"Aids": Die rätselhafte Geschichte des ersten Erpressungstrojaners

12. November 2016, 10:02
4 Postings

Infizierte rund 1.000 Rechner weltweit – Motive von Entwickler Joseph Popp bis heute unklar

Erpressungstrojaner, sogenannte "Ransomware", sind heute bei Cyberkriminellen in Mode. Einmal auf ein System eingeschleust, verschlüsseln sie die Daten des Nutzers, drohen mitunter mit baldiger Löschung und fordern deftige Geldbeträge als Gegenleistung für das erlösende Passwort zur Entsperrung. Nicht nur normale User, selbst Sportvereine und Behörden sind bereits Opfer dieser Masche geworden.

Dass bösartige Software ihre Opfer erpresst, ist allerdings nicht neu. Die Geschichte dieser Form der Computerkriminalität reicht fast 30 Jahre in die Vergangenheit zurück. Genauer gesagt in das Jahr 1989. Damals war es ein Biologe namens Joseph Popp, der wahrscheinlich diesen Stein ins Rollen brachte, wie Golem dokumentiert.

20.000 Disketten in Umlauf gebracht

Popp ist Biologe, der unter anderem an der renommierten Harvard University studiert hatte. Als Mitarbeiter der "Flying Doctors" und Teilzeit-Berater der Weltgesundheitsorganisation engagierte er sich in Afrika auch für Aufklärung über Aids. Im Jahr 1990 allerdings missbrauchte er seine berufliche Position, um die von ihm im Jahr zuvor geschriebene Malware zu verbreiten.

Insgesamt 20.000 Disketten des mittlerweile antiquierten 5,25-Zoll-Formats brachte er in Umlauf. Die Aufschrift gab vor, dass sie eine kostenpflichtige Datenbank mit Informationen zur Aids-Erkrankung erhalten würden, was dem Schädling letztlich auch den Namen "Aids" einbrachte. Popp verschickte sie per Post und verteilte sie auch auf einer Aids-Konferenz der WHO. Das Internet steckte damals noch in den Kinderschuhen, es sollte noch einige Jahre dauern, bis der Besitz einer E-Mail-Adresse – heute einer der beliebtesten Malware-Verbreitungswege – selbstverständlich wurde.

Verschlüsselte Dateinamen

Etwa 1.000 Mal folgten die Opfer laut Polizeiermittlungen der Installationsanweisung auf der Diskette und infizierten damit ihre Rechner. Der Trojaner begann schließlich 90 Rechnerstarts später, die Namen von Dateien mit bestimmten Dateiendungen zu verschlüsseln und die Dateien anschließend versteckt abzuspeichern. Zusätzlich ersetzte die Malware auch Autoexec.bat, eine Skriptdatei, die in DOS-basierten Systemen wichtige Pfade definiert und Prozesse startet.

Danach warnte das Programm den Nutzer, dass er seinen Rechner nicht mehr verwenden könne, bis die Lizenzgebühr entrichtet sei. War ein Drucker mit dem Computer verbunden, spuckte dieser ein Dokument mit Zahlungsanweisungen aus.

Scheckversand nach Panama

Bitcoins gab es noch nicht, Betroffene sollten einen Scheck an eine Briefkastenadresse in Panama schicken. Verlangt wurden entweder 189 Dollar für ein Jahr Verwendung oder 378 Dollar, um sich bis ans Lebensende der Festplatte von der Forderung zu befreien. Nach der Zahlung sollte der Entschlüsselungscode postalisch zugeschickt werden.

Doch die Verschlüsselung erwies sich als knackbar. Ein anderer Programmierer hielt mit einem kostenlosen Tool namens "Aidsout" dagegen, welches die betroffenen Dateien retten konnte. Es soll Nachfragen aus über 90 Ländern gegeben haben.

Gefängnisstrafe

Weil sich Popp am Rückflug einer etwas später stattfindenden WHO-Konferenz seltsam verhielt und die Polizei am Amsterdamer Flughafen verdächtige Dokumente bei ihm fand, gelang es Fahndern des FBI in weiterer Folge, ihn als Schöpfer der Erpressersoftware zu identifizieren.

Er leugnete allerdings zuerst, seiner Aufklärungssoftware Erpressungsfunktionen hinzugefügt zu haben und behauptete, die angeblichen Entwickler der "PC Cyborg Corporation", in deren Namen die Disketten verschickt worden waren, würden für die WHO arbeiten. Bei seiner Verhandlung erklärte er wiederum, das erpresste Geld sollte der Erforschung der Aids-Erkrankung dienen, ist bei Tech Republic nachlesbar.

Popp wurde nach England ausgeliefert und zu einer Gefängnisstrafe verurteilt, in deren Rahmen sich sein psychischer Zustand massiv verschlechtert haben soll. Berichtet wurde etwa, dass er mit einem Karton bekleidet durch die Gänge gelaufen sein soll und Angst vor Mikroorganismen und Strahlung hatte. Aufgrund seines Zustands wurde er später vorzeitig entlassen.

Gründe ungeklärt

Was Popp letztlich motiviert hatte, die Ransomware zu schreiben und zu verbreiten, ist bis heute nicht geklärt. Manche vermuteten, Popp sei einfach ein Kryptoanarchist oder schlicht verrückt gewesen. Der britische "Guardian" wies wiederum darauf hin, dass er kurz zuvor mit einer Bewerbung um eine Stelle bei der WHO gescheitert war, berichtet die Buchautorin Alina Simone bei Medium.

Die Fachzeitschrift Virus Bulletin schlüsselte den Fall im Jahr 1992 auf. Dabei stieß sie auch auf Beweise dafür, dass Popp vor hatte, weitere zwei Millionen Disketten mit seiner Ransomware in Umlauf zu bringen. (gpi, 12.11.2016)

  • Der Installationsbildschirm (blau) und die spätere Forderung (rot).
    foto: f-secure

    Der Installationsbildschirm (blau) und die spätere Forderung (rot).

Share if you care.