Netzwelt

Neue Nachricht an Opfer

"WannaCry"-Erpresser betteln um Lösegeld

Die Erpressersoftware "WannaCry" hat weltweit Computer lahmgelegt. Nun haben die Täter ihre Opfer noch einmal kontaktiert - ausgerechnet, um an die Ehrlichkeit der Betrogenen zu appellieren.

B. TONGO/ EPA/ REX/ Shutterstock

"WannaCry"-Sperrbildschirm mit Lösegeldforderung

Von
Freitag, 19.05.2017   12:24 Uhr

Am Donnerstag haben sich die "WannaCry"-Erpresser überraschend bei ihren Opfern gemeldet - zumindest bei solchen, die nach wie vor die Schadsoftware auf ihrem Rechner haben. Über dem roten Sperrbildschirm mit der Lösegeldforderung poppte eine Botschaft der Kriminellen auf, im Format einer Fehlermeldung.

"Sie haben eine neue Nachricht", hieß es dort: "Ich habe bereits Dekryptierungs-Schlüssel an viele Kunden geschickt, die den korrekten Betrag in Bitcoin überwiesen haben. Und ich garantiere solch ehrlichen Kunden die Entschlüsselung", steht dort. Anders formuliert: Wer nun endlich zahlt, bekommt auch seine Daten zurück - behaupten zumindest die Erpresser.

Hier ist die ganze Nachricht im englischen Wortlaut:

"You have a new message: I have already sent decryption keys to many customers who had sent me the correct amounts of bitcoin, and I guarantee the decryption for such honest customers. Send me a message with your unique bitcoin wallet address an hour before your payment. The you will receive the decryption key more quickly."

Die Sicherheitsfirma Symantec hatte die Meldung auf einem ihrer Honeypot-Rechner gefunden, auf einem Gerät also, das absichtlich infiziert wurde, als eine Art Malware-Falle.

Mehr als 200.000 Rechner betroffen

"Die Nachricht hat uns überrascht, das ist schon sehr unüblich", sagt Sicherheitsforscher Candid Wüest von Symantec. Eigentlich habe man nicht mehr damit gerechnet, überhaupt noch etwas von den Kriminellen zu hören.

Bisher seien auch die von Opfern gezahlten Bitcoin von den Kriminellen nicht ausgelöst worden - wobei das Wüest zufolge kaum überrascht, blicken doch Ermittler und Forscher weltweit auf jede Regung in dem Fall. Von dem "WannaCry"-Angriff waren mehr als 200.000 Rechner weltweit betroffen.

Allerdings ist im Verhältnis dazu bislang wenig Lösegeld gezahlt worden. Das dürfte unter anderem daran liegen, dass Experten über die Medien eindringlich davon abgeraten haben. Laut Wüest waren unter den überschaubaren Zahlungen auch gefälschte Bitcoin-Anweisungen, hinter denen sich statt der geforderten rund 300 Dollar nur wenige Cent verbargen.

Ein Appell an die Ehrlichkeit - der Betroffenen

In den vergangenen Tagen war immer wieder spekuliert worden, dass die Daten selbst im Fall einer Zahlung für immer verloren sein könnten. Experten hatten nämlich herausgefunden, dass die Kriminellen im Fall von Zahlungen jeden Rechner händisch entschlüsseln müssten und dafür kaum Zeit haben dürften.

"Das war tatsächlich zunächst ein Programmierfehler", sagt Sicherheitsforscher Wüest. In späteren Versionen der Malware sei der aber von den Kriminellen behoben worden. Die Daten könnten dann auch automatisiert entschlüsselt werden.

Auf all das spielt die neue Nachricht der Erpresser an, die ausgerechnet mit dem Appell an die Ehrlichkeit der Betrogenen daherkommt. Ein Sicherheitsforscher berichtet übrigens auf Twitter, er habe die Nachricht bekommen, nachdem längst eine Bitcoin-Zahlung stattgefunden habe.

Daten können zum Teil auch ohne Zahlung entschlüsselt werden

Forscher Wüest mutmaßt, die Nachricht könnte eine Verzweiflungstat der Erpresser sein, weil bisher kaum jemand gezahlt hat. Vielleicht sei sie auch schlicht ein Versuch, für Sicherheitsexperten und Ermittler eine falsche Fährte zu legen, die es weltweit auf die Erpresser abgesehen haben.

Die kuriose Bitte, nun doch aber wirklich endlich mal zu überweisen, dürfte viele Opfer genau einen Tag vor Ablauf der Zahlungsfrist erreicht haben. Denn die Kriminellen hatten ihre Lösegeldforderungen an perfide Bedingungen geknüpft: Wer nach drei Tagen nicht zahlt, muss das Doppelte anweisen, heißt es. Nach sieben Tagen sei die Chance, die Daten wiederzubekommen, dann endgültig vertan. Die erste Welle der Infektionen begann am Freitag vor einer Woche.

Für Opfer des Erpressungstrojaners hat der Sicherheitsforscher Candid Wüest vielleicht auch noch eine gute Nachricht: Mittlerweile hätten er und seine Kollegen herausgefunden, dass gar nicht per se alle Daten auf den betroffenen Rechnern durch die Malware verschlüsselt wurden. Es handele sich hauptsächlich um die auf dem Schreibtisch (Desktop) und die Dateien unter "Eigene Dokumente".

Die anderen seien bloß in den Papierkorb verschoben und dieser geleert worden - man könne sie aber prinzipiell wieder zurückbekommen. Dazu benötige man ein Programm zur Wiederherstellung, sagt Wüest. So ließen sich zumindest einige Dateien doch noch retten.

insgesamt 85 Beiträge
ultimatebauer 19.05.2017
1. Die Rechtschreibung ist ein Graus
Ich würde mir manchmal einen Trojaner wünschen, der die Artikel korrigiert: "Für Opfer von dem Erpressungstrojaner" Auch Satzstellung in "Vielleicht sei sie auch schlicht ein Versuch, für Sicherheitsexperten [...]
Ich würde mir manchmal einen Trojaner wünschen, der die Artikel korrigiert: "Für Opfer von dem Erpressungstrojaner" Auch Satzstellung in "Vielleicht sei sie auch schlicht ein Versuch, für Sicherheitsexperten und Ermittler eine falsche Fährte zu legen, die es weltweit auf die Erpresser abgesehen haben." PS.: Ich lege keinen besonderen Wert auf die Veröffentlichung dieses Beitrags; lieber wäre mir eine Korrektur des Artikels und eine Nachschulung für die verantwortliche RedakteurIn.
Frokuss 19.05.2017
2.
Jetzt weis ich auch warum ich die Daten nicht in den von Windows vorgegebenen speichere. Mich neren sogar diese Ordner aus der Schnellleiste. Und dann noch dieser blöde OneDrive Müll. Ich frage mich aber trotzdem, wie sich die [...]
Jetzt weis ich auch warum ich die Daten nicht in den von Windows vorgegebenen speichere. Mich neren sogar diese Ordner aus der Schnellleiste. Und dann noch dieser blöde OneDrive Müll. Ich frage mich aber trotzdem, wie sich die Leute den Quatsch geholt haben? Öffnen die sogar Spam-Mails und versuchen die zu beantworten?
Gmorker 19.05.2017
3. honest customer?
Seine Erpressungsopfer als "ehrliche Kunden" zu bezeichnen ist schon eine besondere Art von Dreistigkeit.
Seine Erpressungsopfer als "ehrliche Kunden" zu bezeichnen ist schon eine besondere Art von Dreistigkeit.
alexanderrr 19.05.2017
4.
Alles was man brauchte war ein Rechner mit einem Uralten Betriebsystem vor dessen Benutzung selbst der Hersteller seit Jahren warnt. Es war abzusehen das das irgendwann kommt. Und im Grunde lief das noch sehr, sehr [...]
Zitat von FrokussJetzt weis ich auch warum ich die Daten nicht in den von Windows vorgegebenen speichere. Mich neren sogar diese Ordner aus der Schnellleiste. Und dann noch dieser blöde OneDrive Müll. Ich frage mich aber trotzdem, wie sich die Leute den Quatsch geholt haben? Öffnen die sogar Spam-Mails und versuchen die zu beantworten?
Alles was man brauchte war ein Rechner mit einem Uralten Betriebsystem vor dessen Benutzung selbst der Hersteller seit Jahren warnt. Es war abzusehen das das irgendwann kommt. Und im Grunde lief das noch sehr, sehr Harmlos. Man stelle sich vor der verwendete Exploit der NSA wäre aktuell gewesen und hätte sämtliche Windows Systeme befallen können. Man stelle sich weiter vor die Malware-Entwickler hätten nicht so viele Fehler gemacht. Was dann los wäre....
Morpheus Nudge 19.05.2017
5.
Das Anklicken von Emailanhängen ist eine Sache. In einer noch nicht ausgelaufenen Windows-Version hätte dies - wenn ich mich nicht irre - keine Konsequenzen, denn die Windows-Sicherheitslücke wurde - wenn ich es richtig [...]
Zitat von FrokussJetzt weis ich auch warum ich die Daten nicht in den von Windows vorgegebenen speichere. Mich neren sogar diese Ordner aus der Schnellleiste. Und dann noch dieser blöde OneDrive Müll. Ich frage mich aber trotzdem, wie sich die Leute den Quatsch geholt haben? Öffnen die sogar Spam-Mails und versuchen die zu beantworten?
Das Anklicken von Emailanhängen ist eine Sache. In einer noch nicht ausgelaufenen Windows-Version hätte dies - wenn ich mich nicht irre - keine Konsequenzen, denn die Windows-Sicherheitslücke wurde - wenn ich es richtig erinnere - bereits vor Monaten geschlossen. Aber nicht mehr in bereits abgelaufenen Windows-Versionen wie Windows-XP, und genau hier liegt das Problem: Weiterverwendung nach Ablauf des Supports oder Nicht-Aktualisierung einer noch supporteten Windows-Version. Gäbe es keine alten und nicht aktualisierten Windowssysteme am Internet, hätte WannaCry vermutlich überhaupt nichts bewirkt. (ich lasse mich gerne von kompetenteren Nutzern eines Besseren belehren)

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

TOP