13. Dezember 2018, 14:00 Uhr

Cyber-Angriff

Miese Falle in der Mail: So lief die Lösegeld-Zahlung ab

Der Angriff auf einen Computer in einer Bad Nauheimer Physiotherapie-Praxis macht Angst. Doch wie lief das alles technisch ab? Die Details – von der Falle bis zur Lösegeld-Zahlung.
13. Dezember 2018, 14:00 Uhr
Holger Ihle bei der Arbeit. Um die Daten entschlüsselt zu bekommen, hat er via Darknet umgerechnet 1500 Dollar in der Kryptowährung Dash überwiesen. (Foto: pv)

Eines vorneweg: Sylvia Frech, Pressesprecherin der Wetterauer Polizei, rät davon ab, in Fällen wie dem Cyber-Angriff auf die Bad Nauheimer Praxis »Physio am Park« Lösegeld zu zahlen. Stattdessen solle man sich an die Polizei wenden. Laut Holger Ihle, IT-Experte aus Friedberg, war die Attacke auf »Physio am Park« nicht der einzige dieser Art in der Wetterau. Ihle sprach am Mittwoch von einer weiteren Praxis und von einem Hotel, beide in Bad Nauheim. Der Virenscanner des Hotels habe den Angriff abgewehrt. Am Mittag musste Ihle zum nächsten Kunden ausrücken. Auch dort hatten die Erpresser zugeschlagen. Bei der WZ ging die tückische Mail ebenfalls ein, die Firewall verhinderte Schlimmeres. Wie lief der Angriff auf die Physio-Praxis von Anne Tuerlinckx-Seher ab? Und was hat Holger Ihle getan, um zu retten, was zu retten ist?

agl_Darknetseite02_131218
So sieht die Darknet-Seite aus, auf der das Opfer die Anleitung bekommt. Nach Ablauf einer...

In der vermeintlichen Word-Datei im Mail-Anhang befinden sich sogenannte Macros. Dahinter verbirgt sich eine Programmiersprache. »Sie wird gerne von den bösen Buben genutzt, um in einer vermeintlich harmlosen Word-Datei Schadsoftware zu verstecken«, sagt Ihle. Nach der Aktivierung der Software sei das Windows-Betriebssystem nicht angegriffen worden. Die Dateien auf dem Rechner hatten aber plötzlich merkwürdige Endungen. Ihle holte den Computer sofort ab. »Das erste, was man in solchen Fällen macht: Wir bauen die Festplatte aus und kopieren sie.« Ihle machte sich an die Analyse der Kopie. »Ich wusste, wonach ich suchen muss.« In einem verschlüsselten Ordner lag eine Datei, in der stand, was zu tun war – zum Beispiel: sich mit dem Tor-Browser ins Darknet begeben, eine bestimmte Seite aufrufen und dort die Hinweisdatei hochladen. »In dieser Datei ist ein sogenannter Schlüssel drin«, erklärt Ihle. Damit werde der Rechner identifiziert. Dann seien auf der Darknetseite Smileys aufgetaucht, dazu die Klarstellung, warum die Täter die Daten gestohlen haben: Es ging ihnen ums Geld.

Die bösen Buben sind immer einen Schritt voraus

IT-Experte Holger Ihle

Damit der Trojaner mit dem Namen »Gandcrab 5.0.4« die Daten wieder rausrückt, sollte Ihle 1500 US-Dollar überweisen – wahlweise in Bitcoin oder in Dash. Bei Bitcoins wäre eine Bearbeitungsgebühr in Höhe von zehn Prozent angefallen. Dann wurde der IT-Experte darüber informiert, wohin er die Dashs überweisen sollte. Für die Transaktion braucht man ein Wallet, zu deutsch: einen Geldbeutel. Diesen legt man bei einem Händler für Kryptowährungen an. In das Wallet zahlt man mittels Kreditkarte Euro ein, damit kauft man Dash.

 

Test mit einer Bilddatei

Bevor das Geld floss, wollte Ihle testen, ob er sich – zumindest vermutlich – auf das System verlassen konnte. Also zahlte er erstmal 25 Dollar ein. Die Darknet-Seite bestätigte nach wenigen Minuten den Zahlungseingang »Damit beweisen die einem, dass sie die Dateien wirklich entschlüsseln können«, sagt Ihle. Als Test ließ Ihle zudem eine Bilddatei entschlüsseln, was auf der Darknet-Seite angeboten wurde. »Wenn das schiefgehen würde, würde ich vermutlich nicht weitermachen.«

Nach der Zahlung konnte Ihle den Decryptor, den Entschlüsseler, runterladen. Und so begann am Montag um 23.15 Uhr die Entschlüsselung der Daten, die Anne Tuerlinckx-Seher und ihr Team so dringend brauchen. Am Mittwochmittag lief der Prozess noch, 86 000 von mehr als 100 000 Dateien waren wieder entschlüsselt.

Woher die Täter kommen, weiß Ihle nicht, im Darknet lässt sich nichts zurückverfolgen. Bei der letzten Schadsoftware-Version seien die Täter in Russland vermutet worden. »Handfeste Beweise gibt es nicht, einiges deutet darauf hin.«

Wie kann man sich schützen? Ihle warnt davor, Anhänge einer Mail zu öffnen, deren Absender man nicht kennt. Und selbst wenn man ihn kenne, bedeute das keine Sicherheit. Dateien, die beispielsweise auf .exe, .com, .bat, .msi und .cmd enden, dürfe man nicht öffnen. Gibt es absolute Sicherheit? »Nein«, sagt Ihle. »Die bösen Buben sind immer einen Schritt voraus.«

Schlagworte in diesem Artikel

  • Computer
  • Dateien
  • Daten und Datentechnik
  • IT-Experten
  • Lösegeld
  • Polizei
  • Polizeidirektion Wetterau
  • Bad Nauheim
  • Christoph Agel
  • Schlagwort zu
    Meine Themen

    Sie haben bereits 15 Themen gewählt

    Sie folgen diesem
    Thema bereits

Klicken Sie auf ein Schlagwort, um es zu „Meine Themen” hinzuzufügen oder weitere Inhalte dazu zu sehen.


0
Kommentare | Kommentieren

Bilder und Videos