Viele Opfer von Ransomware überlegen sich verständlicherweise, ob es sich nicht lohnen würde, das geforderte Lösegeld zu zahlen, um ihr elektronisches Leben so unproblematisch wie möglich zurückzuerhalten. Wir von Kaspersky Lab raten generell davon ab, ein Lösegeld zu zahlen, aber im Fall der neuen Ransomware Ranscam gibt es wirklich keinen Grund dazu: Sie löscht die Dateien davon ungeachtet.
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2020/06/30171936/Blackhole-Featured.jpg
Threatpost berichtet von der neuen Malware und merkt an, dass Ranscam im Vergleich zu aktueller, atemberaubend leistungsfähiger Ransomware eher träge oder nicht besonders kompetent wirkt. Ein Vorschlaghammer unter den Skalpellen.
Leider ist ein Vorschlaghammer ein recht zerstörungswütiges Werkzeug. Während anspruchsvolle Ransomware versucht, das Geld ihrer Opfer zu entwenden, und dann in aller Regel die Dateien oder Dateisysteme, die sie beim Angriff verschlüsselt hat, wiederherstellt, ist Ranscam einzig und allein ein Betrug.
So funktioniert Ranscam
Das erste, was Nutzer sehen, nachdem sich die Ransomware im System eingenistet hat, ist eine Lösegeldforderung. Diese sieht den Lösegeldforderungen anderer Ransomware-Arten sehr ähnlich, mit einem scheinbar irrelevanten Unterschied: Anstatt die Betroffenen an einen externen Ort weiterzuleiten, an dem sie die Lösegeldzahlung bestätigen sollen, zeigt diese Nachricht unmittelbar folgenden Button: „Ich habe die Lösegeldforderung beglichen, bitte überprüfen Sie den Zahlungseingang und entsperren Sie meinen Computer.“
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2020/06/30171939/RansomNote.jpg
Dieser kleine Unterschied ist von entscheidender Bedeutung. Jedes Mal, wenn ein User auf den Button klickt, erscheint eine Nachricht, dass die Zahlung nicht bestätigt wurde und dass jedes Mal, wenn der Nutzer auf den Button klickt, ohne dass die Zahlung tatsächlich getätigt wurde, eine Datei gelöscht wird. Vermutlich soll dies die Betroffenen nervös machen und dazu verleiten, mehrere Zahlungen zu tätigen.
Tatsächlich ist das nichts weiter als ein Bluff — und das sind schlechte Neuigkeiten für die Opfer. Die Ransomware gibt vor, die Dateien auf eine „versteckte, verschlüsselte Partition“ verschoben zu haben, aber tatsächlich hat sie die Dateien bereits gelöscht gehabt, bevor sie die Lösegeldforderung anzeigt. Und es gibt keine Möglichkeit sie wiederherzustellen.
Forschern von Cisco’s Talos Security Intelligence and Research Group zufolge bedeutet die Zerstörung der Dateien, dass die Kriminellen nicht lernen müssen, was die wichtigsten Punkte von Cryptoblocking und -locking sind.
Bislang konnte Ranscam nicht mit größeren Angriffen in Verbindung gebracht werden; die Ransomware dient lediglich als Beispiel dafür, dass die Zahlung von Lösegeld möglicherweise nicht hilfreich ist und die Kriminellen zu allem Überfluss darin bestärkt, dass Ransomware ein toller Weg ist, um an Geld zu kommen.
Es gibt keine Möglichkeit, die von Ranscam gelöschten Dateien wiederherzustellen. Nur indem Sie proaktiv handeln, können Sie sich schützen. Wir geben Ihnen daher folgende Tipps:
- Öffnen Sie keine E-Mail-Anhänge und klicken Sie nicht auf verdächtige Links. Es ist nur wenig darüber bekannt, wie Ranscam verbreitet wird, aber voraussichtlich erfolgt dies vorwiegend über E-Mail-Anhänge und bösartige oder gehackte Webseiten. Wenn Sie also nicht 100% sicher sind, sollten Sie nicht klicken.
- Machen Sie regelmäßig Sicherheitskopien Ihrer Daten. Wenn eine Ransomware Ihre Dateien verschlüsselt oder löscht, haben Sie eine Absicherung — Sie haben ein Backup.
- Verwenden Sie eine verlässliche Antivirenlösung. Kaspersky Internet Security erkennt Ranscam und führt diese unter dem Namen Trojan-Ransom.MSIL.Agent auf. Unsere Sicherheitslösung gibt Ransomware keine Chance.