Daten gegen Lösegeld

Verschlüsselung durch Ransomware verstehen und verhindern

Kategorie Eins: Write-in-place

Die Ransomware dieser Kategorie geht folgendermaßen vor:

1. Erstellen einer temporären Datei.

2. Lesen der Originaldatei.

3. Verschlüsseln und Schreiben der Daten in die temporäre Datei.

4. Lesen der verschlüsselten Daten aus der temporären Datei.

5. Schreiben der Daten zurück auf die Originaldatei.

6. Löschen der temporären Datei.

Risiko: Ob mein seine Daten wieder erhält, ist fraglich, aber einen Versuch wert.
Risiko: Ob mein seine Daten wieder erhält, ist fraglich, aber einen Versuch wert.
Foto: Palo Alto Networks

Zu Ransomware dieser Art zählen CryptoLocker, Cryptowall, CryptoDefence und DirCrypt. Als temporärer Speicherbereich kann dabei auch Prozessspeicher anstatt einer temporären Datei verwendet werden, wobei die Malware in diesem Fall immer noch zu dieser Kategorie gehört. Ein Beispiel wäre ein analysiertes Sample der DirCrypt Ransomware, die auf Prozessspeicher als temporären Arbeitsbereich zurückgreift, wie im Folgenden dargestellt:

1. Öffnen der Datei mit Createfile.

2. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.

3. Lesen der Daten der Datei, Verschlüsseln der Daten im Speicher und Schreiben der Daten auf die gleiche Datei.

4. Schließen der Datei.