Verschlüsselung durch Ransomware verstehen und verhindern

Kategorie Zwei: Rename-and-encrypt

Bei Ransomware dieser Kategorie ist die Vorgehensweise wie folgt:

1. Umbenennen der Originaldatei.

2. Lesen der umbenannten Datei.

3. Verschlüsseln der Daten und Schreiben in die umbenannte Datei.

4. Umbenennen der Datei wieder mit dem ursprünglichen Namen (und einer Extension).

Ransomware wie Onion, CBT und Critroni geht nach dieser Methode vor. Diese Art der Abfolge ist komplexer als die erste Technik, da die Datei vor der Verschlüsselung umbenannt wird. Bei der Verteidigung müsste man daher den Überblick über alle verschiedenen Namen, die eine Datei haben kann, behalten. Die Analyse eines Onion-Ransomware-Samples zeigt die folgenden Aktionen, die auf den Dateien durchgeführt werden.

1. Öffnen der Datei mit Createfile.

2. Umbenennen der Datei mit SetFileInformationByHandle in eine Datei in einem temporären Verzeichnis mit der Bezeichnung 0.tmp

3. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.

4. Lesen der umbenannten temporären Datei, Verschlüsseln der gelesenen Daten und erneutes Schreiben auf die gleiche Datei.

5. Festlegen einer neuen Dateigröße mit SetFileInformationByHandle.

6. Erneutes Umbenennen der Datei, diesmal auf den ursprünglichen Namen, im ursprünglichen Pfad, mit der Extension ".ctb2" mithilfe von SetFileInformationByHandle.

Beachtenswert ist dabei, dass die Malware GetFileInformationByHandle und SetFileInformationByHandle nutzt, um die ursprünglichen Zeitattribute der Datei zu erhalten.

Nachdem alle Dateien, die von Interesse sind, verschlüsselt wurden, erscheint die folgende Meldung: