K-LOVE UND KISSES 2014 – TEIL 3: GRÜNDE, SICH ZU FREUEN.

„Die Person muss dazu gebracht werden, sich von ihrem Geld zu trennen. Er muss moralisch entwaffnet werden, und seine grundlegenden Instinkte müssen unterdrückt werden.“

Nein, das ist nicht von Don Draper; das ist ein Zitat von Ostap Bender, einem klassischen fiktionalen Helden der russischen Literatur der 1930er Jahre. Und nein, er ist nicht mit dem anderen berühmten Bender verwandt!

Interessanterweise scheint es, als wüsste Herr Bender ein oder zwei Dinge über Kapitalismus, obwohl er aus einem kommunistischen Land stammt. Hmmm…

Wie auch immer, er wusste auf jeden Fall, dass es  manchmal möglich ist, Menschen dazu zu bringen, sich von ihren hartverdienten Schekeln zu trennen, wenn sie auf die richtige Art manipuliert werden – die Menschen, nicht die Schekel.

Schneller Vorlauf ins Heute… diese Art der Manipulation gibt es immer noch – auf eine moderne, HiTech-, Cyber-Art: Heute geben die Menschen Ihre grünen Scheinchen mehr oder weniger gerne den Kriminellen, die hinter Blockern, auch Ransomware genannt, stecken, die eine ganz besonders hintehältige Art der Computer-Schädlinge darstellen. Aber als Kaspersky-Anwender brauchen Sie keine Angst zu haben: In die  neue Version von Kaspersky Internet Security (KIS), haben wir eine schöne Überraschung für die blockierenden Blockheads und ihre Erpresserprogramme eingebaut.

Die kriminellen Ransomware-Programmierer machen einen Umsatz von über 15 Millionen Dollar, während die Zahl der Opfer in die Zig-Millionen geht.

Das Prinzip und die Technologie hinter Blockern/Ransomware ist recht einfach: Über einen der möglichen Infizierungswege (zum Beispiel über eine Sicherheitslücke in einem Programm), gelangt ein Schadprogramm auf den Computer, der dann ein (nicht) witziges Bild mit einem erschreckenden Text (nicht erschreckend mit KIS :)) anzeigt – und er blockiert den Computer und alle Programmfenster.

Das Freischalten ist nur möglich (naja, war nur möglich – siehe unten), durch die Eingabe eines einzigartigen Codes, den man natürlich nur von den Cyberbetrügern bekommen kann, die den Computer infiziert haben. Und natürlich muss man dafür eine Gebühr zahlen, entweder über eine Premium-SMS oder ein Online-Zahlungssystem. Bis zur Zahlung dieses Lösegelds bleibt der Computer gesperrt– egal, was Sie tun (inklusive dem Ctrl+Alt+Del-Griff), und egal, welche Programme Sie versuchen zu starten (inklusive dem Antiviren-Programm); alles was Sie sehen ist so etwas:

Oder das hier (wenn Sie Französisch sprechen):

Oder das hier (wenn Sie in Deutschland sind):

Oder das hier (wenn Sie in Russland sind):

…oder eines der anderen Tausenden Blocking-Bilder, die ähnlich aussehen und auf jeder Plattform auftauchen – inklusive Windows und Mac.

Vor einigen Jahren geriet die Blocker-Epidemie in Russland und den Ländern der ehemaligen UdSSR ziemlich außer Kontrolle, dadurch wurden aber auch einige Hintermänner gefasst und ins Gefängnis gesteckt. Nach optimistischen Schätzungen hat dieser Teil der Computerkriminalität im Jahr 2010 über 3 Millionen Dollar Umsatz gemacht (pessimistische Schätzungen gehen aber von über 15 Millionen Dollar aus), und die Zahl der Opfer erreicht Zig-Millionen! Und von diesen haben etwa 5 Prozent das Lösegeld an die Erpresser bezahlt – die dadurch Geschmack an der Beute und dem daraus resultierenden tollen Leben gefunden haben, und zu immer neuen Blockierungs-Vergehen inspiriert wurden.

Auf dem Höhepunkt der Epidemie haben wir einen kostenlosen Deblocker veröffentlicht, der sowohl als App für mobile Geräte, als auch als Web-Service erhältlich ist. Wenn man hier die Telefonnummer oder das Konto des Erpressers eingibt, wie es auf dem Blocker-Bild angegeben wird, generiert der Deblocker den benötigten Freischaltcode – ein bisschen wie wenn man bei einer Quizshow „einen Freund anrufen“ kann. Man könnte meinen, damit wäre die Blocker-Epidemie ein für alle Mal erledigt gewesen, doch leider ist das nicht so – die Blocker haben sich damals nur aufgewärmt…

Das ursprünglich rein russische Phänomen verbreitete sich weltweit. Und jetzt verstecken sich russische Cyberkriminelle vor der ausländischen Justiz, dank der bürokratischen Eigenheiten der internationalen Kooperation von Behörden.

Es ist wahr, dass das Ausmaß dieser Betrügereien insgesamt um etwa das zehnfache gesunken zu sein scheint, wenn man die Besuche auf unserer Deblocker-Webseite betrachtet. DOCH… das Problem wurde im Grunde noch schlimmer. Hier der Grund dafür:

Erstens: Das ursprünglich russische (post-sowjetische) Phänomen verbreitete sich weltweit (zusammen mit Premium-SMS-Nummern und elektronischem Geld). Dadurch konnten sich russische (post-sowjetische) Cyberkriminelle vor der ausländischen Justiz verstecken, dank der bürokratischen Eigenheiten der internationalen Kooperation von Behörden.

Zweitens: Früher waren die Blocker so „ehrlich“ und entfernten nach der Lösegeldzahlung die Blockierungs-Banner auch wirklich (bis sie den Computer erneut blockierten). Heute gibt es so einen Ehrenkodex nicht mehr und die Blockierung bleibt auch nach der Lösegeldzahlung bestehen. Und das nicht nur, weil die Blocker heutzutage so gemein sind: Tatsache ist, dass in heutigen Blockern kein Code für die Freischaltung enthalten ist, also sind auch Deblocker-Dienste redundant! Autsch!

Was kann man also tun?

Zunächst einmal gibt es, abgesehen von einigen seltenen Ausnahmen, immer noch die Möglichkeit des „chirurgischen Eingriffs“, bei dem der Blocker manuell mithilfe von kostenlosen Tools entfernt wird,  falls ein Antiviren-Programm so eine Attacke doch einmal durchgelassen hat. Wenn Sie den Text hinter dem Link lesen, werden Sie allerdings sehen, dass so ein chirurgischer Eingriff keine einfache Aufgabe ist, die von Spezialisten durchgeführt werden sollte. Also haben wir – wie von uns gewohnt – das Regelwerk zerrissen, das behauptet, dass dafür „Spezialisten gebraucht“ werden.

Mit Kaspersky Internet Security 2014 haben Anwender eine umfassende Funktion, die es ermöglicht, einen Blocker zu entfernen, und das mit nur vier Fingern – Ihren eigenen vier Fingern. Oder drei Fingern, die mehrmals benutzt werden 🙂 Keine Chirurgie. Kein Spezialist. Und das i-Tüpfelchen: Ohne die vorhin angesprochenen seltenen Ausnahmen.

Wie das geht?

So einfach geht das:

KIS 2014 hat nun eine Funktion, die es ermöglicht, Blocker zu entfernen – und das mit nur vier Fingern.

In Kaspersky Internet Security gibt es schon seit einigen Jahren die virtuelle Tastatur, die mit einem speziellen Treiber vor Keyloggern schützt. Falls ein Computer mit einem Super-Duper-Trojaner infiziert wurde, werden dessen Versuche Passwörter abzuhören, umsonst sein, denn das Passwort wird nicht über die normale Tastatur, sondern über die virtuelle Tastatur eingegeben, die der Trojaner nicht sehen kann. Und nun nutzen wir diese Funktion auch beim Kampf gegen Blocker und ihre Machwerke…

Die virtuelle Tastatur verhindert, dass Blocker die volle Kontrolle über die Tastatur übernehmen können. Sobald ein Anwender die Tastenkombination Ctrl+Alt+Shift+F4 (oder mehrmals hintereinander Ctrl+Alt+Del) drückt, versteht die virtuelle Tastatur dass es sich um einen Notfall handelt und weist KIS 2014 an, die Blocker-Deaktivierung zu starten. Genauer gesagt, spüren verschiedene Antivirus-Komponenten (Signaturen und Heurisik) die Infizierung auf, säubern die aktiven Prozesse sowie die System Registry, und schalten den Bildschirm wieder frei. Dann werden mit den Standard-Mitteln des Antivirus noch die Reste des Blockers gelöscht, die explorer.exe neu gestartet, der Start-Button wiederhergestellt (oder was immer heute an seiner Stelle steht) und das Original-Desktop wieder angezeigt. Übrigens ist dieses Szenario der Blocker-Deaktivierung in unserer Patentbewerbung beschrieben, die derzeit geprüft wird.

Nachwort

In diesem Sommer wurde ein 21-jähriger Amerikaner zum Opfer eines Blockers. Diese Nachricht wurde auf seinem Bildschirm angezeigt:

Er hat sich schließlich selbst der Polizei gestellt. Es stellt sich dann heraus, dass er wirklich Kinderpornografie auf seinem PC gespeichert hatte. Tja, wie es heißt, erntet man immer das, was man sät…

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.