Die kriminellen Schöpfer eines Erpresser-Trojaners haben in Dettelbach (Lkr. Kitzingen) abkassiert. Dabei ging es laut Polizei aber nicht – wie bisher berichtet – um die Schadsoftware „Locky“, sondern den ähnlich gefährlichen Computervirus „TeslaCrypt 3.0“. Die Stadt habe für die Freigabe blockierter Daten bezahlt, erklärte Bürgermeisterin Christine Konrad am Mittwoch. Die Zahlung, über deren Höhe sich Konrad ausschwieg, habe Erfolg gehabt.
Die heimtückische Schadsoftware hatte Dettelbach gleich doppelt getroffen. Durch den Angriff auf den Server der Stadt am Aschermittwoch (10. Februar) waren sowohl Daten der Verwaltung – vor allem des Einwohnermeldeamts – als auch der Stadtwerke „verloren gegangen“, wie es im Amtsblatt hieß.
Verantwortlich für den Datenverlust – bei den Stadtwerken ging es um die Abrechnung für 2015 – ist eine sogenannte Phishing-Mail, die bei „TeslaCrypt“ ebenso wie bei dem weltweit grassierenden „Locky“ als normale Mail, beispielsweise als Rechnung, getarnt ist. Wer die angehängte Datei öffnet, ist dem Trojaner ausgeliefert. Die Schadsoftware verschlüsselt die Daten. Damit ist der Zugriff blockiert.
Wer die Blockade seines EDV-Systems lösen will, bekommt von den jeweiligen Erpressern eine Nachricht auf den Schirm. Der Inhalt ist einfach: Wer zahlt, dessen Datenbänke werden wieder freigegeben. Laut einer Pressemitteilung der Verbraucherzentrale Nordrhein-Westfalen, sind die „Locky“-Kriminellen in ihren Forderungen eher maßvoll. Umgerechnet 200 Euro würden da fällig. Es sei aber fraglich, „ob die Betrüger nach Bezahlung überhaupt Interesse daran haben, die Verschlüsselung der Dateien rückgängig zu machen“.
Ähnliches gilt wohl auch für „TeslaCrypt“, das aber laut Heise online, einem Computer-Fachportal, die teurere Betrügervariante ist: „Die Erpresser fordern für die Entschlüsselung über 400 Euro“, heißt es da mit Blick auf die 2.0-Vorgängerversion des Trojaners. Den haben seine Schöpfer nun aufgerüstet.
Bei Dettelbach scheint die Zahlung aus der Gemeindekasse gefruchtet zu haben. Ein Erfolg, der laut Auskunft der Pressestelle im Polizeipräsidium Würzburg keineswegs garantiert ist. „Wir raten dazu, dass man keine Zahlungen an die Betrüger leistet“, betont Sprecher Michael Zimmer. Sowohl die Polizei als auch das Bundesamt für Sicherheit in der Informationstechnik raten stattdessen dazu, Anzeige zu erstatten.
Da gibt's inzwischen vier in Unterfranken, wie Polizeisprecher Zimmer erklärt. In allen Fällen werde wegen versuchter Erpressung ermittelt. Neben der von „TeslaCrypt“ heimgesuchten Stadt Dettelbach seien als „Locky“-Opfer eine Firma im Mainfrankenpark, ein Unternehmen in Schweinfurt und eines in Werneck die Anzeigeerstatter. Weil „Locky“ so etwas wie ein Computer-Flächenbrand ist, werden die Ermittlungen bei der Generalstaatsanwaltschaft Bamberg in der bayernweiten Zentralstelle gegen Cyber-Kriminalität koordiniert. Bei „TeslaCrypt“ gebe es ein Sammelverfahren beim Bayerischen Landeskriminalamt, sagt Zimmer.
Der gibt einige Tipps, um Infizierungen mit den Verschlüsselungs-Trojanern zu vermeiden: Betriebssystem, Virenscanner und Firewall müssten ständig auf dem neuesten Stand gehalten werden, wichtige Daten ständig gesichert werden, und bei Mails – vor allem bei Anhängen – soll man größte Vorsicht walten lassen.
Lesen Sie auch unseren Standpunkt:
"Wenn Medien plötzlich stören"
Es ist in Dettelbach nicht anders als in vielen anderen Gemeinden: Solange es um Neujahrsempfänge, Sportlerehrungen, eigene Veranstaltungen geht, sind Medienvertreter gerne gesehen. Vor allem, wenn sie auch noch Bilder machen.
Ganz anders die Sachlage bei unangenehmen Fällen: Dann stören die Medien plötzlich, dann gibt man sich in Rathäusern und sonstigen Amtsstuben gerne zugeknöpft. Als in Dettelbach durch Serverprobleme und blockierte Daten das Einwohnermeldeamt lahmgelegt war, bat uns die Stadt per Pressemitteilung um die Veröffentlichung, dass das Amt bis 4. März geschlossen ist. Das haben wir getan, schließlich verstehen wir uns als Dienstleister.
Dass wir am Mittwoch von den Radio-Kollegen die neueste Entwicklung erfahren und nicht von der Stadt – ist unschön, aber: geschenkt. Richtig ärgerlich wird es, wenn Bürgermeisterin Christine Konrad auf telefonische Nachfrage eine Mitarbeiterin vorschickt – die netterweise die Fragen notiert.
Weil die schriftliche Antwort auf unsere Fragen dürftig ausfiel, wollten wir bei Frau Konrad nachhaken: Schließlich erwartet der Leser Antworten, keine halbgaren Geschichten. Wir mögen die Nachfragen schriftlich formulieren, hieß es. Mündlich – das gehe gar nicht.
Auf deren Beantwortung warten wir noch. Dabei ist die Sachlage eindeutig: Die Stadt hat – entgegen dem ausdrücklichen Rat der Polizei – mit Steuergeldern irgendwelche Betrüger bezahlt. Es ist zu billig, sich hinter einem „laufenden Verfahren“ zu verschanzen. Den Bürgern stehen Antworten zu, weil es um ihr Geld und ihre Daten geht!
außerdem haben auch die AV-Hersteller inzwischen auf diese Bedrohung reagiert. Dazu mal bei zdnet.de lesen:
http://www.zdnet.de/88261588/kaspersky-startet-unternehmensservice-zur-erkennung-gezielter-angriffe/
Und auch Microsoft selbst hat ebenfalls reagiert:
http://www.zdnet.de/88261595/microsoft-kuendigt-erweiterten-bedrohungsschutz-fuer-windows-10-an/
Von daher: ich kann diese Buergermeisterin von Dettelbach nur ganz klar auffordern, Anzeige zu erstatten und ihren Buergern dieses Geld das in Bitcoins geschickt wurde, zurueckzugeben!! Damit hat sie diese Kriminellen nur noch ermuntert!!
http://www.heise.de/security/meldung/BKA-Warnung-vor-Locky-enthaelt-Virus-3125820.html
Ergo: diese Mail sofort UNGELESEN in den Papierkorb verschieben und den Papierkorb ausleeren!
auch ich sage dazu nur: dumm, duemmer, am duemmsten was Dettelbach hier gemacht hat! Denn wer mal im Netz guckt, der ist schlauer. Denn fuer TeslaCrypt 3.0 gibt es inwzischen Entfernungsanleitungen:
http://spywaretechs.com/remove-teslacrypt-3-0-ransomware/
Hier wird Schritt fuer Schritt gezeigt, wie man das Teil los wird! Darueber hinaus gibt es bei Locky inzwischen ebenfalls Entfernungs-Tutorials inklusive einem Locky-Blocker-Tool von Malwarebytes:
http://praxistipps.chip.de/locky-virus-entfernen_46382
Hier ganz oben im Artikel das Video angucken.
Und das Blocker-Tool gibt es hier:
http://www.chip.de/news/Aus-Angst-vor-Locky-Jeder-dritte-Deutsche-kauft-sich-von-Trojaner-frei_90520333.html
Von daher: zeigt diesen Schmierfinken von Malware-Schreiberlingen auf diesem Wege mal, was eine Harke ist!! So geht man mit denen um und NICHT ueber Loesegeldzahlungen! Das ist das DUEMMSTE was man machen kann!!
So was unfähiges und dilettantisches von Seiten einer Behörde, die eine Unmengen an sensiblen Daten bevorratet, kann man sich gar nicht vorstellen.
Und dann die Reaktion auf das alles...unglaublich. Das zeugt von mangelnder Führungsqualität und wenig Kompetenz.
So nebenbei kann man eben eine Behörde nicht leiten
Wie hat mir mal eine Unternehmerin gesagt: "Oh, jetzt wollen wir mal auf dem Teppich bleiben! Hier ist noch nie was passiert, und ich lebe doch nicht im Was-wäre-wenn..." Dazu fiel mir echt nichts mehr ein.
Klar, ein gutes Backupsystem kostet Geld. Für immer verlorene Daten kosten allerdings unter Umständen die Firmenexistenz.
Aktuell weiß ich von zwei großen Firmen, denen es in den letzten Monaten den Hals gerettet hat, dass ein professioneller EDV-Betreuer bei ihnen ein professionelles Backupsystem eingerichtet und gepflegt hatte. Locky kam, Daten weg, Backup zurückgespielt, alles gut.
Die Daten müssen wieder beikommen. So oder so.
Hat er vielleicht eine bessere Idee, um wieder an die Bürgerdaten zu kommen ?
Sicher nicht.
Wo bitteschön ist das wöchentliche Serverbackup in Dettelbach ?
Vermutlich im Dettelbach oder ?
Vermutlcih haben die Erpresser noch ein Hintertürchen offen, um weiterzumachen.
Ich empfehle daher, die infizierten Rechner von Grund auf neu aufzusetzen
und einen neuen Sicherheitsbeauftragten in der Kommune .
Sowas wie Dettelbach können sich m.E. nur Behörden und Kommunen leisten, die gehen nicht Pleite. Da zahlt dann der Steuerzahler.
Man müsste sich sogar überlegen, hier Anzeige zu erstatten. Schliesslich hat eine Kommune auch eine Sorgfaltspflicht gegenüber den Bürgern wie mit deren Daten umgegangen wird. Da gibt es Gesetze zum Datenschutz. Wie sieht's mit einem QM Handbuch aus und/oder einer Zertifizierung? Haben die sowas? Falls ja, wäre die Frage, wer das was geprüft und für gut befunden hat. Falls nein, dann wird's Zeit!
diesen Punkten von Ihnen:
"Vermutlcih haben die Erpresser noch ein Hintertürchen offen, um weiterzumachen."
"Ich empfehle daher, die infizierten Rechner von Grund auf neu aufzusetzen"
"und einen neuen Sicherheitsbeauftragten in der Kommune."
kann ich mich nur absolut anschließen. Aber kleine Korrektur: es geht hier nicht um einen PC sondern um einen Server. Aber dieser sollte - zur Sicherheit um eventuelle Backdoors in der Tat auszuschließen - sofort plattgemacht und komplett neu aufgesetzt werden. Zusätzlich sollte sicherheitshalber auch der Router neu aufgesetzt werden.
Denn auch ich vermute, dass in dem Server aktuell noch Backdoors offen sind, die dem Cracker erneute Angriffe erlauben!! Dieser Server ist NICHT mehr vertrauenswuerdig und diese Buergermeisterin hat hier duemmer gehandelt als die Polizei erlaubt. Von daher sollte diese Buergermeisterin zuruecktreten!
Und noch etwas zur Kompetenz:
Eine Parkbank, zwei Parkbänke
Eine Datenbank, zwei Datenbanken, ...nicht Datenbänke
Wenn aber so ein Trojaner frisch auf den Markt kommt, dann hat ihn kein Virenscanner auf dem Radar. Wenn er dann auch noch geduldig wartet bis auch die Backups verseucht sind, dann gute Nacht.
Dann haben nämlich die ersten Empfänger des Trojaners keine Chance zur Abwehr oder danach Entseuchung des Systems.
Dann sind alle Daten bis zurück zur letzten nicht verseuchten Sicherung verloren oder man zahlt halt ein paar Bitcoins in der Hoffnung, dass die Erpresser ehrliche Gauner sind.
(Keine Ahung, wie die genannten Trojaner das machen.)
Ist es Möglich den Verwaltungen zu verbieten meine Daten auf Rechnern zu speichern, die eine Verbindung zum Internet haben? Vor einer WOche hatte es ein Krankenhaus in Oberfranken getroffen, diesmal eine Gemeindeverwaltung.
Das Nächste mal ist vielleicht ein Energieversorger betroffen.
Hier zeigt sich immer wieder, wie unvorsichtig hier umgegangen wird. Hoffentlich wurden hier nicht noch Daten von Bürgern abgegriffen.
Am Besten widerspricht jeder Bürger der Onlinespeicherung seiner Daten, um hier die Sicherheit zu gewährleisten.
Was passiert, wenn hier systemrelevante Netze (Energieversorger, Wasserversorgung) angegriffen werden können, weil hier keine Sicherheitsmechanismen vorhanden sind. Es wird Zeit, dass hier die Verwaltungen aufwachen, damit sie nicht erpressbar durch Cyberkriminelle werden.
Sie fragen ernsthaft, auf welcher Rechtsgrundlage man diese Vorratsdatenspeicherung verbieten will?? Oh man... das ist genauso duemmer als die Polizei erlaubt! Die Rechtsgrundlage dazu steht:
a) im Strafgesetzbuch in § 202a StGB (Ausspähung von Daten) + § 81 StGB (Hochverrat) + § 94 StGB (Landesverrat)!
b) im Grundgesetz Artikel 5 GG + Artikel 10 GG + Artikel 20 GG + Artikel 25 GG + Artikel 26 Absatz 1 GG.
c) im Grundsatzurteil vom Bundesverfassungsgericht zum Grundrecht auf Computerschutz. Hier nachlesen:
http://lexetius.com/2008,143
d) Im Urteil vom Europäischen Gerichtshof mit welchem SafeHarbour gekippt wurde
Von daher: es gibt mehr als genug Rechtsgrundlagen!