Wiper-Malware verbreitet sich mit Vitali Kremez und MalwareHunterTeam unter neuer Flagge

Haben erneut gesetzestreue Sicherheitsspezialisten die Seite gewechselt und sind zu feindlichen Hackern geworden? Es sieht zumindest danach aus, wenn wir den Newcomer in Sachen Wiper-Malware betrachten. Unterschrieben von der Person Vitali Kremez oder dem Firmennamen MalwareHunterTeam erscheinen nach einem erfolgten Hack seltsame Meldungen statt des gewohnten Startbildschirms auf dem Monitor.

Wiper-Malware: Meister der Zerstörung

Sie ist innerhalb der Ransomware eine Klasse für sich. Viele Vertreter kennen wir bereits: Da wären der Trojaner Emotet, Erpresser Ryuk oder Banking-Virus Trickbot. Oft sind sie eng miteinander verwoben und agieren gemeinsam. Auch Wiper treten nicht zwangsläufig allein auf. Obwohl die meisten Beispiele enge Gemeinsamkeiten aufweisen, stufen wir Wiper-Malware als am gefährlichsten ein. Denn dieser Schädling hat es nicht nur auf den Datendiebstahl abgesehen — er will die Festplatte komplett zerstören.

Mit der Übersetzung «Wischer» klingt der Begriff erst einmal wenig bedrohlich. Gibst du «Wiper» in die Google-Suche ein, bekommst du zuallererst Treffer für Mähroboter und eine amerikanische Punkband. Scrollst du etwas weiter nach unten, findest du das, wovon wir heute sprechen: Hacker-Tools zur Datenlöschung.

Bei den besagten zwei Vertretern der Wiper-Malware handelt es sich um Angreifer, die den Master Boot Record (MBR) zum Ziel haben. Speichermedien werden infiziert und über eine Art Scheibenwischmechanismus überschrieben — im schlimmsten Fall bis zur vollständigen Löschung. Dabei verwischt nicht nur der Schmutz (der wahre Verursacher bleibt im Dunkeln), auch vertraute Dateien werden mit neuen Bildern oder Texten überlagert.

Wiper-Malware: Segeln unter falscher Flagge

Die angeblichen Urheber Vitali Kremez und MalwareHunterTeam hinterlassen auf dem infizierten Rechner Botschaften. In einer heisst es beispielsweise nicht gerade freundlich «I infected your stupid PC, you idiot». Gleichzeitig bietet sie einen Ansprechpartner für das Problem unter «write me in Twitter … /malwrhunterteam» und ist namentlich unterzeichnet.

Tatsache ist allerdings, dass weder Herr Kremez noch das genannte Team irgendetwas mit diesen Nachrichten zu tun haben. Wer die Beiden nicht kennt: Vitali Kremez ist Leiter des Unternehmens «Sentinel Labs» und auf die Investigation von Cyberkriminalität spezialisiert. Nach seiner früheren Karriere beim New Yorker Department ist er auch heute noch ein ehrenvoller Vertreter der IT-Security-Branche. Seine Firma besitzt eine starke Stimme unter den «Bedrohungsjägern» der Branche.

Das MalwareHunterTeam bildet quasi eine gegnerische Partei der Hacker-Bösewichte: Es betreibt unter anderem den Service «ID Ransomware», mit dem Trojaner identifiziert und nach Möglichkeit beseitigt werden können.

False Flag Operations

Schon wieder ein Begriff, der uns im Zusammenhang mit Wiper-Malware begegnet. Eigentlich stammt er aus der Seefahrt und gilt für geschickte Täuschungsmanöver und verdeckte Operationen bei Militär und Geheimdienst. Alle Aktionen werden einem Dritten zugeschrieben — der meist überhaupt nichts davon weiss — beziehungsweise in seinem Namen publiziert. Man schiebt jemand anderem die Schuld in die Schuhe. Ähnlich den Fake News dient die Strategie vorrangig der Verbreitung von Fehlinformationen.

Der Master Boot Record: Sektor und Kern des Geschehens

Befassen wir uns damit, warum Wiper-Malware so gefährlich ist und was sie genau tut. Angriffspunkt ist der MBR. Er ist der erste Sektor eines jeden Speichermediums, also auch der Festplatte. Jeder MBR enthält zwei wesentliche Dinge: das Startprogramm und eine Partitionstabelle. Ohne MBR ist ein Datenträger nicht startfähig.

Laienhaft umschrieben sorgt das Startprogramm für den erfolgreichen Start des Betriebssystems. Die Partitionstabelle liefert dabei die Informationen über die Aufteilung des Datenspeichers. Auf den meisten gängigen Speichermedien lassen sich mehrere Partitionen erstellen. Sie sind voneinander unabhängig und überlappen sich nicht — mit Ausnahmen.

Wiper-Malware kann sowohl das Startprogramm als auch einzelne Partitionstabellen infizieren. Ist eine Tabelle fehlerhaft oder fehlt ganz, kann sie nicht korrekt gelesen und damit auch nicht geladen werden. Das Startprogramm ist gesperrt, Windows taucht gar nicht erst auf. Allem voran steht die Firmware BIOS, die alle im PC verbauten Hardwarekomponenten verbindet. Ist ein Rechner mit MBR-Malware infiziert, kommt man nicht über den BIOS-Bildschirm hinaus.

Geschmacklose Scherze

Weder die Betitelung als Idiot noch die Forderung, den Angreifer zu kontaktieren, sind höfliche Druckmittel. Schon in der Vergangenheit gab es unzählige weitere Arten, Wiper-Malware bildlich oder textuell zu gestalten. 2012 wanderte zum Beispiel das Bild einer brennenden US-Flagge an Stelle des Startbildschirms. Auch das Foto des zweijährigen Alan Kurdi, der auf der Flucht aus Syrien ertrunken ist, bewegte sich 2016 weit abseits jeglicher Moral. Hintergrund dieser beiden Beispiele bildeten die Malware «Shamoon» und «Flame».

2017 riss die Bedrohung lange nicht ab. Nicht nur in der Ukraine machte sich «Petya» einen traurigen Namen. Wie artverwandte Wiper hat sie Starttabellen des MBR verschlüsselt und mittels Meldungen ein Lösegeld gefordert — auch nach Zahlung wurden die Datenverschlüsselungen nicht rückgängig gemacht. Was Petya so geschmacklos machte: Die Namensübersetzung aus dem Russischen steht für den verniedlichten Kosenamen «Peterlein».

Noch heute kursieren viele Wiper-Varianten. Nicht einmal Petya ist endgültig gebannt. Er entwickelt sich stetig weiter — neben dem Original zählen wir mindestens vier Abkömmlinge. Die erste Variante zeigt einen roten Totenkopf auf dem Startbildschirm. Wenig kreativ kam später ein grüner Totenkopf hinzu, Petya fand mit «Mischa» Unterstützung. «Goldeneye» ist ein weiterer von vielen Wipern, die unverändert gefährlich sind.

Nicht zu fachlich – Praxistipps gegen Wiper-Malware

Irgendwie muss sie ja überhaupt erst auf den Computer gelangen, um aktiv zu werden. Zur akuten Bedrohung durch den falschen Vitali Kremez / MalwareHunterTeam ist noch nicht ausreichend bekannt — weder zum Umfang noch dazu, wie er sich tarnt. Aber aus Vergangenem lässt sich einiges ableiten.

Petya wurde bevorzugt über E-Mail-Anhänge übertragen. Unternehmen öffneten arglos geschickt als Bewerbungsschreiben getarnte Dateien — und schon übernahm der Wiper den MBR. Nach wie vor gibt es mehrstufige Tarnungen: Ein Dropbox-Link gibt einen falschen Betreff vor, die Datei zum Download ist kein PDF, sondern ein eigenständiges Programm.

Die Tipps im Detail

1. Beim Anbieter ID Ransomware kannst du verdächtige Dateien hochladen — unabhängig davon, ob du sie selbst öffnen kannst (manchmal kommen sie bereits verschlüsselt an). Du erfährst, ob die erhaltene Datei Malware enthält.
2. Auf derselben Website kannst du alternativ direkt die E-Mail-Adresse eingeben, von der die Datei stammt. Das Eingabefeld eignet sich genauso dafür, angebliche Kontaktdaten von Erpressern zu prüfen.
3. Besser Vorsicht als Nachsehen: Erstelle einen Systemreparaturdatenträger. In der Systemsteuerung findest du auch die Option, ein Systemwiederherstellungsabbild zu speichern.
4. Auch die ursprüngliche Betriebssystem-Installations-CD kann helfen. Sie ist genauso Notfallsystem wie der Datenträger unter Punkt 3.
5. Mit sogenannten MBRLockern soll es möglich sein, den infizierten MBR zu «ersetzen» und ein geschütztes Backup zu erstellen. Das sollte allerdings IT-Spezialisten vorbehalten bleiben — und ist mit grosser Vorsicht zu geniessen. Ausserdem kann es schwierig sein, unter der Vielzahl an Angeboten seriöse Software auszumachen.
6. In Ausnahmefällen gab es bestimmte Tastenkombinationen, um den MBR wiederherzustellen oder den Computer zum Start zu zwingen. Auch hier gilt: Nicht zu riskant experimentieren, um am Ende mehr Schaden als Nutzen anzurichten.

Warst oder bist du ebenfalls Opfer eines Wiper-Malware-Angriffs? Nutze die Funktion unter diesem Beitrag, um dein Wissen mit anderen auf Facebook, Twitter und Co. zu teilen.