Cryptolocker verschlüsselte auch das Backup: Polizeiwache zahlte
Wer dieses Bild sieht hat verloren: Momentan ist Cryptolocker auf normalem Weg nicht zu entschlüssen (Bild: blog.comodo.com)Opfer einer Attacke durch die Verschlüsselungs-Schadsoftware »CryptoLocker« wurde eine Polizeiwache in Tewksbury im US-Bundesstaat Massachusetts. Die Erpressersoftware, auch Ransomware genannt, verschlüsselte verschiedenste Daten, darunter Polizeiberichte, Fahrzeugdaten, sowie Festnahme- und Verhörprotokolle.
Es schaltete sich bei dem Vorfall auch das FBI ein. Zwei Forensik-Unternehmen, Delphi Technology Solutions und Stroz Friedberg wurden laut dem »Tewksbury Town Crier« hinzugezogen. Aber als sich nach mehreren Tagen herausstellte, dass es nicht gelingen würde, die Verschlüsselung zu knacken, entschied man sich, ein Lösegeld von 500 US-Dollar in Bitcoins zu zahlen, um wieder Zugriff auf die Daten zu erhalten.
Neuere Version von »CryptoLocker« mit neuen Netzwerkfähigkeiten schlug zu
Crpytolocker ist eine Malware, die erstmals 2013 auftauchte. Forensiker und Antivirus-Spezialisten waren sich sicher, den Schädling im Griff zu haben. Ein Crpytolocker-Botnet wurde letzten Sommer zerschlagen. Aber die Version, mit der sich die Polizeiwache infizierte, scheint eine neue, effektivere Version zu sein. Sie kann jedes File und jede Datei finden und verschlüsseln, das zu einem Shared-Netzwerklaufwerk, einem USB-Laufwerk, externen Festplatten, Netzwerk-File-Share und sogar zu manchen Cloud-Storage-Services gehört.
Schließlich entschied man sich in Tweksbury zähneknirschend, das Lösegeld zu zahlen. Denn laut einem Polizeisprecher war man auf dieser Station nahezu »blind« bzw. man sah sich außerstande, die Polizeiarbeit vernünftig aufrechtzuerhalten.
Backup auf externer Festplatte: verschlüsselt. Backup auf Tape: zu alt
Und die geneigten Mitleser, die nun schon vermuten, dass es kein Backup auf der Polizeistation gab – es gab ein Backup auf einer externern Festplatte, aber auch das wurde aufgrund der ausgeklügelten Netzwerkfähigkeiten der Schadsoftware verschlüsselt. Und es gab auch noch ein Backup auf einer nicht ans Netzwerk angeschlossenen Tape-Cartridge – aber das war laut der Zeitung 18 Monate alt.
Der Malware-Vorfall fand bereits im Dezember letzten Jahres statt. Durch den Bericht der Zeitung aus Tweksbury kam er aber jetzt erst ans Tagelicht. Es ist auch nicht bekannt, wie der Schädling in die Polizeistation eingeschleust wurde. Übrigens: Nach der Zahlung der Bitcoins bekam die Polizeistation tatsächlich einen Schlüssel zum Entschlüsseln ihrer Daten.