Geld oder Daten? Ransomware verstehen lernen – Teil I

Bei Ransomware handelt es sich um Malware, die ein System infiziert und den Nutzer danach so lange aussperrt, bis dieser eine Geldsumme für die Freischaltung seiner Daten bezahlt. Kombiniert mit einem als serverseitige Polymorphie bekannten Verfahren und hochprofessionellen Infrastrukturen für die Verbreitung kann die Malware über eine heruntergeladene schädliche Datei, eine Schwachstelle in einem Netzwerkdienst oder sogar über eine SMS auf das System gelangen. In Kürze folgt dazu ein ausführlicher Artikel, der beschreibt, wie Ransomware einen Computer infiziert.

 

 

Wo liegt der Unterschied zu herkömmlicher Malware?

 

·         Sie stiehlt die Daten ihrer Opfer nicht, sondern verschlüsselt sie

·         Sie verlangt Lösegeld, üblicherweise in Bitcoin

·         Sie ist relativ leicht zu erstellen – es gibt eine ganze Reihe von gut              

          dokumentierten Verschlüsselungsbibliotheken

 

Welche Ransomware-Arten gibt es?

 

Device Locker

Bei dieser Art der Ransomware wird der Gerätebildschirm gesperrt und ein Vollbild wird angezeigt, um den Zugriff auf das Gerät zu blockieren. In der begleitenden Nachricht wird der Nutzer zur Zahlung aufgefordert, seine persönlichen Dateien werden jedoch nicht verschlüsselt

 

 

Dateiverschlüsselnde Ransomware

Zu den berüchtigtsten Vertretern der dateiverschlüsselnden Ransomware gehören Cryptowall, Critroni und TorLocker.

Dateiverschlüssler wie Cryptolocker verschlüsseln persönliche Dateien und Ordner wie Dokumente, Tabellenkalkulationen, Fotos und Videos. Nachdem sich die Malware auf dem Computer eingenistet hat, kontaktiert sie ihr Command-and-Control-Center, um einen Verschlüsselungsschlüssel zu generieren, über den die Dateien auf dem Computer mithilfe komplexer Algorithmen verschlüsselt werden. Dadurch werden die Daten auf dem Computer unbrauchbar.

Im Anschluss wird eine Nachricht angezeigt, die den Nutzer häufig glauben lassen soll, dass sie von einer Strafverfolgungsbehörde stammt, und ihm rechtliche Konsequenzen und eine Haftstrafe androht, falls dieser die Daten nicht durch Zahlung der geforderten Summe (entweder in Form von Bitcoins oder einer Geldkarte) vor Ablauf einer Frist wieder entschlüsselt. Dabei verwenden die Cyber-Kriminellen die IP-Informationen des Benutzercomputers, um jeweils eine länderspezifische Version der Nachricht auf dem Bildschirm anzuzeigen. Mitunter wird dem Nutzer auch mit der Löschung des privaten Schlüssels gedroht, sollte dieser die Zahlungsfrist nicht einhalten.

 

 

Einige kriminelle Cyber-Banden entwickeln mittlerweile das Geschäft mit neuen Methoden wie der Anonymisierung der Kommunikation über Tor weiter. TorLocker zum Beispiel ist ein kommerzielles Ransomware-Toolkit, das in Untergrundforen als Affiliate-Programm verkauft wird. Erneuerbare integrierte Schlüssel erlauben es TorLocker sogar dann Dateien zu verschlüsseln, wenn der Computer des Opfers offline ist und durch die auf Tor basierte Kommunikation ist es so gut wie unmöglich, dagegen vorzugehen.

 

 

„Es wird immer schlimmer und die Zahl der Infektionen nimmt zu“, so Bogdan Botezatu, leitender Analyst für digitale Bedrohungen bei Bitdefender. „Opfer von Ransomware haben ohne Lösegeldzahlung keine Chance, wieder an ihre Daten zu gelangen. Zahlt man aber, unterstützt man diese Branche noch und finanziert zudem ihre Forschung und Entwicklung. In manchen Fällen nehmen diese Kriminellen zwar Ihr Geld, geben Ihre Dateien aber nicht frei, und sie stehen am Ende ohne Geld und Daten da.“

rn