Ransomware, das ist Schad-Software, die die eigenen Dateien verschlüsselt und für die Wiederfreigabe Lösegeld, auf Englisch “ransom”, verlangt. Mit dieser erpresserischen Methode sind die Nutzerdaten die Geisel, doch wie auch in der echten Welt, nützt Bezahlen wenig.Â
Sinnbildlich für das perfide an Ransomware: das “Gesicht” von Jigsaw.
Anfangs wurden Krankenhäuser, Behörden und Firmen von Cyber-Geiselnehmern ins Visier genommen und tatsächlich Tausende Dollar an Lösegeld bezahlt.
Besonders die Email kommt als Überträger von Ransomware in Frage. Auf den ersten Blick harmlose Dateianhänge enthalten Trojaner, die dazu führen, dass potenzielle Opfer Programme wie TeslaCrypt oder Locky downloaden und installieren. Weitere erpresserische Malware-Varianten wie CTBLocker oder Filecoder.DG sind dazugekommen.
Doch auch Malware-Erfinder machen Fehler oder gehen zumindest nicht geschlossen professionell in ihrer Kriminalität vor. ESET konnte die neuesten Ransomware-Vertreter Petya und Jigsaw analysieren und ihre Schäden beseitigen. Beide enthielten Anwendungsmängel, die dazu führten, dass Opfer ihre Dateien entschlüsseln konnten, ohne auch nur einen Cent zu zahlen.
Mit dem Booten wird das Ãœbel sichtbar
Über Petya berichtete Trend Micro als erstes. Dieses Schadprogramm verursacht nach einer erfolgreichen Infiltration von Windows den „Blue Screen of Death“, der den User zu einem Neustart zwingt. Danach wird eine Forderung nach Lösegeld in Höhe von 0.99 Bitcoin (ca. 396€) angezeigt.
Um an ihr Ziel zu kommen, haben die Ransomware-Programmierer den Master Boot Record (MBR) so modifiziert, dass er den Code der Ransomware anstelle des Betriebssystems ausführt. Danach wird die Master File Table (MFT) kompromittiert, die alle Dateien auf dem Datenträger verschlüsselt. Das gelingt Petya, indem es dem System angibt, wo die Files lokalisiert sind und wie deren Verzeichnisstruktur aussieht.
Pannen bei Petya
Analysen von ESET haben jedoch gezeigt, dass Petya (trotz der Forderung nach Lösegeld) nicht die Dateien auf der Festplatte an sich verschlüsselt, sondern nur die File Table. Diese Lücke in der Ransomware erlaubt es Nutzern, ihre Dateien mit speziellen Recovery-Tools zu retten.
Ausbreitung per Lebenslauf
Um Petya verbreiten zu können, tarnen die Angreifer E-Mails als Lebensläufe von potenziellen Arbeitnehmern. Einen Anhang in .doc- oder -pdf-Form gibt es nicht, stattdessen wird der User per Link zu einer Dropbox weitergeleitet. Lädt er die Datei Bewerbungsmappe.exe herunter, wird anstatt eines Lebenslaufs, eine selbstentpackende Programmdatei ausgeführt, wodurch Petya auf das Betriebssystem losgelassen wird. Der Dateiname lässt darauf schließen, dass der deutschsprachige “Opfermarkt” klar im Visier ist.
Zum Zeitpunkt dieses Artikels hat Dropbox die bösartigen Files bereits von sämtlichen Orten entfernt. Es gibt jedoch keine Garantie, dass Kriminelle die Datei nicht ändern und abermals ihr Glück versuchen. Bis jetzt hat ESET zwei Varianten dieser Ransomware entdeckt:Win32/Diskcoder.Petya.A und Win32/Diskcoder.Petya.B.
Mittlerweile ist ein Tool erhältlich, das die Schlupflöcher von Petya ausnutzt und die frühere Master File Table wieder herzustellen vermag.
Ransomware spielt sadistisches Spiel
Eine weitere Ransomware, die die Aufmerksamkeit der ESET-Forscher jüngst auf sich gezogen hat, ist Jigsaw. In Anlehnung an den Horrorfilm “Saw” versucht dieses Programm, mit seinen Opfern zu spielen und zeigt dabei eine richtiggehend sadistische Fratze: Falls der User nicht innerhalb einer Stunde bezahlt, löscht die Ransomware eine Datei. Mit jeder weiteren Stunde werden weitere Dateien gelöscht, wobei die Verlustkurve nach oben zeigt. Ein Zögern und Ãœberlegen wird einem dadurch besonders qualvoll gestaltet, der Verlust potenziert sich mit der Strategie, erst einmal abzuwarten. Jigsaw warnt sein Opfer außerdem davor, dass jeder Versuch, den Computer neu zu starten, mit dem Löschen von 1000 weiteren Files bestraft wird.
ESET-Forscher haben sich den Code der Ransomware angeschaut und festgestellt, dass auch Jigsaw mangelhaft umgesetzt wurde, wenngleich seine makabere Erscheinung angsteinflößend ist. Für alle Verschlüsselungen wird der gleiche statische Schlüssel genutzt. Inzwischen gibt es ein öffentlich zugängliches Decodierungstool für User.
Locky-Imitat
Ein von ESET entdecktes Schadprogramm namens Win32/Filecoder.Autolocky.A, kurz Autolocky, ist ein Paradebeispiel für den Versuch von Malware-Erfindern, vom zweifelhaften Ruhm anderer zu profitieren – meist scheitern diese Nachahmer aber bereits in der Realisierungsphase.
Autolocky nutzt die gleiche Verschlüsselung wie sein gefährlicheres Vorbild Locky . Dank der schlechten Codierung wird der Decodierungsschlüssel nur via Internet Explorer gesendet und kann leicht im Log-File des infizierten Geräts aufgespürt werden. Opfern von Autolocky steht außerdem ein Decodierungstool zur Verfügung, mit dem sie ihre Dateien zurückholen können.
Nicht bezahlen, sondern decodieren – und vorsorgen
Der europäische Security-Software-Hersteller ESET gibt Tipps, wie Daten vor Verlust und Diebstahl und allgemein vor Cyberkriminellen geschützt werden können.
Wie viele Beispiele zeigen, sollten sich User nicht durch Ransomware verunsichern lassen und niemals (!) das geforderte Geld zahlen. Es gibt inzwischen genug Workarounds und Decodierungstools für den Großteil erpresserischer Malware, die eine sichere und verlässliche Datensicherung ermöglichen. Dadurch wird das Geld vieler User gerettet und die Finanzierung künftiger Cyberkriminellen unterbunden. Aber auch wenn einige der Ransomwares fehlerhaft und unvollendet daherkommen, machen Cyberkriminelle ihre Softwares mit jedem Tag ein wenig besser. Prävention ist deshalb besonders wichtig, um sich davor zu schützen.
Ein Modell macht Schule: Immer mehr Ramsonware ist im Umlauf.
Deshalb sollte das Betriebssystem und alle Software immer auf dem neuesten Stand gehalten und ein verlässlicher Antivirenschutz installiert werden. Wir von androidmag empfehlen dahingehend den Antivirenschutz des europäischen Herstellers ESET. Zusätzlich ist es ratsam, in regelmäßigen Abständen alle wichtigen Daten auf einem anderen Medium (wie zum Beispiel auf einer externen Festplatte) zu sichern. Vorsicht ist auch bei Links geboten, die in Browsern angeklickt werden können. Auch in E-Mails von unbekannten Quellen können Links zu schädlichen Seiten erhalten sein. Diese Nachrichten sollten umgehend gelöscht werden.
Quelle: We live Security / ESETÂ
