Virus tarnt sich als Windows-Update

Wer wenig Geld hat und/oder schon lange im Netz unterwegs ist, kennt sie bestimmt, sogenannte Warez-Seiten, deren Angebot man euphemistisch bestenfalls als halblegal bezeichnen kann. Und wenn man nicht ein wenig Vorsorge getroffen hat, wird man dort des öfteren mit PopUps konfrontiert, nach denen (angeblich) ein Virus auf dem Rechner ist, ein Codec fehlt, ein bestimmtes Tool notwendig ist usw usf. Dahinter verbirgt sich natürlich fast immer nichts gutes, sondern genau das Gegenteil. So auch im neúesten Fall, der aber etwas anders gelagert ist. Während viele oft wissen, dass sie einen bestimmten Codec schon haben und sich auch mit einem oder mehreren Anti-Viren-Programmen eine gewisse Sicherheit verschafft haben, sieht das mit Windows-Updates halt etwas anders aus, die sind irgendwie normal und es ist auch normal, dass nicht jedes davon automatisch erfolgt.

Genau darauf zielt die aktuelle "Verpackung" der Ransomware Magniber ab, die eben als erforderliches Windows-Update auf solchen Websites daherkommt. Zudem ist das ganze von den Machern recht geschickt gestaltet, denn die angebotenen Dateien tragen für Windows-Updates durchaus passende Namen wie Win10.0_System_Upgrade_Software.msi, Security_Upgrade_Software_Win10.0.msi oder auch System.Upgrade.Win10.0-KB<Zahl>.msi. Und ein Check von heise online bei Virus Total hat ergeben, dass (aktuell) gerade mal rund die Hälfte der dort verwendeten 61 Virusprogramme die Maleware hinter diesen angeblichen Updates erkennt.

Die Folgen sind die üblichen, Magniber verschlüsselt eure Daten und es wird ein "Lösegeld" in Kryptowährung verlangt, derzeit $2.600 mit einer Verdoppelung nach 5 Tagen. Da sich auf solchen Seiten wie oben schon angemerkt meist Leute rumtreiben, die solche Summen nicht bezahlen können, dürften die Daten in den allermeisten Fällen ohne Backup schlicht verloren sein, zumal es für die aktuelle Version von Magniber keine (kostenlose) Entschlüsselungssoftware gibt.