Versteckte Gefahr: Erpresser-Viren
In gefälschten Bewerbungsmails steckt eine große versteckte Gefahr: Erpresser-Viren verbergen sich hinter vermeintlich ungefährlichen Anschreiben per E-Mail.
Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe
Lange Zeit hatten Hacker vor allem große Unternehmen im Visier. Doch jetzt sind auch Handwerksbetriebe nicht mehr sicher: In den letzten Monaten wurden viele Betriebe Opfer von Erpresser-Viren. Die hinterhältigen Trojaner lauern zum Beispiel in unscheinbaren E-Mail-Bewerbungen. Bei einer professionell aussehenden Bewerbung schöpfen Unternehmen kaum Verdacht: Die Texte sind in gutem Deutsch verfasst, die Bewerbung passt auf den ersten Blick zu den Tätigkeitsbereichen des Unternehmens.
Doch sobald der Mail-Anhang geöffnet wird, beginnt der versteckte Trojaner sein zerstörerisches Werk: Er versucht, sämtliche Daten im gesamten Netzwerk zu verschlüsseln – und verspricht Abhilfe gegen Zahlung eines Lösegelds.
"Zip"-Anhang lässt "Cerber"-Virus los
Auch Katrin Courts (Name von der Redaktion geändert), Geschäftsführerin eines technisch versierten Handwerksbetriebs, hat durch einen Erpresser-Virus erheblichen Schaden erlitten: Ein Mitarbeiter schöpfte keinen Verdacht, als eine Mail-Bewerbung von einer deutschen T-Online-Adresse im virtuellen Posteingang landete – und er öffnete den verschlüsselten "Zip"-Anhang. Das war das Startsignal für den versteckten "Cerber"-Virus, der seine Arbeit trotz aktivem Virenscanner aufnahm. So wurden nicht nur die Daten auf dem PC verschlüsselt, der Trojaner verbreitete sich auch im Firmennetzwerk und befiel die Festplatte des Servers. "Alle Dateien wurden umbenannt und erhielten die Endungen cerber", erinnert sich Katrin Courts. "Für die Entschlüsselung des PCs forderte der Erpresser-Virus etwa 60 Euro, für den Server sollten wir einen Preis aushandeln. Die Kontaktaufnahme und Zahlung wäre über das anonyme TOR-Netzwerk gelaufen, beim dem sich Nutzer nicht zurückverfolgen lassen. Die Zahlung sollte in der digitalen Währung Bitcoins erfolgen."
Für Katrin Courts kam eine Zahlung des Betrags allerdings nicht infrage. "Der Virus wäre ja immer noch auf unseren Systemen aktiv gewesen – und die Hacker hätten ihn jederzeit wieder aktivieren können", so die Geschäftsführerin. Die IT-Experten des Handwerksbetriebs rückten dem Erpresser-Virus stattdessen mit zwölf verschiedenen Virenscannern zu Leibe – doch keiner konnte den Eindringlich unschädlich machen. Deshalb wurden der betroffenen PC schließlich komplett neu installiert und die Daten mit vorhandenen Backups wiederhergestellt. "Unser zeitlicher und finanzieller Schaden liegt bei insgesamt 5.000 bis 10.000 Euro", erklärt Katrin Courts.
"Willkommen in der Cerber-Familie"
Auf dieselbe Schadenshöhe kommt auch Jan Woidke (Name von der Redaktion geändert). Der Zimmer- und Dachdeckermeister erlebte vor wenigen Monaten, wie ein Erpresser-Virus den Familienbetrieb in kürzester Zeit lahmlegte: "Eine Mitarbeiterin öffnete die Word-Datei einer Mail-Bewerbung – und wurde vom Programm gefragt, ob Makros ausgeführt werden sollen." Damit wurde der versteckte Erpresser-Virus aktiviert – unbemerkt vom installierten Viren-Scanner. Den Schaden entdeckte der Betrieb am nächsten Morgen, als die ersten Mitarbeiter nicht mehr auf Dateien im Netzwerk zugreifen konnten. Die Verschlüsselung war schon in vollem Gange. Auf dem Server fand Jan Woidke dann einen Hinweis auf den Virus: "Da stand ganz perfide: Herzlich willkommen in der Cerber-Familie – fast so, als ob wir einen Urlaub gebucht hätten." Die herbeigerufenen IT-Experten formatierten sofort alle befallenen Rechner und stellten die Daten über Backups wieder her. Was das Unternehmen erst später bemerkte: Der Virus hatte auch die Backup-Daten befallen – und sorgte weiterhin für Netzwerkaussetzer. Jan Woidke: "Als wir den Fehler bemerkten, ist es uns erst nach einigen Tagen gelungen, ein sauberes Backup einzuspielen. Ohne dieses Backup hätten wir wahrscheinlich das Lösegeld zahlen müssen – denn es hätte keine andere Chance gegeben, an unsere Daten heranzukommen."
Gleichzeitig reagierten einzelne Kunden verärgert, weil ihre Anfragen während der Viren-Attacke unbeantwortet blieben. Was sie nicht wussten: Der Handwerksbetrieb hatte keinen Zugriff auf eingehende Mails – und auch die meisten Antwort-Mails blieben durch die Netzwerkprobleme unversendet. Jan Woidke: "Das war für unseren Betrieb eines der schlimmsten Ereignisse 2016. Um Cyber-Attacken künftig abzuwehren, nutzen wir jetzt eine zusätzliche Firewall und virtuelle Backups, die nicht von Viren befallen werden können. Diese Lösung ließ sich bei uns relativ einfach realisieren – mithilfe der Windows-Server-Technologie Hyper-V."
Text:
Thomas Busch /
handwerksblatt.de
Kommentar schreiben