Erpresser-Trojaner: Fränkische Gemeinde zahlt Lösegeld für EDV-Daten

Die kriminellen Schöpfer eines Erpresser-Trojaners haben in Dettelbach (Lkr. Kitzingen) abkassiert. Dabei ging es laut Polizei aber nicht – wie bisher berichtet – um die Schadsoftware „Locky“, sondern den ähnlich gefährlichen Computervirus „TeslaCrypt 3.0“. Die Stadt habe für die Freigabe blockierter Daten bezahlt, erklärte Bürgermeisterin Christine Konrad am Mittwoch. Die Zahlung, über deren Höhe sich Konrad ausschwieg, habe Erfolg gehabt.

Die heimtückische Schadsoftware hatte Dettelbach gleich doppelt getroffen. Durch den Angriff auf den Server der Stadt am Aschermittwoch (10. Februar) waren sowohl Daten der Verwaltung – vor allem des Einwohnermeldeamts – als auch der Stadtwerke „verloren gegangen“, wie es im Amtsblatt hieß.

Polizei rät davon ab, Zahlungen an Betrüger zu leisten

Verantwortlich für den Datenverlust – bei den Stadtwerken ging es um die Abrechnung für 2015 – ist eine sogenannte Phishing-Mail, die bei „TeslaCrypt“ ebenso wie bei dem weltweit grassierenden „Locky“ als normale Mail, beispielsweise als Rechnung, getarnt ist. Wer die angehängte Datei öffnet, ist dem Trojaner ausgeliefert. Die Schadsoftware verschlüsselt die Daten. Damit ist der Zugriff blockiert.

Wer die Blockade seines EDV-Systems lösen will, bekommt von den jeweiligen Erpressern eine Nachricht auf den Schirm. Der Inhalt ist einfach: Wer zahlt, dessen Datenbänke werden wieder freigegeben. Laut einer Pressemitteilung der Verbraucherzentrale Nordrhein-Westfalen, sind die „Locky“-Kriminellen in ihren Forderungen eher maßvoll. Umgerechnet 200 Euro würden da fällig. Es sei aber fraglich, „ob die Betrüger nach Bezahlung überhaupt Interesse daran haben, die Verschlüsselung der Dateien rückgängig zu machen“.

Ähnliches gilt wohl auch für „TeslaCrypt“, das aber laut Heise online, einem Computer-Fachportal, die teurere Betrügervariante ist: „Die Erpresser fordern für die Entschlüsselung über 400 Euro“, heißt es da mit Blick auf die 2.0-Vorgängerversion des Trojaners. Den haben seine Schöpfer nun aufgerüstet. Bei Dettelbach scheint die Zahlung aus der Gemeindekasse gefruchtet zu haben. Ein Erfolg, der laut Auskunft der Pressestelle im Polizeipräsidium Würzburg keineswegs garantiert ist. „Wir raten dazu, dass man keine Zahlungen an die Betrüger leistet“, betont Sprecher Michael Zimmer. Sowohl die Polizei als auch das Bundesamt für Sicherheit in der Informationstechnik raten stattdessen dazu, Anzeige zu erstatten.

Tipps: Wie lässt sich Infizierung mit Verschlüsselungs-Trojanern vermeiden?

Da gibt's inzwischen vier in Unterfranken, wie Polizeisprecher Zimmer erklärt. In allen Fällen werde wegen versuchter Erpressung ermittelt. Neben der von „TeslaCrypt“ heimgesuchten Stadt Dettelbach seien als „Locky“-Opfer eine Firma im Mainfrankenpark, ein Unternehmen in Schweinfurt und eines in Werneck die Anzeigeerstatter. Weil „Locky“ so etwas wie ein Computer-Flächenbrand ist, werden die Ermittlungen bei der Generalstaatsanwaltschaft Bamberg in der bayernweiten Zentralstelle gegen Cyber-Kriminalität koordiniert. Bei „TeslaCrypt“ gebe es ein Sammelverfahren beim Bayerischen Landeskriminalamt, sagt Zimmer.

Der gibt einige Tipps, um Infizierungen mit den Verschlüsselungs-Trojanern zu vermeiden: Betriebssystem, Virenscanner und Firewall müssten ständig auf dem neuesten Stand gehalten werden, wichtige Daten ständig gesichert werden, und bei Mails – vor allem bei Anhängen – soll man größte Vorsicht walten lassen.