Ganze ist ziemlich tricky. Einige ziemlich renommierte Leute scheinen sich im Moment damit auseinanderzusetzen, aber falls jemand von euch noch Lorbeeren sucht und/oder Langeweile und/oder gaaanz viel Zeit übrig hat, hier wäre ein fast gar nicht umfangreiches, nettes, kleines Projekt anzugehen… 😉
Was macht das Teil auf ’nem infizierten Rechner?
Nach Öffnen des E-Mail-Anhangs, welcher derzeit vor allem in Form einer fingierten Rechnung (unterschiedliche Varianten sind natürlich inzwischen auch vom Mailtext bekannt, tw. funktioniert das wohl sogar mit persönlicher namentlicher Anrede des Mailempfängers..) Aufmerksamkeit auf sich zieht, installiert sich unter C\Dokumente\Einstellungen\Benutzername\Anwendungsdaten\zufälligeZeichenfolge.exe eine .exe-Datei. Bei der Installation und Ausführung des Trojaners in einer virtuellen Maschine und Mitschneiden des dann ausgelösten Datenverkehrs via Wireshark ließ sich feststellen, dass der Trojaner dann zu einer Domain (Domain) zu verbinden versucht, die auf verschiedene IP-Adressen verweist, und von dort drei Dateipakete zurückgespielt bekommt. Den IP-Adressen zufolge stand der Hauptserver zum Testzeitpunkt am Montag in Peking. Russland und Kanada waren ebenfalls „mit dabei“; wie es heute oder morgen aussieht, vermag ich keinesfalls zu sagen, da sich die IP-Adressen natürlich ständig ändern können, je nach Referenz durch den Nameserver.
Zeitgleich beginnt der Trojaner, Dateien auf dem infizierten Rechner Daten zu verschlüsseln. Betroffen sind so ziemlich alle mit Schreib- und Leserechten ausgestatteten Laufwerke und so ziemlich alle anwenderüblichen Dateiformate – sämtliche als MS-Office-Dateien erkennbare Daten (.doc, .xls, .ppt u.a., auch OpenDocument-Dateien), diverse Bilddatei-Formate, pdf, Musikdateien, im Benutzerprofil sowie gegebenenfalls in weiteren Benutzerprofilen abgelegte Daten, Einstellungen des Browsers sowie E-Mail-Kontendaten,.. Eine besondere Gefahr stellt die Aktivierung eines solchen Trojaners innerhalb eines Netzwerks dar, da der Trojaner auch Netzwerkfreigaben verschlüsselt und insofern auch innerhalb sehr kurzer Zeit ganze Unternehmensnetzwerke lahmlegen kann.
Infektion?
Erste Notfallmaßnahme
Im Falle eines Verdachts auf Infektion sollte, um den Verschlüsselungsprozess zu unterbrechen, nach Möglichkeit unmittelbar die Internetverbindung gekappt werden, da ohne eine solche der Verschlüsselungsprozess mit Glück noch nicht gestartet ist oder jedenfalls vielleicht nicht vollumfänglich ausgeführt werden kann. Dies ist aber lediglich eine akute Notfallmaßnahme und kann, wenn überhaupt, nur bei Entdecken der Infektion unmittelbar bei Ausführen der Schad-Email wirksam sein (also wenn ihr versehentlich doch auf den Mailanhang geklickt habt und dann _sofort_ die Leitung kappt): Der Trojaner ist nämlich leider ziemlich schnell, im schlimmsten Falle so schnell, wie euer Festplatten-Controller es zulässt, und das wären dann durchaus bis zu 100MB pro Sekunde. Das heißt, dass, auch, wenn der Trojaner noch eure Festplatte nach bestimmten Dateien durchsucht, bevor er wirklich verschlüsselt und umbenennt, unter Umständen alle relevanten Daten auf einer handelsüblichen Festplatte bereits innerhalb weniger Minuten verschlüsselt sein können.
Trojaner-Entfernung
Wird der Befall erst nach Verschlüsselung der betroffenen Dateien entdeckt (und das ist, wenn ihr euch so ein Teil eingefangen habt, die wahrscheinlichere Variante), sollte der Trojaner zunächst entfernt werden (wie gesagt: Selber machen, wenn ihr das könnt, oder professionelle Hilfe ranlassen). Dann solltet ihr eure Daten, verschlüsselte wie freie, sichern (lassen) – am besten macht als Komplettabbild der Festplatte, z.B. auf einer externen Festplatte.
Erst anschließend könnt ihr eine Systemwiederherstellung versuchen (lassen) oder am besten gleich den Rechner neu aufsetzen (lassen). Bitte niemals eine Systemwiederherstellung ohne vorherige Datensicherung anstoßen, da bei der Wiederherstellung Daten teilweise unwiederbringlich überschrieben werden könnten! Und das wäre ja nun echt doof – auch bei den verschlüsselten Daten, denn vielleicht gibt’s ja bald ein Tool, mit dem die sich wieder dechiffrieren lassen.
Übrigens, Folgendes könntet ihr vielleicht noch versuchen, je nach Windows-Version: Falls ihr Vista oder W7 benutzt und eure Festplatte nur maximal halb voll war, wäre eine Volumenschattenkopie noch eine Möglichkeit (unter XP gibt es diese Option nicht), allerdings (jedenfalls, wenn ihr unter den Standard-Einstellungen gearbeitet habt) klappt das, wenn, nur für die Daten auf Festplatte C. In den einschlägigen Foren berichten einige Betroffene zudem, dass sich manchmal einzelne Dateien durch Anhängen einer sinnvollen Dateiendung wieder öffnen ließen (bspw. bei vermuteter mp3-Datei .mp3 an den Kauderwelsch-Buchstabensalat anhängen). Derzeitigen Beobachtungen nach scheinen dies aber Einzelfälle zu sein, möglicherweise ist auch in diesen Fällen die Verschlüsselung noch nicht umfänglich abgeschlossen gewesen.
Nicht bezahlen!
Keinesfalls solltet ihr der mit dem Trojaner einhergehenden Forderung nach einer Geldzahlung, welche üblicherweise durch die Einblendung eines Bildschirmbildes gefordert wird, nachgeben – auch nach Zahlung ist eine Entschlüsselung der Daten nicht sicher, zudem ist ohne saubere Virusentfernung der Rechner weiterhin verseucht und jederzeit von extern fernsteuerbar.
Vorbeugen
– Arbeitet immer mit Backups UND trennt eure externe Festplatte mit der regelm. Datensicherung nach dem Speichern vom Rechner.
– Brennt wirklich wichtige Daten zusätzlich auf ne DVD, stellt sie in eine Cloud eures Vertrauens o.ä.
– Aktualisiert eure Software: Haltet Windows und all eure Programme aktuell, damit bekannte Sicherheitslücken geschlossen sind, und euren Virenscanner, damit möglichst wenig Krabbelgetier überhaupt zu euch durchdringt.
– Öffnet nicht einfach unüberlegt irgendwelche Dateianhänge an E-Mails.
– Überlegt euch genau, unter welchem Betriebssystem ihr arbeiten wollt, könnt, müsst. Vielleicht könnt ihr ja doch auf Linux umsteigen?…
Weiterlesen
Hier der Hauptthread zum Thema im Trojaner-Board, auch im botfrei-Forum (Anti-Botnet-Beratungszentrum) gibts sicherlich mehr als einen Thread dazu, und wer googelt, findet vermutlich sehr schnell noch mehr.