Das wunderliche Vorbild moderner Erpresser

Im Jahr 2016 verschlüsseln Kriminelle alles, was sie infizieren können: Krankenhäuser, Privatnutzer, Unternehmen und auch den Verfassungsschutz von Sachsen-Anhalt. Erpressungstrojaner, auch Ransomware genannt, sind der aktuelle Malware-Trend.

Die Malware verschlüsselt die Rechner der Nutzer und verlangt dann Geld für die Entschlüsselung. Für die Kriminellen ist das bequem, denn dank Bitcoin lässt sich so leichter Geld machen als mit kopierten Kreditkarten. Doch das Phänomen Ransomware ist nicht so neu, wie es den Anschein hat: Bereits im Jahr 1989 entwickelte der Biologe Joseph Popp einen Trojaner, der vorgab, über Aids aufzuklären und weltweit etwa 1.000 Computer infizierte.

Mit der Entwicklung des ersten Erpressungstrojaners ist Popp Vorbild für zahlreiche Malware-Autoren, die heute viel Geld damit verdienen, Stadtverwaltungen ebenso lahmzulegen wie Privatnutzer. Das Leben des ersten Trojaner-Entwicklers nahm jedoch nach dieser Erfindung eine dramatische Wendung. Joseph Popp ist gelernter Biologe, er studierte in Ohio und an der Harvard-Universität. Außerdem war er Teil von Flying Doctors, einer Organisation, die unter anderem an der Aids-Prävention auf dem afrikanischen Kontinent arbeitet. Unklar ist, wieso er sich zum Virenautor wandelte. Klar ist dagegen, dass er 1990 bei einer Aids-Konferenz der Weltgesundheitsorganisation und per Postversand seinen Erpressungstrojaner verteilte.

Kopiert auf 20.000 Disketten

Der Trojaner wurde nicht wie heute üblich über Exploitkits oder E-Mail-Anhänge in Umlauf gebracht, sondern auf Disketten mit der Aufschrift "AIDS Information - Introductory Diskettes". Popp verteilte 20.000 Disketten, der logistische Aufwand war also groß. Die Urheber des Erpressungstrojaner leckten sogar alle Briefmarken selbst an, behauptete damals das Fachmagazin Virus Bulletin.

DNA-Tests waren im Jahr 1990 noch nicht kriminalistisch relevant, so dass dadurch keine Gefahr bestand, identifiziert zu werden. Das Risiko, durch automatisierte Frankiermaschinen entdeckt zu werden, soll dagegen groß gewesen sein: Sie unterlagen in Großbritannien einer Regulierung, so dass die Urheber identifiziert werden konnten. Damit sollte sichergestellt werden, dass nur berechtige Stellen massenweise Post versenden konnten.

Die Ermittlungen der Polizei ergaben, dass die Software von rund fünf Prozent der Nutzer installiert wurde, die die Diskette erhalten hatten. Insgesamt sollen etwa 1.000 Computer weltweit infiziert worden sein – für die damalige Zeit eine beachtliche Summe.

Moderne Ransomware hat natürlich deutlich höhere Verbreitungszahlen. Der Erpressungstrojaner Locky erreichte allein in Deutschland zeitweise mehr als 5.000 Infektionen pro Stunde. Derzeit sollen mehr als 200.000 Rechner in Deutschland von Ransomware infiziert sein.

Post von der PC Cyborg Corporation

Die Disketten versprachen eine interaktive Datenbank mit Informationen über die damals noch wenig erforschte Immunschwächekrankheit. Nutzer sollten Auskunft über Risikofaktoren, Ansteckung und Behandlungsmöglichkeiten erhalten. Als Herausgeber war die PC Cyborg Corporation angegeben. Kostenlos sollten die Informationen allerdings nicht sein.

Nutzer sollten eine Lizenzvereinbarung unterschreiben, außerdem wurde eine Gebühr zwischen 189 und 378 US-Dollar fällig. Rund fünf Prozent der Empfänger ignorierten die Details der Lizenzbedingungen, wie es viele Menschen tun, und installierten das Programm einfach. Ein großer Fehler, den nun begann der Erpressungstrojaner, ihre Systeme zu verschlüsseln.

Die Diskette enthielt zwei separate Programme: Install.exe und Aids.exe, beide wurden in Quickbasic 3.0 entwickelt. Der Trojaner ersetzte die System-Konfigurationsdatei Autoexec.bat, die die wesentlichen Prozesse für den Systemstart abwickelt. Der Schadcode wurde nicht sofort aktiviert, erst nach 90 Bootvorgängen setzte der Prozess der Verschlüsselung ein. Die Ransomware versteckte die Verzeichnisbäume vor dem Nutzer, außerdem wurden die Dateinamen verschlüsselt. Der Inhalt der Dateien selbst wurde nicht verändert.

Lösegeld per Post nach Panama

Die Erpresserbotschaft © F-Secure

Der Trojaner verarbeitete nur Dateien, die mit einer im Quellcode abgelegten Liste von Dateiendungen übereinstimmten. Dann begann er damit, die Namen aller Dateien Bit für Bit zu verschlüsseln und sie mit den Attributen schreibgeschützt und versteckt wieder auf der Festplatte abzulegen. Moderne Ransomware verhält sich in vielen Belangen ähnlich, verschlüsselt aber meist nicht nur Dateinamen, sondern die komplette Datei.

Nach abgeschlossener Verschlüsselung der Dateinamen erschien auf dem Bildschirm eine Warnung, dass der Computer nicht mehr genutzt werden dürfe, bis die Lizenzgebühr gezahlt worden sei. Außerdem wurden an verbundene Drucker Anweisungen geschickt, wohin und wie die geforderte Summe bezahlt werden sollte. Grundsätzlich unterscheiden sich die meisten Erpresserbotschaften heutiger Ransomware davon kaum. Aber die Bezahlung war im Jahr 1989 noch etwas komplizierter.

Bitcoin gab es noch nicht. Zahlungen für die zu erwerbende Lizenz sollten daher per Verrechnungsscheck an eine Postadresse in Panama geschickt werden – ein Land, das zu dem Zeitpunkt nicht gerade durch rechtsstaatliche Prinzipen glänzte. Die USA befanden sich damals im militärischen Konflikt mit dem Machthaber General Manuel Noriega.

Die Rettung hieß Aidsout

Im Erpressertext hieß es zur Zahlung: "Der Preis für ein Jahr beträgt 189 US-Dollar. Der Preis für die Miete für die Lebensdauer Ihrer Festplatte beträgt 378 US-Dollar." Das System generierte für jeden Nutzer eine eigene Referenznummer. Auf dem Scheck sollten sie außerdem den Namen, den Firmennamen und die Adresse hinterlegen. Dann bekamen sie einen Code zugeschickt, der die Entschlüsselung der Daten ermöglichte. In dem der Diskette beiliegenden Heft stand: "Wenn Sie die Vertragsbedingungen brechen, nimmt PC Cyborg sich das Recht heraus, rechtliche Schritte gegen Sie zu unternehmen und ausstehende Beträge einzutreiben".

Es gab aber auch Abhilfe: Der Programmierer Jim Bates entwickelte mit Aidsout ein Programm, mit dem sich die Dateien auch ohne Zahlung der Erpressersumme wiederherstellen ließen. Das Programm sei aus mehr als 90 Ländern nachgefragt worden, berichtete Virus Bulletin.

Die Tatsache, dass sich die Dateien wiederherstellen ließen, führte auch zu weiteren Nachforschungen. Einige Jahre nach der Veröffentlichung des Virus stellten die Forscher Adam Young und Moti Yung ein Paper vor, in dem sie eine asymmetrische Verschlüsselung demonstrieren. Dabei bekommt jedes Opfer einen eigenen Schlüssel, was die Wiederherstellung der Informationen deutlich verkompliziert. Moderne Ransomware arbeitet nach dem gleichen Prinzip.

"Dr. Popp wurde vergiftet"

Schon vor seiner Festnahme verhielt Joseph Popp sich auffällig. Nachdem er von einer Aids-Konferenz der WHO zurückgeflogen war, fiel er den Sicherheitsbehörden am Amsterdamer Flughafen Schiphol auf. Er schmierte den Schriftzug "Dr. Popp wurde vergiftet" auf den Koffer eines Mitreisenden.

Nach der Verhaftung wurden Dokumente der PC Cyborg Corporation in seinem Gepäck gefunden. Aus diesem Grund alarmierte die niederländische Polizei die britischen Kollegen, die die Ermittlungen leiteten und die Festnahme durch das FBI initiierten. Noch im Jahr 1990 wurde er als mutmaßlicher Urheber des Virus in seiner Heimatstadt Willowick in Ohio verhaftet und für das Verfahren an die britischen Behörden überstellt.

Der Biologe leugnete in den Befragungen, dass er Erpressungssoftware eingesetzt hatte. Die Verschlüsselungsfunktion und die Lizenzforderungen des auf der Diskette gespeicherten Programms bezeichnete er als "unerklärlich". Er habe "keine finanziellen Interessen" an dem Unternehmen PC Cyborg Corporation, das in den Unterlagen zu den Disketten als Ansprechpartner genutzt wird.

Forschungsergebnisse aus zehn Jahren Arbeit verloren

"Der einzige Grund für die Entwicklung der Aids-Disk war es, Computer zu nutzen, um Menschen über Gesundheitsfragen aufzuklären, um die globale Aids-Epidemie zu bekämpfen", sagte er. Er habe "niemals einen Penny damit verdient" und habe dies auch in Zukunft nicht vor. Die Direktoren der PC Cyborg Corporation würden zudem alle für die Weltgesundheitsorganisation arbeiten. Ein Sprecher der Organisation wies dies damals zurück, die Behauptungen seien "voll und ganz falsch".

Zum angeblich angestrebten medizinischen Fortschritt trug der Aids-Trojaner jedenfalls nicht bei, im Gegenteil: Eine Forschungseinrichtung in Italien soll mehr als zehn Jahre an Forschungsergebnissen verloren haben, weil sie nach der Infektion in Panik das gesamte System gelöscht und neu aufgesetzt haben soll. In vielen Fällen soll außerdem IT-Verantwortlichen gekündigt worden sein, weil die Installation der Software im Unternehmensnetzwerk auf Mängel im Ablauf hingewiesen habe.

Der Aufenthalt im Gefängnis tat der ohnehin labilen Psyche von Joseph Popp offenbar nicht gut. Er soll mit einem Pappkarton bekleidet durch die Flure gelaufen sein, außerdem Lockenwickler in seinem langen Bart getragen haben, die ihn vor bösartiger Strahlung und Mikroorganismen bewahren sollten. Mitinsassen sollen ihn außerdem dabei beobachtet haben, wie er sich Kondome über die Nase zog.

Aufgrund seiner schlechten Verfassung wurde Popp schließlich entlassen und nach Cleveland im US-Bundesstaat Ohio abgeschoben. Nach der Entlassung richtete er in einem Haus im Staat New York mit seiner Tochter ein Schmetterlingskonservatorium ein.