Ein neuer Verschlüsselungstrojaner ist in Umlauf. Mehrere Unternehmen in Bayreuth und der Region sind bereits Opfer geworden. Der Virus „xipr“ kommt getarnt als Bewerbungsschreiben an Firmen, die wirklich Mitarbeiter suchen. Dahinter stecken Erpresser.
Ein Schulungsunternehmen für IT-Sicherheit und Forensik aus Bindlach hat sich mit dem neuen Trojaner näher beschäftigt und die Vorgehensmethode analysiert. Der Chef und Computer-Forensiker Andreas Bauer weiß: „Eine 100-prozentige Sicherheit gibt es nicht.“ Egal ob kleine oder große Unternehmen - jeden könne es treffen.
Der neue Trojaner nennt sich xipr, eine sogenannte Ransomware und versteckt sich in einem Bewerbungsanschreiben, das plausibel erscheint und in perfektem Deutsch geschrieben ist. Der Absender nennt sich „Markus Kohler“, wohl eine erfundene Person. Er schreibt „Sehr geehrte Damen und Herren, anbei übersende ich Ihnen mein Bewerbungsschreiben.“ Angehängt ost eine sogenannte Zip-Datei, die den Namen „Lebenslauf“ trägt. Auch das ist nichts Ungewöhnliches: Selbst in einer ernstgemeinten Bewerbung sind die großen Daten gezippt, also in ein kleineres Format umgewandelt.
In diesem Ordner war eine Datei mit der Endung „wsf“, die im Hintergrund eine Installation durchführte. Aber mit seiner Arbeit begann der Trojaner erst zwölf Stunden nach der Infektion. Der IT-Forensiker Bauer sagt, der Zeitpunkt des Abschickens sei clever gewählt. Denn die Mail kam am Freitagnachmittag, also vor dem arbeitsfreien Wochenende. Wenn die Mitarbeiter montags wiederkommen, kann das ganze System lahmgelegt und alle Daten verschlüsselt sein.
Auch andere Firmen hat es bereits getroffen. „Ab sofort klebte eine nette rot-schwarze Warnung auf dem Computer, dass alle Dateien mit einer RSA-Algorithmus verschlüsselt seien“, schreibt ein Firmen-Chef. Ohne ein Spezialprogramm sei es fast unmöglich, den Code zu knacken. „Die stärksten Rechner brauchen dafür 20 Jahre“, sagen die Erpresser in einem Text, der auf dem Bildschirm aufpoppt.
In speziellen Foren im Internet suchen die Opfer nach Lösungen – bisher vergeblich.
Bauer: „Es ist eine relativ neue Art der Verschlüsselung.“ Die Email ist genau an den Mitarbeiter des Unternehmens in der Region gekommen, der auch für Bewerber zuständig war. Das schreiben auch andere Betroffene. Also scheint der Absender sich vorher genau diese Adressen besorgt zu haben. Die Täter hätten ihre Opfer „plausibel und auf eine bestimmte Zielgruppe ausgesucht“.
Auch die Zentralstelle für Cybercrime in Bamberg, eine Abteilung der Generalstaatsanwaltschaft, kennt den Virus noch nicht, sagt Staatsanwalt Matthias Huber.
Der beste Schutz, so Bauer, sei immer, seine Daten noch zusätzlich abzuspeichern und eine ständig aktuelle Datensicherung zu haben. Er selbst als Fachmann unterstützt Betroffene und sorgt für IT-Sicherheit. Die Computer des Unternehmens, die von dem Virus befallen war, laufen wieder.
