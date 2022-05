Mehrere arglose Nutzer sind Opfer von Verschlüsselungstrojanern geworden, indem sie vermeintliche Sicherheitsupdates für Windows 10 installierten. Die Installationsdateien enthielten jedoch die seit etwa 2017 aktive und weiterentwickelte Ransomware Magniber. Diese verschlüsselt die Daten der Nutzer und verlangt für die Entschlüsselung ein Lösegeld. Es beträgt zunächst rund 2600 US-Dollar in Bitcoins, nach fünf Tagen verdoppelt sich die Summe jedoch. Dies berichtet die Internetseite BleepingComputer.

Aufgrund der Häufung von Anfragen machten die Autoren sich dort auf Ursachensuche. Wie genau die Malware-Kampagne beworben wurde, blieb dabei im Dunkeln. Klar ist jedoch, dass die Nutzer sich den Verschlüsselungstrojaner im Glauben installierten, es handele sich um kumulative Windows-Updates oder Sicherheitsupdates für Windows 10.

Durchwachsene Erkennungsraten

Die Cybergang hinter Magniber hat die Dateinamen so ausgewählt, dass sie echten Windows Updates ähneln oder namentlich behaupten, ebensolche zu sein. So fanden die Forscher die Dateinamen

Win10.0_System_Upgrade_Software.msi

Security_Upgrade_Software_Win10.0.msi

System.Upgrade.Win10.0-KB<Zahl>.msi

Die erstgenannte Datei wird zwar von den populärsten Virenscannern inzwischen erkannt, wie aktuelle Virustotal-Ergebnisse zeigen. Jedoch sind das lediglich 32 der 61 dort eingesetzten Virenscanner.

Klamme Klientel

Verteilt wurde die als Windows-Update verkleidete Malware auf Warez- und Cracks-Seiten. Fortgeschrittenen IT-lern ist meist bekannt, dass solche Seiten regelmäßig Schadsoftware verbreiten. Unbedarfte Computernutzer fallen jedoch häufiger auf diese Masche herein, weil sie sie schlicht nicht kennen.

Offenbar fielen der Ransomware vorrangig Schüler, Studenten und Privatanwender zum Opfer. Diese haben – zumindest im Vergleich zu Unternehmen – oftmals ein eher eingeschränktes Budget zur Verfügung. Das ist vermutlich auch einer der Gründe, weshalb sie auf den Warez- und Cracks-Seiten unterwegs waren. Die verlangte Lösegeldsumme ist für sie in der Regel schlicht nicht aufzubringen. Zudem gibt es für Magniber-verschlüsselte Dateien kaum kostenlose Entschlüsselungssoftware, lediglich für mehrere Jahre alte Fassungen lässt sich ein Tool der koreanischen Internet & Security Agency finden. Somit sind die persönlichen Daten mit der Infektion in der Regel futsch, so kein Backup davon existiert.

Software nur vom Hersteller laden

Software sollten Nutzer, wann immer möglich, von den Seiten des Herstellers herunterladen. Dies gilt insbesondere für (Sicherheits-)Aktualisierungen. Warez- und Cracks-Seiten sind dafür bekannt, Schadsoftware zu verteilen, und sei es nur als zusätzlicher Teil von tatsächlich funktionierenden Programmen. Zudem sollten auch Privatnutzer ihre wichtigen Daten regelmäßig etwa auf externen Medien wie USB-Sticks sichern.

(dmk)