Ransomware lernt neue Tricks

Die Verbreitung von Krypto-Trojanern hat in den vergangenen Monaten extrem stark zugenommen. *Bild: BSI*

Ende März tauchte der Erpressungs-Trojaner Petya auf, der den Master Boot Record (MBR) der Festplatte manipuliert, um den gesamten Rechner zu blockieren. Anschließend zwingt er Windows per Bluescreen zum Neustart. Danach meldet sich nicht mehr das installierte Betriebssystem, sondern der Schädling mit seiner Erpresser-Botschaft. Bei Redaktionsschluss war noch nicht klar, ob und wie der Schädling verschlüsselt. Auch TeslaCrypt hat neue Tricks gelernt: Version 4.0 hängt keine Namenszusätze mehr an verschlüsselte Dateien. Das macht es für Opfer schwerer zu verstehen, was mit ihren Dateien passiert ist. Darüber hinaus soll der Trojaner mehr Informationen (DigitalProductID, MachineGuid und SystemBiosDate) über den infizierten Computer auslesen können, um daraus den individuellen Schlüssel zu erzeugen. Dieser verbleibt außer Reichweite der Opfer auf den Command-and-Control-Servern der Kriminellen. Aktuell ist kein Weg bekannt, die Verschlüsselung zu knacken.

Ein weiterer neuer Krypto-Trojaner namens Surprise fällt durch seinen ungewöhnlichen Verbreitungsweg auf: Betroffene berichten, dass er vermutlich über die Fernwartungs-Software TeamViewer aufs System geschleust wurde. Anscheinend missbrauchen die Täter kompromittierte TeamViewer-Accounts, um sich mit den Rechnern der Opfer zu verbinden und die Infektion anzustoßen. Wie verbreitet das Problem Ransomware insbesondere in Deutschland ist, geht aus einer kürzlich veröffentlichten Dokumentation des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor: Hierzulande wurden im Februar mehr als zehn Mal so viele Erpressungs-Trojaner gesichtet wie noch drei Monate zuvor im November 2015. Weltweit stieg die Verbreitung immerhin um das Sechsfache an. Als Hauptverursacher der aktuellen Trojaner-Schwemme in Deutschland sieht das nationale IT-Lagezentrum den über Spam-Mails verteilten Erpressungs-Trojaner Locky. Wie man sich vor solcher Ransomware schützt und was man im Fall der Fälle noch retten kann, haben wir ausführlich in c’t 7/16 beschrieben. (des@ct.de/rei@ct.de)

BSI-Dokumentation zu Ransomware: ct.de/y9b9

ProtonMail wird erwachsen

Der Ende-zu-Ende-verschlüsselnde E-Mail-Dienst ProtonMail hat den Betastatus verlassen. Jeder kann sich nun für den in der Basis-Variante kostenlosen Service anmelden und loslegen. Parallel hat ProtonMail seine Apps für Android und iOS in den Stores zum Download freigegeben. In der kostenlosen Variante „ProtonMail Free“ sind 500 MByte Speicherplatz enthalten. Allerdings darf man nur maximal 150 Nachrichten pro Tag senden. „ProtonMail Plus“ bietet 5 GByte Platz und den Versand von 1000 Mails täglich – und kostet 5 Euro pro Monat.

Nutzer von ProtonMail greifen über das Web-Frontend oder die Apps auf ihr Postfach zu. IMAP oder POP ist im Konzept nicht vorgesehen, denn die Ver- und Entschlüsselung geschieht nach eigener Methode im Web- oder App-Client. Im August 2015 veröffentlichte ProtonMail den Quellcode seines damals aktuellen Webclients „ProtonMail 2.0“. Das ursprünglich am CERN erdachte ProtonMail-Prinzip war 2013 von den Forschern Jason Stockman, Andy Yen und Wei Sun in ein Unternehmen überführt worden. Nach deren Angaben nutzen zurzeit rund eine Million Kunden den Dienst. (hob@ct.de)

Sicherheitsproblem Keyless Entry betrifft viele Pkw

Mit Selbstbau-Hardware für wenige Hundert Euro gelang es dem ADAC, über Funk 24 Pkw-Modelle aufzuschließen und zu starten. *Bild: ADAC/Thiemel, Montage: Pitschi*

Der ADAC hat überprüft, wie viele Autos sich durch einen Missbrauch des „Keyless Entry“-Systems klauen lassen und kam dabei zu einem erschreckenden Ergebnis: Alle 24 untersuchten Fahrzeuge sind anfällig – obwohl der Angriff seit Jahren bekannt ist. c’t hat zuletzt in Ausgabe 26/15 ausführlich darüber berichtet. Keyless Entry ist eine Komfortfunktion, die inzwischen fast alle Autohersteller zumindest gegen Aufpreis anbieten. Befindet man sich mit dem Autoschlüssel in Fahrzeugnähe, entriegelt sich das Auto automatisch und lässt sich per Knopfdruck starten, ohne dass ein Schlüssel im Zündschloss steckt.

Angreifer können die Funkstrecke allerdings beliebig verlängern und so das Auto starten, während dessen Besitzer zum Beispiel einige Hundert Meter entfernt im Cafe sitzt. Die erforderliche Hardware hat sich der ADAC für wenige Hundert Euro selbst gebaut. Dieser sogenannte Relais-Angriff ist kein theoretischer, sondern wird laut ADAC-Informationen von Autoknackern bereits so praktiziert. Betroffen sind Fahrzeuge zahlreicher namhafter Hersteller wie Audi, BMW, Ford, Renault, Opel und VW. (rei@ct.de)

Liste geprüfter Pkw: ct.de/y9b9