Daten gegen Lösegeld
Verschlüsselung durch Ransomware verstehen und verhindern
In den letzten Jahren hat die Cyber-Welt verschiedene Trends in der Malware-Landschaft erlebt. Von einfachen Viren und Würmern über DDoS-Botnets bis hin zu Banking-Trojanern stecken kriminelle Organisationen und Malware-Autoren ihre Ziele immer höher. Stets sind sie darum bemüht, ihre ausgefeilten Angriffstaktiken den ebenfalls immer besseren Fähigkeiten der Sicherheitslösungen anzupassen. Die Cyber-Kriminellen wollen den Technologien für Erkennung und Prävention immer möglichst einen Schritt voraus sein. Eine der jüngsten Entwicklungen dieses Katz-und-Maus-Spiels ist die Verschlüsselung fremder Daten durch Ransomware, die in letzter Zeit von den Cyber-Kriminellen immer häufiger herangezogen wird, um von den Betroffenen "Lösegeld" zu erpressen.
Eine Verschlüsselungs-Ransomware ist eine bösartige Software, die einen Computer infiziert und alle wertvollen Dateien verschlüsselt. Die Ransomware erreicht den Computer über eine Sicherheitslücke - in der Regel in einem Browser oder einem Dokumentenleser - oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei. Der Schadcode verschlüsselt dann wertvolle Dateien auf dem Rechner, etwa Dokumente, Bilder, Zertifikate etc. Daraufhin erhält der User eine "Lösegeld"-Forderung für die Entschlüsselung der Daten.
- Mehr Sicherheit im Browser
Tools wie AdBlock können auch vor Viren schützen. - Regelmäßig Windows-Updates installieren, auch für andere Microsoft-Programme
Installieren Sie regelmäßig Updates für Windows, auch für andere MS-Programme, wie Microsoft-Office. - Virenscanner von Drittherstellern installieren und automatisiert aktualisieren
Der kostenlose AVG-Virenscanner kann PCs zuverlässig schützen. - Kostenlose Viren-Scanner bieten bereits einen guten Grundschutz
Auch bei kostenlosen Virenscannern können Sie umfassende Sicherheits- und Aktualisierungseinstellungen vornehmen. - Lassen Sie Rechner regelmäßig mit Kaspersky-Rettungs-CD scannen
Mit Kaspersky können Sie PCs zuverlässig nach Viren scannen. - AdwCleaner installieren und verwenden
AdwCleaner hält Rechner sauber, aber nur wenn Sie den Scanvorgang manuell starten. - Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden
Das Microsoft Windows-Tool zum Entfernen bösartiger Software kann gefährliche Angreifer finden und entfernen. - Spybot Antispyware herunterladen und System immunisieren
Spybot Antspyware kann Windows-PCs vor Spyware-Angreifern schützen. - Autostart-Programme im Blick behalten
Mit Autoruns finden und entfernen Sie Angreifer von Windows-Rechnern.
Der für die Entschlüsselung benötigte Schlüssel wird auf einen Remote-C&C-Server hochgeladen und nicht auf dem lokalen Computer gespeichert, so dass eine Sanierung sehr schwierig ist. Das Entfernen der Malware reicht nicht, da der Großteil der Dateien des Benutzers bereits verschlüsselt ist und ohne den Schlüssel nicht wiederhergestellt werden kann. Wenn das Opfer nicht innerhalb eines vorgegebenen Zeitrahmens zahlt, sind die Chancen für eine Wiederherstellung gering. Die Wirksamkeit dieser Taktik hat zur steigenden Beliebtheit bei den Cyber-Kriminellen beigetragen, die es damit auf Einzelpersonen und Unternehmen gleichermaßen abgesehen haben.
Ransomware aus einem anderen Blickwinkel
Die meisten Beiträge zum Thema Ransomware-Verschlüsselung fokussieren sich auf die Infektionsmethoden, den Verschlüsselungsalgorithmus oder die C&C-Server-Kommunikation. Ransomware lässt sich aber auch aus einem anderen Blickwinkel betrachten: die Analyse der Dateioperationen, die Ransomware auf den zu verschlüsselnden Dateien vornimmt. Eine allgemeine Übersicht mit einfachen Methoden kann den nötigen Einblick in das Verhalten der Malware liefern, bevor man sich in kleinen Details verliert.
Verschlüsselungs-Ransomware lässt sich in drei Kategorien unterteilen, basierend auf der Art, wie sie auf Dateien zugreift und diese verändert: Erstens "Write-in-place", also Schreiben an Ort und Stelle, zweitens "Rename-and-encrypt", also Umbenennen und Verschlüsseln - und drittens - "Create-encrypt-and-delete", also Erstellen, Verschlüsseln und Löschen.
"Im Rahmen unserer Forschung zur Bekämpfung von Ransomware haben wir viele Samples und Varianten unterschiedlicher Herkunft analysiert. Darauf basierend haben wir einige Samples näher untersucht, um die Unterschiede bei den oben genannten Techniken zu verdeutlichen", erklärt Ryan Olson, Intelligence Director bei Unit 42, dem Malware-Analyseteam von Palo Alto Networks.