Die richtigen Mittel gegen Ransomware

Auffinden des Chiffrierungsschlüssels

Wie die Dateien der Opfer genau verschlüsselt werden, ist von Malware zu Malware unterschiedlich. Zunächst einmal könnte es sein, dass der Malware-Autor nicht einmal über Grundkenntnisse der Verschlüsselung verfügt und daher katastrophale Fehler macht, wie den Schlüssel deutlich sichtbar an den codierten Dateien angehängt zurückzulassen. Im Regelfall haben Malware-Autoren aber zumindest geringe Kenntnisse über die korrekte Anwendung der Verschlüsselung. In diesem Fall wäre folgender Ablauf zu erwarten: Sobald die Malware ausgeführt wird, erzeugt sie einen zufälligen AES-256-Schlüssel, nutzt ihn zur Verschlüsselung der Dateien des Opfers, sendet ihn an den C&C-Server und löscht ihn dann. Der Punkt dabei ist, dass der Malware-Autor mit minimalen Kenntnissen über die richtige Anwendung von Verschlüsselung keine alternative Vorgehensweise kennt.

Zunächst einmal können Spuren des Schlüssels im Host-System zurückbleiben. Selbst wenn die Malware dafür sorgt, dass all diese Spuren gelöscht werden, hat buchstäblich jedes Teil des Netzwerks den Schlüssel auf dem Weg zwischen dem Endgerät des Opfers und dem C&C-Server gesehen. Das ist nicht sehr sicher, denn der Schlüssel könnte leicht über ein Kommunikationsprotokoll wiederhergestellt werden. Auch wenn die Kommunikation selbst verschlüsselt ist, könnte diese Verschlüsselung geknackt werden - insbesondere dann, wenn ein gezielter Versuch unternommen wird die Malware-Programmdatei durch Reverse Engineering wiederherzustellen.

Diese Fallstricke sind die Hauptgründe dafür, dass der traditionelle Weg, die Dateien eines Opfers in Geißelhaft zu nehmen, lange Zeit die Nutzung der sogenannten asymmetrischen Verschlüsselung war. Bei diesem Modell wird auf dem C&C-Server der Malware ein geheimer Schlüssel erzeugt. Danach wird ein entsprechender öffentlicher Schlüssel erzeugt und zum infizierten System gesendet. Der öffentliche Schlüssel wird zur Verschlüsselung der Dateien verwendet und nur der geheime Schlüssel kann diese dann wieder entschlüsseln. Es ist nicht möglich, den öffentlichen Schlüssel zur Entschlüsselung zu verwenden.