Ransomware: Q&A

Der Geschichte der Ransomware

1986: Die erste bekannte Ransomware, der AIDS-Trojaner 1989 (auch bekannt als «PC Cyborg»), wird von Joseph Popp geschrieben
2005: Im Mai erscheint erpresserische Ransomware
2006: Bis Mitte 2006 erscheinen Würmer wie Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip und MayArchive. Sie enthalten RSA-Verschlüsselungssysteme mit immer komplexeren Schlüssellängen
2011: Es kursiert ein Ransomware-Wurm, der den Windows Produkt-Aktivierungs-Hinweis imitiert
2013: Ein Ransomware-Wurm, der auf den Stamp.EK-Exploit-Kit-Oberflächen basiert, und ein Mac OS X-spezifischer Ransomware-Wurm erscheinen auf der Bildfläche. CryptoLocker greift rund $5 Millionen in den letzten vier Monaten des Jahres ab
2015: Mehrere Varianten auf unterschiedlichen Plattformen verursachen große Schäden

Arten von Ransomware

  • Verschlüsselungs-Ransomware

Sie verschlüsselt persönliche Dateien und Ordner (Dokumente, Tabellen, Bilder und Videos).

Die betroffenen Dateien werden gelöscht, sobald sie verschlüsselt wurden. Benutzer finden in der Regel eine Textdatei mit Anweisungen für die Zahlung im selben Ordner mit den Dateien, auf die Sie jetzt keinen Zugriff mehr haben.

Sie werden das Problem nur bemerken, wenn Sie versuchen, eine dieser Dateien zu öffnen.

Einige, aber nicht alle Arten von Verschlüsselungs-Software zeigen einen Sperrbildschirm:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Sperrbildschirm Ransomware - WinLocker

Er sperrt den Bildschirm und verlangt eine Zahlung.

Es wird ein Vollbild-Bild präsentiert, welches alle anderen Fenster blockiert.

Keine persönlichen Dateien werden verschlüsselt.

Polyransom2

  • Master Boot Record (MBR) Ransomware

Der Master Boot Record (MBR) ist der Teil der Festplatte des Computers, welches das Hochfahren des Betriebssystem ermöglicht.

MBR-Ransomware ändert den MBR des Computers, so dass der normale Bootvorgang unterbrochen wird.

Stattdessen wird eine Lösegeldforderung auf dem Bildschirm angezeigt.

Master-Boot.jpg

  • Ransomware verschlüsselt Webserver

Sie zielt auf Web-Server ab und verschlüsselt darauf eine Reihe von Dateien.

Bekannte Schwachstellen in Content Management Systemen werden häufig verwendet, um Ransomware auf Webdiensten einzusetzen.

Ransomware encrypting web servers

  • Mobile Ransomware (Android)

Mobile Geräte (meist Android) können über "Drive-by-Downloads" (unbeabsichtiges Herunterladen von Software) infiziert werden.

Sie können sich auch durch gefälschte Apps infizieren, die sich als populäre Dienste wie Adobe Flash oder ein Anti-Virus-Produkt maskieren.

Mobile Ransomware

Wenn ich angegriffen wurde, soll ich das Lösegeld bezahlen?

Die Zahlung des Lösegeldes wird grundsätzlich nicht empfohlen, vor allem, da es keine Garantie für eine Lösung des Problems ist. Hinzu kommen eine Reihe von Möglichkeiten, dass die Zahlung scheitert. Zum Beispiel könnten in der Malware Fehler enthalten sein, die die verschlüsselten Daten auch mit dem richtigen Schlüssel nicht wiederherstellen können.

Darüber hinaus beweist eine Zahlung den Cyberkriminellen, dass deren Ransomware erfolgreich war. Infolgedessen werden Cyberkriminelle ihre Tätigkeit fortsetzen und nach neuen Wegen suchen, um in Systeme einzudringen, und mit noch mehr Infektionen Gelder auf ihren Bankkonten zu generieren.

Wie funktioniert ein Ransomware-Angriff?

Die Zahlung des Lösegeldes wird grundsätzlich nicht empfohlen, vor allem, da es keine Garantie für eine Lösung des Problems ist. Hinzu kommen eine Reihe von Möglichkeiten, dass die Zahlung scheitert. Zum Beispiel könnten in der Malware Fehler enthalten sein, die die verschlüsselten Daten auch mit dem richtigen Schlüssel nicht wiederherstellen können.

Für den Benutzer ist die Infektion nicht sofort ersichtlich. Die Malware arbeitet still im Hintergrund, bis das System oder der Datenverriegelungsmechanismus bereitgestellt wird. Dann erscheint eine Dialogbox, die dem Benutzer mitteilt, dass die Daten gesperrt sind und ein Lösegeld notwendig ist, um sie wieder freizugeben. Ab diesem Moment ist es zu spät, die Daten durch irgendwelche Sicherungsmaßnahmen zu retten.

Weitere Informationen finden Sie im folgenden Video:

Wer sind die Opfer von Ransomware?

Jeder Verbraucher und jedes Unternehmen kann ein Opfer von Ransomware werden. Cyberkriminelle sind nicht wählerisch und versuchen meist, so viele Nutzer wie möglich zu treffen, um den höchsten Gewinn zu erzielen.

Wachsen Ransomware-Angriffe gegenüber Unternehmen?

Ja, weil Cyberkriminelle wissen, dass Unternehmen häufiger bereit sind zu zahlen, da die gesperrten Daten typischerweise sowohl vertraulich als auch für die Geschäftskontinuität entscheidend sind. Darüber hinaus kann es manchmal teurer sein, Backups wiederherzustellen, als ein Lösegeld zu zahlen.

Warum ist es so schwer, eine einzige Lösung gegen Ransomware zu finden?

Ransomware ist auf dem Vormarsch - es gibt inzwischen mehr als 50 Familien dieser Malware im Umlauf - und sie entwickelt sich schnell. Mit jeder neuen Variante kommen eine bessere Verschlüsselung und neue Features hinzu. Das kann man nicht ignorieren!

Verschlüsselung an sich ist nicht bösartig. Das ist einer der Gründe, warum es so schwierig ist, eine einzige Lösung zu finden. Sie ist eigentlich eine gute Entwicklung und viele legitime Programme verwenden sie.

Die erste Krypto-Malware verwendete einen symmetrischen Schlüssel-Algorithmus, mit dem gleichen Schlüssel für die Verschlüsselung und Entschlüsselung. Beschädigte Informationen konnten in der Regel erfolgreich mit Hilfe von Sicherheitsfirmen entschlüsselt werden. Im Laufe der Zeit begannen Cyberkriminelle asymmetrische Kryptographie-Algorithmen zu implementieren, die zwei separate Schlüssel verwenden - einen öffentlichen zur Verschlüsselung von Dateien und einen privaten, der für die Entschlüsselung benötigt wird.

Der CryptoLocker Trojaner ist einer der bekanntesten Ransomware-Fälle. Er verwendet auch einen Public-Key-Algorithmus. Da jeder Computer infiziert ist, verbindet er sich mit dem Befehls- und Steuerserver, um den öffentlichen Schlüssel herunterzuladen. Der private Schlüssel ist nur für die Kriminellen zugänglich, die die CryptoLocker-Software geschrieben haben. Normalerweise hat das Opfer nicht mehr als 72 Stunden Zeit, um das Lösegeld zu bezahlen, bevor sein privater Schlüssel für immer gelöscht und es unmöglich wird, alle Dateien ohne diesen Schlüssel zu entschlüsseln.

Sie müssen also zuerst über Prävention nachdenken. Die meisten Antivirus-Lösungen enthalten bereits eine Komponente, die hilft, eine Ransomware-Bedrohung in den frühen Stadien der Infektion zu identifizieren, ohne dass der Verlust von sensiblen Daten droht. Es ist wichtig, dass Benutzer sicherstellen, dass diese Funktionalität in ihrer Antivirus-Lösung eingeschaltet ist.

Wie stehen die Chancen, dass Ransomware-Opfer wieder Zugriff auf ihre Daten bekommen?

Das Projekt "No More Ransom" hat gerade begonnen, aber wir arbeiten kontinuierlich mit anderen Sicherheitsunternehmen und Strafverfolgungsbehörden zusammen, um so viele Schlüssel wie möglich für so viele Varianten wie möglich zu identifizieren. Wenn Sie Informationen haben, die uns helfen können, teilen Sie uns diese bitte mit.

Was ist der Crypto Sheriff und wie benutze ich ihn?

Das Werkzeug Crypto Sheriff wurde entworfen, um uns zu helfen, die Art der Ransomware zu bestimmen, die Ihr Gerät infiziert hat. Damit können wir überprüfen, ob eine Entschlüsselungslösung verfügbar ist. Um zu sehen, wie das Tool funktioniert, sehen Sie bitte das Video unten an:

Ihr Entschlüsselungstool funktioniert nicht, obwohl ich sicher bin, dass ich das richtige Tool verwende - warum?

Das ist möglich. Manchmal erhalten wir nur eine Teilmenge der Schlüssel, besuchen Sie unsere Webseite deshalb regelmäßig.

Wann ist es möglich, Dateien zu entschlüsseln, die mit Ransomware verschlüsselt wurden?

Das ist in folgenden Fällen möglich:

  • Die Malware-Autoren haben einen Implementierungsfehler gemacht, der es ermöglicht, die Verschlüsselung zu knacken. Das war bei der Petya-Ransomware und bei der CryptXXX-Ransomware der Fall.
  • Die Malware-Autoren bedauern ihre Aktionen und veröffentlichen die Schlüssel oder einen Hauptschlüssel, wie im Fall von TeslaCrypt.
  • Strafverfolgungsbehörden beschlagnahmen einen Server mit Schlüsseln und veröffentlichen diese. Ein solches Beispiel ist CoinVault.

Manchmal hilft die Zahlung des Lösegeldes, aber es gibt keine Garantie, dass die Zahlung tatsächlich dazu führen wird, dass Ihre Dateien entschlüsselt werden. Außerdem unterstützen Sie damit das Geschäftsmodell der Verbrecher und sind teilweise verantwortlich für immer mehr Menschen, die mit Ransomware infiziert sind.

Warum haben Sie sich dafür entschieden, die Initiative No More Ransom zu starten?

Es ist kein Geheimnis, dass Ransomware Daten auf den Systemen der Benutzer verschlüsselt und dann ein Lösegeld verlangt. Das ist in den letzten Jahren ein großes Problem für die Cyber-Sicherheit geworden. Ransomware ist so weit verbreitet, dass es leicht als eine Epidemie bezeichnet werden könnte. Die Anzahl der Nutzer, die mit Ransomware angegriffen wurden steigt, wobei 718.000 Nutzer zwischen April 2015 und März 2016 betroffen waren: 5,5 mal mehr gegenüber dem gleichen Zeitraum im Zeitraum 2014-2015.

Die Polizei kann nicht alleine gegen Cyberkriminalität und insbesondere Ransomware kämpfen. Und Sicherheitsforscher können es nicht ohne die Unterstützung von Strafverfolgungsbehörden tun. Die Verantwortung für den Kampf gegen Ransomware wird von Polizei, Justiz, Europol und IT-Sicherheitsunternehmen getragen und erfordert gemeinsame Anstrengungen. Gemeinsam werden wir alles in unserer Macht stehende tun, um die Geldverdienste von Kriminellen zu stören und Dateien an ihre rechtmäßigen Eigentümer zurückzugeben, ohne dass letztere viel Geld bezahlen müssen.

Gibt es in meinem Land ähnliche Initiativen?

No More Ransom ist eine internationale Initiative, die den Wert von öffentlich-privater Zusammenarbeit bei ernsthaftem Handeln der Cyberkriminalität zeigt. Diese Zusammenarbeit geht über geographische Grenzen hinaus. Das Hauptziel des Projekts ist es, Wissen zu teilen und Benutzern auf der ganzen Welt zu erklären, wie man Ransomware-Angriffe verhindert. Wir glauben, dass das zu einem Vorsprung bei der Unterstützung für die Reparatur der Schäden für die Opfer auf der ganzen Welt führt. Durch die Wiederherstellung des Zugangs auf das eigene System zeigen wir Nutzern, dass Sie selbst die Initiative ergreifen können, und damit verhindern, dass Kriminelle für ihre Handlungen auch noch belohnt werden.

IIn seinem Anfangsstadium enthielt das Portal vier Entschlüsselungs-Tools für verschiedene Arten von Malware. Alle Werkzeuge, die inzwischen auf der Webseite verfügbar sind, sind frei. Wurde die Art der Infektion von der Webseite gefunden, wird das vorgeschlagene Werkzeug für jeden Benutzer funktionieren - unabhängig davon, wo in der Welt er sich befindet.