Zum Hauptinhalt springen

Ransomware erkennen – So unterscheiden sich die Verschlüsselungstrojaner

Ransomware erkennen | Wie unterscheiden sich Locky, Petya & Co?

Was ist Ransomware

Ransomware ist eine Art von Malware (engl. malicious software, „bösartiges Programm“), die von Cyberkriminellen genutzt wird. Wenn ein Computer oder ein Netzwerk mit Ransomware infiziert wurde, blockiert diese den Zugang zum System oder verschlüsselt dessen Daten. Cyberkriminelle verlangen von ihren Opfern Lösegeld (eng. ransom), um die Daten wieder freizugeben. Um sich vor einer Ransomware-Infektion zu schützen ist ein wachsames Auge und Sicherheitssoftware zu empfehlen. Opfer einer solchen Schadprogramm-Attacke haben nach einer Infektion drei Optionen, wobei sie entweder das geforderte Lösegeld bezahlen, die Entfernung der Malware versuchen oder das Gerät neu aufsetzen können. Angriffsvektoren, welche von Erpressungstrojanern dabei häufig genutzt werden, sind das Remote Desktop Protokoll, Phishing-E-Mail und Softwareschwachstellen. Ein Ransomware-Angriff kann daher sowohl auf Privatpersonen als auch auf Unternehmen abzielen.

Ransomware identifizieren – diese grundlegende Unterscheidung gibt es

Besonders beliebt sind zwei Arten von Ransomware sind besonders beliebt:

  • Locker-Ransomware: Diese Malware-Art blockiert grundlegende Computerfunktionen. So wird Ihnen beispielsweise der Zugriff auf den Desktop verwehrt, während Maus und Tastatur nur teilweise aktiv sind. Sie können also weiterhin mit dem Fenster der Lösegeldforderung interagieren, um die Zahlung durchzuführen. Davon abgesehen ist der Computer in einem solchen Fall aber nutzlos. Aber es gibt gute Nachrichten: Locker-Malware hat es für gewöhnlich nicht auf kritische Dateien abgesehen, sondern will Sie lediglich aussperren. Eine vollständige Zerstörung Ihrer Daten ist hierbei also unwahrscheinlicher.
  • Crypto-Ransomware: Das Ziel von Crypto-Ransomware ist es, Ihre wichtigen Daten, wie z. B. Dokumente, Bilder und Videos, zu verschlüsseln, aber die grundlegenden Computerfunktionen nicht zu beeinträchtigen. So wird Panik verbreitet, da Benutzer ihre Dateien zwar sehen, aber nicht darauf zugreifen können. Crypto-Entwickler fügen oft einen Countdown zu ihrer Lösegeldforderung hinzu: „Wenn Sie das Lösegeld nicht innerhalb der Frist bezahlen, werden all Ihre Dateien gelöscht.“ Und bedenkt man die Zahl der Benutzer, die sich der Notwendigkeit von Backups in der Cloud oder auf externen physischen Speichergeräten nicht bewusst sind, kann Crypto-Ransomware verheerende Auswirkungen haben. Dementsprechend zahlen viele Opfer das Lösegeld, um einfach nur ihre Dateien zurückzuerhalten.

Locky, Petya und Co.

Jetzt wissen Sie, was Ransomware ist und kennen die zwei Hauptarten. Im Folgenden lernen Sie bekannte Beispiele von Ransomware kennen, die Ihnen helfen, die Gefahren einzuordnen, die von Ransomware ausgehen:

Locky

Locky ist eine Ransomware, die zum ersten Mal 2016 von einer Gruppe organisierter Hacker zum Angriff genutzt wurde. Locky verschlüsselte mehr als 160 Dateitypen und verbreitete sich durch gefälschte E-Mails mit infizierten Anhängen. Nutzer fielen auf den E-Mail-Trick herein und installierten die Ransomware auf ihren PCs. Diese Methode von Verbreitung nennt man Phishing und sie ist eine Form des sogenannten Social Engineering. Locky Ransomware zielt auf Dateitypen ab, die oft von Designern, Entwicklern, Ingenieuren und Testern genutzt werden.

WannaCry

WannaCry war ein Ransomware-Angriff, der sich im Jahr 2017 in über 150 Ländern ausbreitete. Er war so konzipiert, dass er eine Sicherheitslücke in Windows ausnutzte, die von der NSA erschaffen und durch die Hackergruppe Shadow Brokers geleakt wurde. WannaCry betraf weltweit 230.000 Computer. Der Angriff traf ein Drittel aller NHS-Krankenhäuser in Großbritannien und verursachte einen geschätzten Schaden von 92 Millionen Pfund. Die Nutzer wurden ausgesperrt und es wurde ein Lösegeld in Form von Bitcoin verlangt. Der Angriff rückte die Problematik veralteter Systeme ins Licht der Öffentlichkeit, da der Hacker eine Schwachstelle im Betriebssystem nutzte, für die zum Zeitpunkt des Angriffs bereits längere Zeit ein Patch existierte. Der weltweite finanzielle Schaden durch WannaCry betrug ca. 4 Milliarden US-Dollar.

Bad Rabbit

Bad Rabbit war ein Ransomware-Angriff aus dem Jahr 2017, der sich über sogenannte Drive-by-Angriffe ausbreitete. Dafür wurden unsichere Webseiten missbraucht, um die Angriffe auszuführen. Bei einem Drive-by-Ransomware-Angriff besucht ein Nutzer eine echte Webseite, unwissend darüber, dass sie von Hackern kompromittiert wurde. Für einen Drive-by-Angriff reicht es in der Regel bereits aus, wenn ein Nutzer eine derartig kompromittierte Seite aufruft. In diesem Fall führte jedoch das Ausführen eines Installationsprogramms, das getarnte Malware enthielt, zur Infektion. Das nennt man einen Malware-Dropper. Bad Rabbit forderte den Nutzer auf, eine gefälschte Adobe Flash Installation durchzuführen, um dadurch den Rechner mit Malware zu infizieren.

Ryuk

Ryuk ist ein Verschlüsselungstrojaner, der sich im August 2018 ausbreitete und der die Wiederherstellungsfunktion von Windows-Betriebssystemen deaktivierte. Dadurch war es unmöglich, die verschlüsselten Daten, ohne eine externe Sicherungskopie wiederherzustellen. Zusätzlich verschlüsselte Ryuk Netzwerkfestplatten. Die Auswirkungen waren enorm und viele der im Fokus des Angriffs stehenden US-Organisationen zahlten die geforderten Lösegeldsummen. Die Schadenssumme wird auf über 640.000 US-Dollar geschätzt.

Shade/Troldesh

Der Angriff der Shade- oder Troldesh-Ransomware fand bereits 2015 statt und breitete sich über Spam-Mails mit infizierten Links oder Dateianhängen aus. Interessanterweise kommunizierten die Troldesh-Angreifer direkt mit ihren Opfern via E-Mail. Opfer, mit denen sie ein „gutes Verhältnis“ aufgebaut hatten, erhielten Rabatte. So ein Verhalten ist jedoch eine Ausnahme und nicht die Regel.

Kaspersky Premium, weitere Informationen

Jigsaw

Jigsaw ist ein Ransomware-Angriff, der 2016 begann. Der Angriff bekam diesen Namen, da er ein Bild der bekannten Puppe aus der Saw-Filmreihe auf dem Bildschirm zeigte. Mit jeder weiteren Stunde, in der die Lösegeldforderung unbezahlt blieb, löschte Jigsaw Ransomware weitere Dateien. Das Verwenden des Horrorfilm-Bildes verursachte bei den Nutzern zusätzlichen Stress.

CryptoLocker

CryptoLocker ist eine Ransomware, die im Jahr 2007 zum ersten Mal gesichtet wurde und die sich durch infizierte E-Mail-Anhänge ausbreitete. Auf infizierten Computern suchte sie nach wichtigen Daten und verschlüsselte diese. Es waren schätzungsweise 500.000 Computer betroffen. Die Strafverfolgungs- und Sicherheitsunternehmen schafften es schließlich, ein weltweites Netzwerk von entführten Heimcomputern zu beschlagnahmen, die zur Verbreitung von CryptoLocker verwendet wurden. Dadurch konnte die Kontrolle über das Netzwerk übernommen und die darüber gesendeten Daten abgegriffen werden, ohne dass die Kriminellen dies bemerkten. Letztendlich führte das dazu, dass ein Online-Portal eingerichtet wurde, in dem die Opfer einen Schlüssel zum Entsperren ihrer Daten erhalten konnten. Dadurch konnten deren Daten freigegeben werden, ohne dass ein Lösegeld an die Kriminellen gezahlt werden musste.

Petya

Petya (nicht zu verwechseln mit ExPetr) ist ein Ransomware-Angriff, der zum ersten Mal 2016 auftrat und 2017 als GoldenEye wiederauferstand. Anstatt bestimmte Dateien zu verschlüsseln, verschlüsselte diese bösartige Ransomware die gesamte Festplatte des Opfers. Dies geschah durch die Verschlüsselung des Master File Table (MFT), wodurch der Zugriff auf Dateien der Festplatte unmöglich wurde. Petya Ransomware verbreitete sich in Personalabteilungen von Unternehmen über eine gefälschte Bewerbung mit einem infizierten Dropbox-Link.

Neben Petya gibt es auch Petya 2.0, dieses unterscheidet sich in einigen Kernaspekten. Bei der Umsetzung des Befalls, sind jedoch beide ähnlich fatal für das Gerät.

GoldenEye

Die Wiederauferstehung von Petya als GoldenEye führte im Jahr 2017 zu einer weltweiten Ransomware-Infektion. GoldenEye, das als WannaCry's "tödliches Geschwisterkind" bezeichnet wird, traf über 2.000 Ziele – darunter prominente Ölproduzenten in Russland und mehrere Banken. Beängstigend war, dass GoldenEye die Mitarbeiter des Atomkraftwerks in Tschernobyl dazu zwang, das dortige Strahlungslevel manuell zu prüfen, da diese von ihren Windows-PCs ausgesperrt wurden.

GrandCrab

GrandCrab ist eine widerliche Ransomware, die damit drohte, die Pornogewohnheiten ihrer Opfer preiszugeben. Es wurde behauptet, dass die Webcam des Opfers gehackt wurde und man forderte ein Lösegeld. Andernfalls würde man peinliche Mitschnitte des Opfers veröffentlichen. Nach ihrem ersten Auftreten in 2018, entwickelte sich GrandCrab Ransomware in verschiedenen Versionen weiter. Als Teil der „No More Ransom“-Initiative entwickelten Security-Anbieter und Polizeibehörden einen Ransomware-Entschlüssler, um die sensiblen Daten der Opfer vor GandCrab zu retten.

B0r0nt0k

B0r0nt0k ist eine Crypto Ransomware, welche sich speziell auf Windows und Linux basierende Server konzentriert. Der Schädling verschlüsselt die Dateien eines Linux-Servers und schließt eine „.rontok“ Dateiendung an. Die Malware stellt dabei nicht nur eine Gefahr für Dateien dar, sondern macht auch Änderungen bei den Start-Einstellungen, deaktiviert Funktionen und Applikationen und fügt Registrierungseinträge sowie Dateien und Programme hinzu.

Dharma Brrr Ransomware

Brrr, die neue Dharma Ransomware wird manuell von Hackern installiert, welche sich in die, mit dem Internet verbundenen Desktop Services, hacken. Sobald die Ransomware vom Hacker aktiviert wird, beginnt er mit der Verschlüsselung der gefundenen Dateien. Daten die dabei verschlüsselt werden, werden um die Dateiendung „.id-[id].[email].brrr“ ergänzt.

FAIR RANSOMWARE Ransomware

FAIR RANSOMWARE ist eine Ransomware, welche die Verschlüsselung von Daten zum Ziel hat. Mit einem leistungsstarken Algorithmus werden dabei jegliche privaten Dokumente und Dateien des Opfers verschlüsselt. Dateien, welche mit dieser Malware verschlüsselt werden, werden um die Dateiendung „.FAIR RANSOMWARE“ ergänzt.

MADO Ransomware

MADO Ransomware zählt ebenfalls zu der Art Crypto Ransomware. Daten, welche damit verschlüsselt wurden, werden dabei um die Endung „.mado“ ergänzt und können somit nicht länger geöffnet werden.

Ransomware Angriffe

Wie bereits erwähnt, findet Ransomware in allen Lebensbereichen Ziele, auf welche sie sich richten kann. Üblicherweise liegt das Lösegeld, welches gefordert wird zwischen 100 und 200 US-Dollar. Bei manch anderen Angriffen wird aber auch mehr gefordert – insbesondere, wenn der Angreifer weiß, dass die blockierten Daten einen erheblichen finanziellen Verlust für das angegriffene Unternehmen bedeuten. So können Cyberkriminelle mit diesen Methoden große Summen verdienen. Bei den beiden folgenden Beispielen steht beziehungsweise stand das Opfer der Cyberangriffe im Vordergrund, im Gegensatz zur Art der Ransomware.

WordPress Ransomware

WordPress Ransomware, zielt, wie der Name bereits vermuten lässt, auf Word Press Website-Dateien ab. Dabei wird das Opfer, wie für Ransomware typisch, um Lösegeld erpresst. Je nachgefragter die WordPress Seite ist, desto wahrscheinlicher ist der Angriff von Cyberkriminellen mittels Ransomware.

Der Wolverine-Fall

Die Wolverine Solutions Group (ein Zulieferer im Gesundheitssektor) wurde im September 2018 Opfer eines Ransomware-Angriffs. Die Malware verschlüsselte einen Großteil der Dateien des Unternehmens und machte es vielen Angestellten unmöglich, diese zu öffnen. Glücklicherweise konnten Forensik Experten am 3. Oktober die Daten entschlüsseln und wiederherstellen. Bei dem Angriff wurden jedoch viele Patientendaten gefährdet. Namen, Adressen, medizinische Daten und andere persönliche Informationen könnten den Cyberkriminellen in die Hände gefallen sein.

Ransomware as a Service

Ransomware as a Service, bietet Cyberkriminellen mit geringen technischen Fähigkeiten die Möglichkeiten Ransomware-Angriffe durchzuführen. Dabei wird die Schadsoftware den Käufern zur Verfügung gestellt, was ein geringeres Risiko und höhere Gewinnen für die Programmierer der Software bedeutet.

Fazit

Ransomware-Angriffe haben viele verschiedene Erscheinungsbilder und treten in allen Formen und Größen auf. Dabei ist der Angriffsvektor für die Art der verwendeten Ransomware entscheidend. Um Größe und Ausmaß des Angriffes abschätzen zu können, muss immer beachtet werden, was auf dem Spiel steht, beziehungsweise welche Daten gelöscht oder veröffentlicht werden könnten. Unabhängig von der Art der Ransomware kann die Sicherung der Daten im Vorfeld und der ordentliche Umgang mit Sicherheitssoftware die Intensität eines Angriffs erheblich abschwächen.

Diese Sicherheitslösungen schützen auch vor Ransomware:

Weitere Artikel zum Thema Ransomware:


Ransomware erkennen – So unterscheiden sich die Verschlüsselungstrojaner

Wie sie Bad Rabbit, CryptoLocker, Crandcrab und zahlreiche weitere Ransomware identifizieren und unterscheiden können, erfahren Sie bei Kaspersky.
Kaspersky logo

Weitere interessante Artikel: