Eine neue Ransomware-Kampagne gibt sich als Interpol aus, um kleine Unternehmen dazu zu drängen, sich selbst zu infizieren. Die Forscher von Bitdefender, deren Erkenntnisse Medien wie SC Media, Infosecurity und Hackread aufgriffen, beschreiben E-Mails, die sich als offizielle "Interpol Cybercrime Investigation Unit" ausgeben und behaupten, eine dringende Reaktion sei nötig, um eine Ermittlung zu Compliance- oder Sicherheitsproblemen zu unterstützen. Der Köder ist Autorität und Angst. Die Realität ist ein plumper Versuch, den Empfänger zur Ausführung von Malware zu verleiten.
Es gibt eine ungewöhnliche Wendung, die die gesamte Reaktion verändert. Die Leute hinter dieser Kampagne haben ihre Ransomware so schlecht gebaut, dass das Werkzeug zum Umkehren der Verschlüsselung und der verwendete Schlüssel in der Malware selbst mitgeführt werden. Dieser eine Fehler bringt die Wiederherstellung ohne Zahlung wieder ins Spiel.
Wie die gefälschte Interpol-Kampagne aussieht
Die Nachricht kommt als E-Mail, die als offizielle Mitteilung aufgemacht ist. Sie verwendet den Namen Interpol und die erfundene Bezeichnung einer "Cybercrime Investigation Unit" und pocht auf Dringlichkeit: Die Kooperation des Empfängers sei angeblich für eine laufende Ermittlung zu einer Compliance- oder Sicherheitsfrage erforderlich. Diese Inszenierung soll das Urteilsvermögen kurzschließen. Ein verängstigter Mitarbeiter, der glaubt, eine internationale Polizeibehörde beobachte ihn, klickt eher zuerst und denkt später nach.
Die E-Mail trägt die Schadfracht nicht direkt. Stattdessen verweist sie auf einen Proton-Drive-Link, auf dem ein passwortgeschütztes Archiv liegt, und liefert das Passwort hilfsbereit im Text der Nachricht mit. Passwortgeschützte Archive sind ein gängiger Ausweichtrick: Viele E-Mail- und Endpoint-Scanner können den Inhalt eines verschlüsselten Archivs nicht prüfen, sodass die schädliche Datei an Filtern vorbeischlüpft, die sie sonst markieren würden.
Wie die Infektionskette funktioniert
Sobald das Opfer das Archiv herunterlädt und das mitgelieferte Passwort eingibt, findet es kein Dokument. Es findet weitere verschachtelte Archive darin. Schicht um Schicht hält die Verpackung die eigentliche Fracht vergraben, was die automatische Analyse zusätzlich erschwert und das Objekt wie ein harmloses Dateibündel aussehen lässt.
Ganz unten in der Verschachtelung sitzt die Ransomware, als Videodatei getarnt. Das Social Engineering bleibt bis zum Schluss konsistent: Ein Empfänger, dem gesagt wurde, es gehe um eine Ermittlung, erwartet, Beweise zu sichten, weshalb ein "Video" plausibel wirkt. Wenn das Opfer versucht, dieses Video abzuspielen, startet die ausführbare Datei. Statt Bildern beginnt sie, Dateien auf den verfügbaren Laufwerken zu verschlüsseln und legt eine Lösegeldforderung ab.
Die Kette ist bewusst geschichtet, aber nicht ausgefeilt. Jeder Schritt, die gefälschte Autorität, der plattformfremde Dateihoster, das mitgelieferte Passwort, die verschachtelten Archive, die Video-Tarnung, ist ein bekannter Trick. Bemerkenswert ist die Kampagne nicht wegen ihrer Raffinesse, sondern wegen ihrer Zielauswahl und eines selbstschädigenden Implementierungsfehlers.
Der entscheidende Fehler: Der Entschlüsselungsschlüssel steckt in der Malware
Hier ist das Detail, das für jedes Opfer am wichtigsten ist. Laut den Forschern, die die Proben analysierten, führt diese Ransomware sowohl ihre Entschlüsselungsfunktion als auch den benötigten Schlüssel in der Malware selbst mit. Bei einer korrekt gebauten Variante wird der Schlüssel, der Ihre Dateien entsperren würde, auf der Infrastruktur des Angreifers erzeugt und berührt Ihren Rechner nie, weshalb Zahlen als einzige Option erscheinen kann. Diese Kampagne macht das Gegenteil.
Da die Entschlüsselungslogik und der Schlüssel lokal vorhanden sind, ist es technisch möglich, die verschlüsselten Dateien wiederherzustellen, ohne mit den Angreifern zu verhandeln oder zu zahlen. Das ist ein schwerer Mangel im Design der Angreifer. Es bedeutet auch, dass Hersteller wie Bitdefender gut aufgestellt sind, um aus diesem eingebetteten Material ein kostenloses Entschlüsselungstool zu veröffentlichen, und dass Antiviren- und Polizeipartner es in den öffentlichen Katalog kostenloser Tools aufnehmen können.
Zur Klarheit über die Grenzen: Einen eingebetteten Schlüssel sicher zu extrahieren, ist Aufgabe von Malware-Analysten, nichts, was man aus einem Blogartikel improvisiert. Versuchen Sie nicht, die Probe selbst zu zerlegen. Die praktische Erkenntnis ist einfacher und ebenso wichtig: zahlen Sie nicht, denn die hier verwendete Verschlüsselung ist nicht von der unknackbaren Art, auf die sich eine korrekt implementierte Ransomware stützt.
Wer ins Visier gerät
Die Kampagne zielt auf kleine und mittlere Unternehmen statt auf Verbraucher und reicht über mehrere Regionen. Die Forscher beobachteten Ziele in den USA, in Europa, Asien und im Nahen Osten, quer durch viele Branchen, darunter Technologie, Finanzen, Rechtsdienstleistungen, Agrar- und Lebensmittelwirtschaft, Pharma und Medien. Diese Streuung deutet auf eine opportunistische Verteilung hin, nicht auf eine handverlesene Opferliste.
Kleine Unternehmen sind aus einem Grund ein attraktives Ziel. Ihnen fehlt oft ein eigenes Sicherheitsteam, das Personal ist gegen Identitätsmissbrauch womöglich weniger geschult, und der Schock einer vermeintlichen Interpol-Meldung kann die übliche Vorsicht aushebeln. Die Angreifer setzen auf diese Lücke. Ein gut informiertes Team hingegen erkennt den Betrug schon in der ersten Zeile: Eine echte Polizei verschickt keine Ermittlungs-"Beweise" als passwortgeschütztes Archiv von einem Consumer-Cloud-Speicher.
Was tun, wenn Sie eine solche E-Mail erhalten
Wenn eine solche Nachricht in Ihrem Posteingang landet, behandeln Sie sie als feindlich und lassen Sie sich nicht auf die Schadfracht ein:
- Laden Sie das Archiv nicht herunter und öffnen Sie keine Datei darin. Die Ransomware zündet beim Öffnen des gefälschten Videos, daher ist es am sichersten, diesen Schritt nie zu erreichen.
- Antworten Sie nicht und nutzen Sie keine Kontaktangabe aus der E-Mail. Die Interpol-Marke ist gefälscht, und jede im Text genannte "Unit" ist eine Erfindung.
- Isolieren Sie jeden Rechner, der die Datei bereits geladen oder geöffnet hat: Netzwerkkabel ziehen, WLAN deaktivieren und externe Laufwerke trennen, um die Ausbreitung zu begrenzen.
- Melden Sie es Ihrem IT- oder Sicherheitsteam und Ihrer nationalen Cybercrime-Behörde. Müssen Sie eine echte Polizeianfrage prüfen, kontaktieren Sie die Behörde über ihre offiziellen öffentlichen Kanäle, niemals über die E-Mail.
Was tun, wenn Ihre Dateien bereits verschlüsselt sind
Wenn die Schadfracht bereits lief und Ihre Dateien gesperrt sind, folgt die Reaktion dem üblichen Ransomware-Ablauf, mit einem ermutigenden Faktor: Das fehlerhafte Design dieser Variante macht eine kostenlose Wiederherstellung realistisch. Gehen Sie ruhig Schritt für Schritt vor.
Isolieren Sie zunächst den Rechner und fotografieren Sie die Lösegeldforderung sowie die Erweiterung der verschlüsselten Dateien. Identifizieren Sie dann die Variante genau: Unser Leitfaden zur Identifikation mit ID Ransomware zeigt, wie Sie eine Probe und die Forderung hochladen, um exakt zu bestimmen, was Sie getroffen hat. Eine genaue Identifikation ist die Voraussetzung dafür, ein passendes Tool zu finden oder zu bauen.
Prüfen Sie als Nächstes die offiziellen kostenlosen Tools. Da der Schlüssel eingebettet ist, ist ein Tool für diese Familie machbar, also konsultieren Sie das Portal No More Ransom und die Seite mit den kostenlosen Tools von Bitdefender. Unser Pillar-Leitfaden dazu, wie man Ransomware ohne Lösegeld entschlüsselt, erklärt, wie Sie ein offizielles Tool finden, prüfen und sicher an einer Kopie testen, bevor Sie es breit ausführen. Existiert für Ihre genaue Probe noch kein Tool, bewahren Sie die verschlüsselten Dateien auf einem sauberen externen Laufwerk auf und schauen Sie später wieder nach, denn Tools für fehlerhafte Varianten erscheinen oft.
Wenn Sie ein sauberes, getrenntes Backup von vor dem Angriff haben, ist die Wiederherstellung daraus der schnellste zuverlässige Weg. Welchen Weg Sie auch wählen, zahlen Sie kein Lösegeld: Die Zahlung finanziert die Operation, markiert Sie als leichtes Ziel und ist unnötig, wenn die Verschlüsselung selbst umkehrbar ist. Die vollständige Schritt-für-Schritt-Reaktion und die Wiederherstellungsoptionen finden Sie in unseren Leitfäden dazu, was zu tun ist, wenn Ihre Dateien durch Ransomware verschlüsselt wurden und wie Sie Dateien nach Ransomware wiederherstellen.
Wie kleine Unternehmen sich wappnen können
Diese Kampagne gelingt über Menschen, nicht über technische Brillanz, daher sind die stärksten Abwehrmaßnahmen organisatorischer Natur. Schulen Sie Ihr Personal darin, jeder unaufgeforderten Nachricht zu misstrauen, die sich als Polizei ausgibt und zum Download einer passwortgeschützten Datei auffordert, und machen Sie es zur Norm, innezuhalten und zu prüfen, statt auf Dringlichkeit zu reagieren. Blockieren Sie nach Möglichkeit riskante Anhangstypen und passwortgeschützte Archive am E-Mail-Gateway, denn genau das ist die Ausweichtaktik, auf die diese Kampagne setzt.
Halten Sie Offline- oder unveränderliche Backups vor, damit selbst eine erfolgreiche Verschlüsselung ein Ärgernis bleibt und keine Krise, und testen Sie, dass Sie tatsächlich daraus wiederherstellen können. Legen Sie schließlich eine einfache Regel fest: Jeder echte Kontakt einer Polizeibehörde wird über offizielle nationale Kanäle überprüft, niemals über einen Link, einen Anhang oder eine Telefonnummer aus einer unerwarteten E-Mail. Diese Gewohnheiten neutralisieren die Angst, die diese gefälschte Interpol-Kampagne ausnutzen soll.
Verwandte Leitfäden
- Ransomware ohne Lösegeld entschlüsseln: der komplette Leitfaden 2026
- Dateien durch Ransomware verschlüsselt: was jetzt zu tun ist
- Dateien nach Ransomware wiederherstellen
Sichere jetzt, damit Ransomware nicht gewinnt → EaseUS Todo Backup
Automatische Backups · Festplatten-Klon · Offline-Kopie
