×

Polizei warnt vor Trojanern

In den letzten Wochen hat die Kantonspolizei Graubünden mehrere Meldungen über Schadsoftware erhalten. Die Betrüger versuchen Computer damit zu verschlüsseln und anschliessend Gelbeträge zu fordern.

Südostschweiz
23.11.18 - 14:39 Uhr
Blaulicht
Mit einer Schadsoftware erpressen die Hacker ihre Opfer.
Mit einer Schadsoftware erpressen die Hacker ihre Opfer.
KANTONSPOLIZEI GRAUBÜNDEN

Laut der Kantonspolizei Graubünden häufen sich in den letzten Wochen Meldungen von erpresserischen Verschlüsselungs-Trojanern. Eine Schadsoftware, die auch Ransomware genannt werde, verschlüssle Computerdateien oder verbundene Netzlaufwerke und mache diese unbrauchbar. Wie es heisst, werden an potenzielle Opfer über eine Mitteilung auf einem Sperrbildschirm oder anhand eines unverschlüsselten Textfiles meist Geldforderungen gestellt. Dabei sei eine bestimmte Summe in Form von Bitcoins an die Angreifer zu bezahlen, damit die Daten wieder entschlüsselt werden. Von solchen Angriffen können sowohl Firmen als auch Private betroffen sein.

Die Kantonspolizei Graubünden rät zu folgenden Massnahmen, um sich präventiv vor Angriffen zu schützen:

- Ein sicheres Backup erstellen. Sicherungskopien sollten nach dem Backup-Vorgang vom Computer oder Netzwerk getrennt werden (offline Backup). Da der Zeitpunkt der Infektion länger zurückliegen kann, ist es sinnvoll mehrere und zeitlich unabhängige Backups zu erstellen.
- Betriebssysteme und sämtliche Programme sollen, auch mittels automatischer Updates, stets aktuell gehalten werden.
- Vorsicht bei verdächtigen Mails mit unbekanntem Absender. Keine Anhänge, besonders .js, .jar, .bat, .exe, .cpl, .scr, .com, .pif, .vbs, .ps1, öffnen und keine Links anklicken.
- Einen aktuellen Virenschutz verwenden. Diese erkennen in der Regel Trojaner kurz nach einer Verbreitung.
- Eine Firewall installieren und stets aktualisieren.

Falls man dennoch von einem Angriff betroffen ist, rät die Kantonspolizei Graubünden:

- Betroffenes Gerät sofort von allen Netzwerken trennen und eine Neuinstallation initialisieren und danach alle Passwörter ändern.
-Nicht infizierte Backup-Daten wieder zurückspiegeln. Wenn kein Backup vorliegt, die Daten behalten und allenfalls zu einem späteren Zeitpunkt entschlüsseln, falls öffentliche Schlüssel vorhanden sind.
- Nicht auf Geldforderungen zum Entschlüsseln eingehen. Sonst werden kriminelle Strukturen und ermöglichen es Tätern, weitere potenzielle Opfer zu erpressen. Es gibt keine Gewissheit, dass die Schlüssel ausgehändigt werden oder nicht neue Geldforderungen auftreten.
- Meldung an die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK.

Kommentieren
Wir bitten um euer Verständnis, dass der Zugang zu den Kommentaren unseren Abonnenten vorbehalten ist. Registriere dich und erhalte Zugriff auf mehr Artikel oder erhalte unlimitierter Zugang zu allen Inhalten, indem du dich für eines unserer digitalen Abos entscheidest.

Warum nennt man nicht den vollen Namen des Trojaners, damit die Computer-User entsprechend vorgewarnt werden? Meine Trojaner "Win32/Kovter.Allnk" wurde von der IP-Adresse 134.170.188.84. dann gab es einen weiteren Trojaner "HTML/Brocoiner!rfn", wo ich allerdings die IP-Adresse nicht abfangen konnte; diesen gab es aber nur einige Tage. Seit geraumer Zeit kommt immer wieder der Trojaner "Win32/Powessere.H"; dieser kommt u.a. von der IP-Adresse 93.143.188.251 - vermutlich Kroatien - oder 200.9.90.43 sowie 201.131.228.93 - beide vermutlich Brasilien -. Alle die vorgenannten Trojaner scheinen im grünen Feld des Berichtes nicht auf. Da der erstgenannte Trojaner längere Zeit immer wieder auftrat, habe ich mit meinem Schreiben vom 29.10.2017/H.MNX (A-39229) an die Staatsanwaltschaft Graubünden Bericht erstattet. Daraufhin verschwand der Trojaner. Das Schreiben der Kantonspolizei Graubünden vom 03.11.2017 (CH.16/A-39262) brachte keine verwertbaren Erkenntnisse und beinhaltete nur allgemeine - von mir bereits in Verwendung befindliche - Firewall-Massnahmen. Wegen der laufenden Bedrohungen durch den letzteren Trojaner habe ich meine Hardware nachgerüstet, um über einen aufzuschaltenden Apparat die jeweilige IP-Adresse der Absendnung des Trojaners zu ermitteln. Hat bezüglich der von mir angeführten Trojaner jemand weitere Informationen oder Erkenntnisse? Mitteilung erbeten an kommentar@bluewin.ch

Mehr zu Blaulicht MEHR