Antivirus & Firewall

Die 7 gefährlichsten Cyber-Angriffe

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Panagiotis "Takis" Kolokythas arbeitet seit Juni 2000 für pcwelt.de. Seine Leidenschaft gilt IT-News, die er möglichst schnell und gründlich recherchiert an die Leser weitergeben möchte. Er hat den Überblick über die Entwicklungen in den wichtigsten Tech-Bereichen, entsprechend vielfältig ist das Themenspektrum seiner Artikel: Windows, Soft- und Freeware, Hardware, Smartphones, soziale Netzwerke, Web-Technologien, Smart Home, Gadgets, Drohnen… Er steht regelmäßig für PCWELT.tv vor der Kamera und hat ein eigenes wöchentliches IT-News-Videoformat: Tech-Up Weekly.
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Obwohl der Schutz von Windows & Co. besser wird, gelingt es Angreifern doch immer wieder, ein System zu infizieren. Wir zeigen die aktuell gefährlichsten, raffiniertesten und fortschrittlichsten Angriffe und wie Sie sich davor schützen.
Schaut man sich die Liste namhafter Schädlinge aus dem Internet an, hat man einiges zu lesen. Wir stellen die typischsten Gefahren vor.
Schaut man sich die Liste namhafter Schädlinge aus dem Internet an, hat man einiges zu lesen. Wir stellen die typischsten Gefahren vor.
Foto:

Die meisten Angriffe funktionieren über SchadcodeSchadcode. Bei den besonders fortgeschrittenen Attacken kann sich der Code automatisch in Ihren Geräten einnisten. Bei vielen anderen Angriffen wird das Opfer dazu verleitet, den Schadcode selbst zu starten, beispielsweise weil es ihn mit einem Update für Windows verwechselt. Beide Methoden sind sehr gefährlich, wenn Sie Ihre Systeme nicht entsprechend geschützt haben. Alles zu Security auf CIO.de

Zum Glück lassen sich die allermeisten Angriffe mit ein paar grundsätzlichen Schutzvorkehrungen zuverlässig abwehren. Unabdingbar ist, dass Sie stets alle verfügbaren Updates für Ihr System installieren. Das betrifft Windows über das Windows-Update wie auch jede Anwendersoftware, etwa über Secunia PSI. Eine gute Antivirensoftware blockiert zudem einen Großteil der schädlichen Dateien. Welche weiteren Schutzmaßnahmen wichtig sind, verraten wir bei der jeweiligen Bedrohung.

1. Vertraute Feinde: Tastaturtreiber mit Spionagefunktion

Darum geht's: Hinter diesem Angriff steht zunächst keine feindliche Absicht, sondern ein besonders dummer Programmierfehler. Ein Tastaturtreiber zeichnet alle Eingaben auf. Soweit ist das sein Job, schließlich muss er mitbekommen, wenn etwa eine der Sondertasten gedrückt wird. Doch dieser fehlerhafte Treiber speichert alle Eingaben in eine unverschlüsselte Datei. Darin landen somit auch alle Log-in-Daten inklusive der Passwörter - so geschehen bei zahlreichen Notebook-Modellen von Hewlett-Packard .

Ein Virus, der auf das System gelangt, kommt dadurch ganz leicht an viele wichtige Log-ins. Zwar könnte der Schädling auch selber einen Key-Logger installieren, doch macht ihn das verdächtig und die Wahrscheinlichkeit steigt, dass er von einem Antivirenprogramm entdeckt wird. Das Auslesen einer Textdatei ist dagegen vollkommen unauffällig.

Die Software Driver Booster findet neue Treiber zur installierten Hardware. Das Tool gibt es in einer einfachen, aber kostenlosen Version oder in einer Pro-Version für 28 Euro.
Die Software Driver Booster findet neue Treiber zur installierten Hardware. Das Tool gibt es in einer einfachen, aber kostenlosen Version oder in einer Pro-Version für 28 Euro.

Gefahrenstufe: Die Sicherheitslücke, die fehlerhafte Treiber verursachen, ist grundsätzlich sehr groß, weil Treiber nahe am System arbeiten und Schadcode somit häufig Zugriff mit Systemrechten verschaffen. Allerdings kommen viele Treiber nur auf bestimmten Modellen zum Einsatz. Die vergleichsweise geringe Verbreitung macht sie für Kriminelle weniger interessant. Behalten darf man solche fehlerhaften Treiber aber auf keinen Fall.

Schutz: Besitzer von HP-Notebooks holen sich über https://support.hp.com/de-de/drivers einen aktualisierten Tastaturtreiber.

Grundsätzlich sollte man regelmäßig nach Updates für alle installierten Treiber suchen. Das geht entweder manuell über den Geräte-Manager (klicken Sie dazu auf das Windows-Symbol und tippen Sie Geräte-Manager ein). Einfacher geht es mit einem Update-Manager für Treiber, wie etwa dem Tool Driver Booster 3 for Steam. Einen ausführlichen Ratgeber zu neuen Treibern finden Sie hier .

2. Klassischer Erpresservirus: Dateiverschlüsseler

Darum geht's: Bereits seit Jahren richten Erpresserviren gewaltigen Schaden an. Sie befallen einen Rechner, verschlüsseln die Daten des Anwenders und fordern dann für deren Freigabe ein Lösegeld. Das muss meistens in der digitalen Währung Bitcoin bezahlt werden, da der Empfänger sich so kaum aufspüren lässt. Die Höhe des Lösegeldes beläuft sich heutzutage meist auf 300 bis 600 Euro. Und das pro befallenem System.

Wer ein Heimnetzwerk mit drei oder vier Rechnern betreibt, der muss also tief in die Tasche greifen. Zuletzt machte etwa besonders der Erpresservirus Wannacry von sich reden, weil er sich über eine Windows-Sicherheitslücke ungehindert in einem Netzwerk ausbreiten konnte.

Der Schädling Fantom ist ein typischer Erpresservirus. Er gibt sich als Update für Windows aus, um seine Opfer zum Start seines schädlichen Codes zu überreden. Dann verschlüsselt er alle Anwenderdateien.
Der Schädling Fantom ist ein typischer Erpresservirus. Er gibt sich als Update für Windows aus, um seine Opfer zum Start seines schädlichen Codes zu überreden. Dann verschlüsselt er alle Anwenderdateien.

Beispiel: Ein weiteres Beispiel für einen typischen Erpresservirus ist der Schädling Fantom. Dieser tarnt sich als Windows Update, um Anwender hereinzulegen. Entdeckt wurde die MalwareMalware vom AVG -Sicherheitsexperten Jakub Kroustek. Alles zu Malware auf CIO.de

Fantom wurde von Unbekannten mithilfe des Open-Source-Erpresserviren-Baukastens namens EDA2 zusammengebastelt. Solche Baukästen sind in Untergrundforen und im Darkweb kostenlos erhältlich. Diese erzeugen Erpresserviren, ohne dass man dafür Programmierkenntnisse benötigt. Entsprechend viele Schädlinge kursieren mittlerweile im Internet. Im Fall von Fantom erzeugt der Baukasten eine Datei mit dem Namen "a.exe".

Um den Opfern eine offizielle Herkunft seitens Microsoft vorzugaukeln, finden sich in den Dateieigenschaften die Hinweise "Copyright Microsoft 2016" unter "Copyright", und in der Dateibeschreibung ist von "critical update", also kritischem Update die Rede.

Einmal gestartet, erscheint ein Windows-Update-typischer Bildschirm inklusive einer Fortschrittsanzeige wie bei Windows 10, der beim Benutzer den Eindruck erweckt, es werde nun ein Update installiert. In Wirklichkeit werden im Hintergrund aber die Dateien des Nutzers verschlüsselt. Dafür verantwortlich ist ein Prozess namens WindowsUpdate.exe. Die Verschlüsselung erfolgt dann per AES-128-Schlüssel, der anschließend selbst über einen dualen RSA-Schlüssel verschlüsselt wird.

Der private Schlüssel wird an einen Server der Erpresser übertragen, während der öffentliche Schlüssel auf dem angegriffenen Rechner verbleibt. Zum Schluss wird eine HTML-Datei generiert, die im Browser geöffnet wird. Über diese HTML-Seite wird der Anwender in holprigem Englisch darüber informiert, dass er Opfer einer Ransomware-Attacke geworden ist. Im Anschluss daran wird ein "ID-Key" eingeblendet. Der Benutzer soll als Nächstes eine E-Mail an eine von zwei angegebenen Mailadressen unter Angabe seiner "ID-Key"-Nummer schicken und bekommt danach zusätzliche Instruktionen darüber, wie er nach Entrichtung eines Lösegelds schließlich wieder an seine Daten gelangt.

Des Weiteren wird der Bildschirmhintergrund des Desktops durch einen Bildschirmhintergrund der Fantom-Macher ersetzt. In diesem Wallpaper werden die Benutzer mit "All Files Encripted!!!" (sic!) erneut über den Angriff informiert. In dem Wallpaper befindet sich noch einmal die Mailadresse, über die das Opfer in Kontakt mit den Erpressern treten soll.

Die Website No more Ransom sollte die erste Anlaufstelle für Opfer von Erpresserviren sein. Dort können Sie prüfen, ob es ein kostenloses Entschlüsselungstool für die entführten Dateien gibt.
Die Website No more Ransom sollte die erste Anlaufstelle für Opfer von Erpresserviren sein. Dort können Sie prüfen, ob es ein kostenloses Entschlüsselungstool für die entführten Dateien gibt.

Gefahrenstufe: Sehr hoch! Zwar ist die Zahl der Erpresserviren gegenüber der Anzahl aller Viren pro Jahr gering, doch richten sie sowohl bei Privatanwendern als auch in Unternehmen und öffentlichen Einrichtungen wie Krankenhäusern gewaltigen Schaden an.

Notfall: In der Regel bleibt Ihr Rechner zunächst mal einsatzbereit, schließlich wollen die Erpresser ja, dass Sie damit das Lösegeld in Bitcoins überweisen können. Viele Experten raten jedoch davon ab, das Lösegeld zu bezahlen, da ungewiss ist, ob Sie einen Schlüssel zum Entschlüsseln Ihrer Daten erhalten. Darüber hinaus ermutigt dies die Kriminellen, weiterhin PC-Nutzer anzugreifen. Andere Experten raten dagegen zur Zahlung, da man eine Chance hat, seine Daten wiederzubekommen.

Wenn Sie keine Sicherung Ihrer Daten haben und nicht zahlen wollen, somit einen Schlüssel für die entführten Daten brauchen, sollten Sie auf www.nomoreransom.org nachsehen, ob es für Ihre Daten ein kostenloses Entschlüsselungstool gibt. Die Site wird von den Behörden sowie den Antivirenherstellern Kaspersky und McAfee betrieben. Die Seite ist deutschsprachig und zudem leicht zu bedienen. Sie müssen zur Probe eine verschlüsselte Datei hochladen sowie Angaben zum Erpresserschreiben machen.

Die Site prüft daraufhin, ob es ein Entschlüsselungsprogramm für Ihre Daten gibt. Sollte das nicht der Fall sein, dann lohnt es sich, die Daten aufzubewahren und ein paar Wochen oder Monate später den Test auf der Site zu wiederholen. Oft dauert es eine Weile, bis die Experten an den Universalschlüssel eines Erpresservirus herankommen und ein Tool zur Entschlüsselung programmieren können.

Auf jeden Fall müssen Sie den Erpresservirus noch vom System beseitigen. Andernfalls kann er weiteren Schaden anrichten, etwa Ihre Passwörter stehlen. Das Löschen des Virus erledigt entweder eine Antivirensoftware oder Sie installieren Windows neu.

Schutz: Neben einer guten Antivirensoftware hilft ein gutes Backup von System und Daten. Ist dieses aktuell, können Sie auf den Erpresservirus und die verschlüsselten Daten getrost pfeifen. Sie spielen einfach Ihr Backup zurück.

Backup-Strategien: Es gibt unzählige Backup-Tools und zahlreiche Backup-Strategien. Das beste Backup ist jedoch das, das man hat, auch wenn es nicht ganz perfekt ist. Darum sollten Sie jetzt sofort eines anlegen. Nutzen Sie zum Beispiel eine externe Festplatte, schließen Sie sie an den PC an und kopieren Sie ganz einfach alle Daten aus dem Ordner "Eigene Dateien" beziehungsweise aus "C:\Benutzer\Ihr Benutzername" beziehungsweise aus dem Ordner, in dem Sie Ihre Anwenderdateien speichern.

Ist das geschehen, haben Sie zwar noch nicht alles gesichert, aber vermutlich schon mal das Wichtigste. Ziehen Sie sodann die externe Festplatte vom PC wieder ab. Denn bleibt sie angeschlossen, könnte ein künftiger Erpresservirus auch die Dateien der Sicherung entführen. Dann können Sie sich in Ruhe um eine ausgefeilte, komplette Datensicherung kümmern. Einen ausführlichen Ratgeber dazu finden Sie hier . Einen ausführlichen Ratgeber zu verbreiteten Erpresserviren finden Sie hier .

Zur Startseite