Ransomware

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Your personal files are encrypted!

Your important files encryption produced on this computer: photos, videos, documents, etc. Here is a complete list of encrypted files, and you can personally verify this.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

This single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files…

To obtain the private key for this computer, which will automatically decrypt files, you need to pay 300 USD / 300 EUR / similar amount in other currency.

Click Next to select the method of payment.

Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.

Meldung des CryptoLockers

Ransomware, auch Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Dabei werden private Daten auf einem fremden Computer verschlüsselt oder der Zugriff auf sie wird verhindert, um für die Entschlüsselung oder Freigabe ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten.[1]

Historie[Bearbeiten | Quelltext bearbeiten]

Die Idee geht auf das Jahr 1989 zurück, als der Schädling AIDS TROJAN DISK mit Hilfe einer infizierten Diskette Daten verschlüsselte. Der Autor dieses Schädlings konnte überführt werden und wurde zu einer Haftstrafe verurteilt. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner TROJ_PGPCODER.A, für dessen Entschlüsselung mehrere hundert US-Dollar gefordert wurden.

Im polizeilichen Kriminalitätsbericht des Landes Sachsen-Anhalt von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hatte 831 Computer in diesem Bundesland mit einer Erpressungssoftware infiziert.[2]

Inzwischen sind kostenpflichtige sowie kostenfreie Baukastensysteme, sogenannte Crimeware-Kits, in Untergrundforen aufgetaucht, mit deren Hilfe Ransomware erstellt werden kann.[3]

2016 ist der Kryptotrojaner Locky aufgetaucht, welcher zehntausende PC und unter anderem das Fraunhofer-Institut in Bayreuth infizierte.[4] Der Tesla X3-Cryptovirus befiel im Februar 2016 u.a. Rechner des Rathauses in Rheine.[5] Vom 1. Dezember 2015 bis zum 29. Februar 2016 wurden nach Angaben des Landeskriminalamts 156 Anzeigen wegen Angriffen durch Ransomware erstattet, die Dunkelziffer wird weit darüber vermutet.[6] Betroffen waren 113 Firmen und Einrichtungen, unter denen sich etliche Kliniken sowie das Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen in Düsseldorf befanden, welches im Dezember 2015 einen Angriff erlitt.[6][7]

Im März 2016 wurde KeRanger gefunden, eine Variante eines Kryptotrojaners für OS X.[8] Anfang Juni 2016 informierte das Fraunhofer-Institut für Sichere Informationstechnologie darüber, dass auch Smartphones durch Ransomware betroffen sein können, insbesondere falls diese mit Security-Apps versehen sind, die Sicherheitslücken enthalten, wie sie vom Fraunhofer-Institut in sämtlichen der sieben exemplarisch getesteten Anwendungen gefunden und dem jeweiligen Hersteller zur Behebung gemeldet wurden.[9]

Vorgehen der Schädlinge[Bearbeiten | Quelltext bearbeiten]

Ransomware kann auf den gleichen Wegen wie ein Computervirus auf einen Computer gelangen. Zu diesen Wegen zählen präparierte E-Mail-Anhänge, die mittels Computerwürmern versendet werden, die Ausnutzung von Sicherheitslücken in Webbrowsern oder über Datendienste wie Dropbox.

Screenshot der deutschsprachigen Version des „Erpresserbriefs“ von Locky

So werden etwa E-Mails versandt, die vorgeben, eine im Anhang befindliche ZIP-Datei enthalte eine Rechnung oder einen Lieferschein über bestellte Ware.[3] Alternativ wird in kruden Formulierungen, beispielsweise „Es ist die ungesetzliche Tätigkeit enthüllt!“, behauptet, das Bundeskriminalamt, die Bundespolizei, die GEMA oder Microsoft habe illegale Aktivitäten auf dem Computer festgestellt und diesen daraufhin gesperrt.[10]

Ein befallener Computer kann auf unterschiedliche Weise blockiert werden. Einfachere und harmlosere Erpressungsversuche äußern sich nur in einem Hinweisfenster, das bei jedem regulären Systemstart erscheint und nicht geschlossen werden kann. Auch der Taskmanager wird blockiert. Unerfahrene PC-Benutzer wissen nicht, wie sie diese Blockade beenden können. Es scheint nur den Ausweg zu geben, das Lösegeld zu zahlen, indem beispielsweise eine Paysafecard oder Ukash-Karte gekauft wird.[11] Der Betrag wird dem Erpresser gutgeschrieben, indem man die Gutscheinnummer des Bezahlsystems am befallenen PC eingibt, wodurch sie dem Täter elektronisch mitgeteilt wird. Als weitere anonyme Bezahlmethode wird die Kryptowährung Bitcoin eingesetzt.

Besonders bösartige Varianten der Ransomware haben ein größeres Schadpotenzial: Zumeist werden Briefe, Rechnungen und andere mit Office-Anwendungen erstellte Dokumente, die sich in Windows-Systemen in der Regel im Ordner „Eigene Dateien“ befinden, verschlüsselt.[10] Grundsätzlich kommen als Ziel alle Dateien in Frage, die für den Besitzer des Computers sehr wichtig und unwiederbringlich sind, wozu u. a. auch E-Mails, Datenbanken, Archive und Fotos zählen können.[10] Diese Dateien werden nun so verschlüsselt, dass der Benutzer keinen Zugriff auf ihre Inhalte mehr hat. Im Gegensatz zu Spyware werden hier also keine großen Datenmengen verschoben.

Um wieder Zugriff auf die von der Ransomware verschlüsselten Daten zu erhalten, wird der geschädigte Benutzer von dem Eindringling aufgefordert, eine E-Mail an eine bestimmte E-Mail-Adresse zu senden, eine Webseite aufzurufen oder eine Formularmaske auszufüllen. In allen Fällen wird eine Software zur Entschlüsselung bzw. die Zusendung des benötigten Passworts versprochen, wofür zuvor eine Bezahlung erfolgen muss. Häufig drohen die Kriminellen, dass bei einer Kontaktaufnahme mit der Polizei sämtliche Daten vernichtet würden.

Um dem Opfer die Möglichkeit zu nehmen, sich Hilfe zum Thema Informationssicherheit aus dem Internet zu holen, kann die Hosts-Datei manipuliert worden sein, so dass der Zugang zu solchen Webseiten maßgeblich eingeschränkt wird.

In einigen Fällen ist die Möglichkeit der Entschlüsselung der verschlüsselten Dateien von Seiten des Angreifers gar nicht vorgesehen, so dass diese Dateien unwiderruflich verloren sind, sofern keine Sicherheitskopie der verschlüsselten Dateien existiert.[10]

Ratschläge für Betroffene[Bearbeiten | Quelltext bearbeiten]

Obwohl einer Umfrage zufolge rund ein Viertel der Opfer ein Lösegeld zahlen würde, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in solchen Fällen, nicht auf die Forderungen einzugehen.[12] Selbst nach Bezahlung des Lösegelds sei nicht sicher, ob die Daten tatsächlich wieder entschlüsselt würden. Da zudem die Zahlungsbereitschaft des Opfers identifiziert würde, sind weitere Forderungen nicht auszuschließen. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich. Stattdessen wird geraten, eine Anzeige zu erstatten.[13]

Der Schädling TROJ_PGPCODER.A nutzt eine sehr einfache Verschlüsselung, die auch ohne Programm des Erpressers rückgängig gemacht werden kann.[14] Nachfolgeversionen nutzen zum Teil deutlich stärkere Verschlüsselungsverfahren wie RSA, die derzeit und in absehbarer Zeit nicht zu knacken sind.

Bei den im Zeitraum 2011 bis Februar 2012 weit verbreiteten Schadprogrammen wird lediglich der Zugriff auf die Daten verhindert, es findet jedoch keine Verschlüsselung statt. Handelsübliche Antivirusprogramme können einige dieser Schädlinge problemlos entfernen. Dabei sind kostenlose Programme, beispielsweise MBAM oder Avira ausreichend, so dass kein finanzieller Schaden entstehen muss.

Teilweise gelingt es Sicherheitsforschern, Ransomware zu knacken und Entschlüsselungswerkzeuge zur Verfügung zu stellen, mit denen die verschlüsselten Daten dann kostenlos wieder entschlüsselt werden können. So ist es beispielsweise im Februar 2016 gelungen, die Verschlüsselung von TeslaCrypt 2 bis zur Version 2.2.0 zu brechen.[15][16] Im April 2016 wurde die Verschlüsselung der Ransomware Petya geknackt. Mit der Software hack-petya kann ein Schlüssel erstellt werden, mit welchem die Daten wieder entschlüsselt werden können.[17]

Schutz- und Gegenmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Von Computerexperten werden verschiedene vorbeugende Maßnahmen zur Abwehr von Ransomware empfohlen:

  • Wichtige Daten sollten in regelmäßigen Abständen auf externe Datenträger, wie beispielsweise CD-ROMs oder DVDs, gesichert werden, zu denen Ransomware keinen Zugriff erlangen kann. Eine solche Datensicherung schützt zugleich vor anderen Ursachen für Datenverluste wie beispielsweise Ausfall der Festplatten. Zwar können auch diese Vorkehrungsmaßnahmen keinen Schutz gegen eine Blockierung des Computersystems durch Ransomware bieten, ermöglichen es dem Betroffenen aber zumindest, die zuvor gesicherten Daten nach einer Neuinstallation des Systems wiederherzustellen.
  • Betrieb einer stets aktuell zu haltenden Anti-Viren-Software.
  • Vermeiden der Anmeldung und Arbeit mit Administrator-Rechten.
  • Laufende Aktualisierung des verwendeten Betriebssystems und Webbrowsers.
  • Webbrowser können zudem durch Erweiterungen wie NoScript oder manuelle Einstellungen, bei denen die Ausführung von aktiven Inhalten wie JavaScript unterbunden wird, zusätzlich geschützt werden.
  • Webbrowser sollten mit Werbeblockern vor unnötig ausgeführten Scripts und anderen eingebundenen aktiven Inhalten geschützt werden. Viele Schädlinge erreichen das System per „Drive-by-Download“, d.h. ohne Zutun des Benutzers.
  • Der Adobe Flash Player sollte deinstalliert werden. Er wird heute in den meisten Fällen nicht mehr benötigt, da die meisten Webseiten ihre Inhalte per HTML5 wiedergeben können.
  • E-Mail-Anhängen sollte grundsätzlich Misstrauen entgegengebracht werden. Dies gilt für bekannte und unbekannte Absender, da die Absenderadresse gefälscht werden kann. E-Mail-Anhänge sollten nur geöffnet werden, wenn die Kombination aus Absender und Inhalt ein sehr hohes Maß an Plausibilität innehat, beispielsweise also erwartet wurde. In diesem Zusammenhang gilt Social Engineering als mögliche Sicherheitslücke. Auch können aus gehackten Datenbanken komplette User-Profile zusammengestellt werden, in denen korrekte Angaben des Adressaten zu sehr plausiblen E-Mails führen. So werden die gestohlenen Adress- und E-Mail-Daten des eBay-Hacks vom Mai 2014[18] zwei Jahre später im Mai 2016 eingesetzt.

Seit Februar 2016 bietet das Unternehmen Malwarebytes eine Software namens Anti-Ransomware (Beta-Version) an, die Verschlüsselungstrojaner anhand ihres typischen Verhaltens erkennen soll.[19]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. pc-gesund.de: Der PC Gesund Malware Report 2012: Zusammenfassung: Ransomware – die Malware-Innovation
  2. Ministerium für Inneres und Sport Sachsen-Anhalt Polizeiliche Kriminalstatistik 2011, Pressemitteilung Nr.: 015/2012, 27. Februar 2012
  3. a b PC-Welt Pocket: Erpresserviren aus dem Baukasten, 7/2012, S. 22
  4. Mehr als 5.000 Infektionen pro Stunde in Deutschland. Abgerufen am 19. Februar 2016.
  5. Westfälische Nachrichten: Virus legt Rathaus in Rheine lahm, Westfalen, Rheine, mas, 2. März 2016
  6. a b Westfälische Nachrichten: Alarm im Internet: Landeskriminalamt warnt vor massiven Cyber-Attacken, Titelseite, Düsseldorf/Münster, Hilmar Riemenschneider, Elmar Ries, 9. März 2016
  7. Westfälische Nachrichten: Der Krieg der Hacker: Cyber-Erpressungen erleben einen neuen Boom / Auch im Münsterland finden die Kriminellen Opfer, Westfalen, Münsterland, Elmar Ries, 9. März 2016
  8. Neue OS X Ransomware KeRanger infiziert via Transmission BitTorrent Client Installer. Abgerufen am 6. März 2016.
  9. Westfälische Nachrichten: Sicherheits-Apps für Android-Geräte können Lücken haben, Service, dpa, 4. Juni 2016
  10. a b c d PC-Welt Pocket: Die Erpresserviren kommen, Arne Arnold, Moritz Jäger, 7/2012, S. 24
  11. Heise: Bot erpresst Facebook-Nutzer, 19. Januar 2011
  12. Gulli.com, Umfrage zu Ransomware: Rund ein Viertel würde Lösegeld zahlen, 17. Juli 2010
  13. Westfälische Nachrichten: Hilfe nach Erpressung mit Schadsoftware, Service, dpa, 30. Mai 2016
  14. Virusbeschreibung bei F-Secure, 12. August 2008
  15. Dennis Schirrmacher: Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach. In: Heise Security. Heise Medien GmbH & Co. KG, 5. Februar 2016, abgerufen am 9. Februar 2016.
  16. Dennis Schirrmacher, Jürgen Schmidt: TeslaCrypt 2.0 entschlüsselt. In: Heise Security. Heise Medien GmbH & Co. KG, 5. Februar 2016, abgerufen am 9. Februar 2016.
  17. http://www.sueddeutsche.de/digital/verschluesselungstrojaner-ransomware-geknackt-petya-opfer-bekommen-ihre-daten-zurueck-1.2945474?source=rss
  18. 145 Millionen Kunden von eBay Hack betroffen. In: heise.de. 2014-22-05, abgerufen am 26. Februar 2016.
  19. Ronald Eikenberg: Krypto-Trojaner Locky: Batch-Dateien infizieren Windows, Tool verspricht Schutz – heise online. In: heise.de. 26. Februar 2016, abgerufen am 26. Februar 2016.

Weblinks[Bearbeiten | Quelltext bearbeiten]