Ransomware ist derzeit ein hervorragender Maßstab für die menschliche Kreativität. Kriminelle überbieten sich gegenseitig mit Ideen, wie sie Malware, die Dateien auf einem befallenen Computer verschlüsselt und nur gegen Lösegeld wieder freigibt, noch fieser einsetzen können.

Anfang des Jahres legte Ransomware mehrere Krankenhäuser lahm. Das war schon ein heftiger Ansatz. Die brauchen Zugriff auf ihre Daten und Computer, andernfalls wird es für Patienten schnell lebensgefährlich. Smart Homes in Geiselhaft zu nehmen und zum Beispiel vernetzte Türschlösser nur nach Zahlung von Bitcoins wieder zu öffnen, war im Sommer die nächste, für Nicht-Betroffene immerhin unterhaltsame Eskalationsstufe. Aber was die überwiegend anonym auftretenden Spezialisten vom MalwareHunterTeam jetzt entdeckt hat, verdient für seine Hinterhältigkeit eine besondere Erwähnung. 

Ein Link, sie zu knechten

"Popcorn Time" nennen die Sicherheitsforscher die Ransomware, auf deren Bausteine sie im Netz gestoßen sind. (Eine Verbindung zur gleichnamigen, bei Filesharern beliebten Streaming-App besteht nicht.) Die Malware ist noch nicht fertig, aber was sie einmal tun soll, ist schon erkennbar.

Wer sich die Ransomware einfängt, etwa durch einen unvorsichtigerweise geöffneten E-Mail-Anhang, kann zwischen zwei Wegen wählen, um wieder an seine Dateien zu kommen. Entweder zahlt er einen Bitcoin, das wären aktuell umgerechnet 736 Euro. Die Zahl könnte allerdings auch ein Platzhalter sein.

Die zweite Möglichkeit: Er hintergeht die eigenen Freunde und Bekannten. Dafür schickt er ihnen einen bestimmten Link. Hinter diesem Link befindet sich eine verseuchte Website oder eine Installationsdatei. Wer sie ausführt, weil sie ja von einem vertrauenswürdigen Kontakt kommt, infiziert seinen Rechner mit der gleichen Ransomware. Schafft es das ursprüngliche Opfer auf diesem Weg, die Computer zweier anderer Menschen zu infizieren und sie dazu zu bringen, das Lösegeld zu zahlen, bekommt er seinen Schlüssel, ohne selbst Bitcoins überweisen zu müssen. So steht es jedenfalls in der Erklärung, die das Opfer angezeigt bekommt, wenn sein Rechner befallen ist.

Die Schadsoftware kann Hunderte Dateitypen nach dem als sehr sicher geltenden Standard AES-256 verschlüsseln. Das bedeutet, wer nicht zahlt, hat keine Chance, an seine Dateien zu kommen. Der offenbar geplante Bonus: Gibt jemand viermal einen falschen Schlüssel ein, um wieder an seine Dateien zu kommen, fängt das Programm an, alle Dateien endgültig zu löschen. Andere Programme nutzen stattdessen einen Countdown: Meist haben die Betroffenen nur wenige Stunden Zeit, das Lösegeld zu zahlen. Das soll sie zusätzlich unter Druck setzen.