Trojaner, die Daten auf den Rechnern ihrer Opfer verschlüsseln und für ihre Wiederherstellung Geld fordern, sind dieser Tage sehr beliebt. Immer wieder wird über gehäuftes Auftreten neuer "Ransomware" berichtet. Zuletzt hat es sogar den deutschen Verfassungsschutz erwischt.

Einen besonders originellen Vertreter seiner Gattung haben nun Sicherheitsforscher aufgespürt. Das digitale Erpressungswerkzeug nennt sich "Alpha" und unterscheidet sich in einigen Punkten von anderen Artgenossen.

Betont höflich

Denn "Alpha" gibt sich für einen Schädling betont höflich. Statt dem Nutzer forsch mitzuteilen, dass er nun Geld für die Auslösung seiner nunmehr verschlüsselten Daten zahlen müsse, meldet er sich mit einer beinahe nett geschriebenen Nachricht.

"Wir würden uns gerne für die Unannehmlichkeiten entschuldigen, jedoch wurde ihr Computer gesperrt", heißt es da. Gefolgt von einer Anleitung zur Wiederherstellung des Zugangs. Als nächste Besonderheit fällt die Forderung auf.

iTunes-Gutscheine statt Bitcoins

Anstatt einen Geldtransfer über einen entsprechenden Dienstleister oder eine Bezahlung in Bitcoins zu verlangen, werden iTunes-Gutscheine im Gegenwert von 400 Dollar gefordert, deren Codes an eine bestimmte E-Mail-Adresse geschickt werden müsse, um im Gegenzug das Passwort und ein Programm für die Entschlüsselung zu bekommen. Danach werde der Computer nie mehr verschlüsselt werden. Zusätzlich ersetzt der Trojaner das Hintergrundbild des Desktops durch eine eigene Grafik.

Gratis-Tool rettet Daten

Betroffene haben allerdings Glück, denn den Machern von "Alpha" sind bei der Programmierung Fehler unterlaufen. Einerseits werden die E-Mail-Adressen, an welche die Gutscheine verschickt werden müssten, nicht angezeigt. Andererseits ist aber auch der Verschlüsselungsmechanismus fehlerhaft implementiert.

Bei Bleeping Computer steht mittlerweile ein kostenloses Werkzeug zum Download zur Verfügung, mit dem Opfer von "Alpha" ihre Daten wieder entschlüsseln können. Es dürfte allerdings nur eine Frage der Zeit sein, bis die Entwickler der Malware eine verbesserte Version in Umlauf bringen. (gpi, 06.05.2016)