Schöne Fotos haben Sie da auf Ihrem MacBook. Wäre doch schade, wenn ihnen was zustößt. (pb) © Robert Galbraith / Reuters

Sie nisten sich auf den Rechnern ihrer Opfer ein, verschlüsseln deren Dateien und geben sie erst wieder frei, wenn die Betroffenen in irgendeiner Form Lösegeld bezahlen: Ransomware werden bösartige Programme wie Shade oder der BKA-Trojaner (der natürlich nicht vom BKA kommt) genannt. Lange Zeit waren sie fast ausschließlich ein Problem für Windows-Nutzer. Nun gibt es sie auch für Apples OS X und für Linux, und eines befällt bereits die ersten Opfer.

Linux.Encoder.1 haben die Entdecker vom russischen Antivirenspezialisten Dr.Web es getauft. Die Schadsoftware befällt vor allem linuxbetriebene Server, die Opfer sind also Websitebetreiber und nicht Nutzer von Desktop-Distributionen wie Ubuntu oder openSUSE. Bisher soll es "zig" Opfer geben, teilt Dr.Web mit.

Einmal unbemerkt installiert, verschlüsselt Linux.Encoder.1 verschiedene Verzeichnisse und Dateitypen mit dem als praktisch unknackbar geltenden Verfahren AES. Die Folge: Der Serverbetreiber kann nicht mehr darauf zugreifen und zum Beispiel Websites auf seinem Server nicht mehr verändern. Der AES-Schlüssel wird seinerseits verschlüsselt abgelegt. Erst wenn die Betroffenen eine Website im Tor-Netzwerk besuchen und dort eine Bitcoin als Lösegeld überweisen, entschlüsseln sich die gesperrten Dateien und Verzeichnisse automatisch.

Linux.Encoder.1 ist leicht auszutricksen

So weit, so gemein. Allerdings haben die Entwickler geschlampt, wie die Analysten der Firma Bitdefender bemerkten. Der AES-Schlüssel lässt sich relativ einfach erraten, Bitdefender stellt dafür ein kostenloses Tool bereit, das die Arbeit übernimmt. Ein potenzieller Linux.Encoder.2 jedoch dürfte nicht mehr so einfach abzuwehren sein, schließlich lernen auch die kriminellen Programmierer aus ihren Fehlern.

Die erste echte Ransomware für OS X ist bisher nur ein Proof-of-concept. Genauer: zwei Proof-of-concepts. Das erste ist etwa zwei Monate alt, entwickelt hat es der Sicherheitsforscher Pedro Vilaça. Es ist aber nicht voll funktionstüchtig. Vilaça wollte lediglich demonstrieren, dass es prinzipiell möglich ist, Dateien in OS X gegen den Willen des Besitzers zu verschlüsseln. Frühere Ransomware für OS X und iOS hatte nur den Safari-Browser mit einem einfachen JavaScript-Programm blockiert oder das betroffene Gerät in den Sperrzustand versetzt. Beides ließ sich vergleichsweise einfach beheben.

Das zweite, deutlich ausgereiftere Konzept hat der brasilianische Sicherheitsforscher Rafael Salema Marques gerade in einem Video demonstriert. Mabouia nennt er seine Erpressersoftware. Symantec hat mittlerweile bestätigt, dass sie funktioniert.

Mabouia verschlüsselt Dateien und hinterlässt auf dem Rechner des Opfers eine Anleitung zur Lösegeldzahlung. Sie enthält einen einmaligen Identifizierungscode und den Link zur Website des Täters. Wer innerhalb von 72 Stunden 50 US-Dollar überweist, darf 20 Dateien entschlüsseln. Für 70 Dollar bekommt man 100 Dateien zurück. Für 100 Dollar gibt es ein "VIP-Paket", das die Entschlüsselung aller Dateien beinhaltet. Wer innerhalb der drei Tage gar nicht zahlt, muss damit rechnen, dass der Schlüssel zu seinen Daten unwiederbringlich zerstört wird.

Das alles klingt, als wolle sich Marques über Apple-Nutzer lustig machen, doch er meint es anders: Kriminelle wüssten, dass Mac-Nutzer in der Regel überdurchschnittlich viel Geld haben, sagte er im Gespräch mit Vice. Er glaubt, "Geschäftsmodelle" wie sein VIP-Paket seien keineswegs unwahrscheinlich.

Den Quellcode will Marques zwar nicht veröffentlichen. Dennoch ist nicht auszuschließen, dass bald auch andere, weniger ehrenwerte Menschen herausfinden werden, wie die feindliche Übernahme von Dateien in OS X funktioniert.

Nutzer sollten die üblichen Vorsichtsmaßnahmen beachten: Daten regelmäßig sichern, keine Links oder Anhänge in E-Mails öffnen, wenn nicht klar ist, von wem sie kommen, die Antivirensoftware und – wenn sie denn wirklich installiert sein sollen – Plugins wie Flash und Adobe Reader aktuell halten, den Rechner möglichst nicht mit Admin-Rechten nutzen. Wer sich trotzdem eine Erpressersoftware einfängt, soll auf keinen Fall das Lösegeld zahlen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) – denn es gibt keine Garantie, dass die Daten anschließend wirklich freigegeben werden.