Ransomware – Bedrohung Nummer 1 im Jahr 2013

Ihr Computer wurde gesperrt” – Eine Meldung, die man nach dem Start des PCs keinesfalls sehen möchte. Unglücklicherweise befinden sich tausende Nutzer weltweit plötzlich in der Situation eines derartig blockierten Computers. Dieser wird erst nach dem Zahlen einer Gebühr wieder freigegeben. Das FBI, BKA oder eine andere staatliche Organisation behauptet, dass die Verwendung des Computers eingeschränkt wurde. Als Grund werden zumeist Raubkopien, die Verbreitung von Kinderpornographie oder Copyright-Verletzungen angegeben. “Behaupten” ist hier das Schlüsselwort, denn Ursache ist nicht eine Organisation zur Verbrechensbekämpfung – sondern eine Infektion mit Malware.

 

Die Idee einen Computer virtuell zu beschlagnahmen und nur gegen Lösegeld wieder freizugeben ist nicht neu, Rogue Security Programme wenden dieses Verfahren schon seit Jahren an. Der Stressfaktor ist aber bei sogenannter Ransomware wesentlich höher, da der PC überhaupt nicht mehr verwendet werden kann. Als einzige Option neben einem kompletten Datenverlust durch Formatierung bleibt nur die Bezahlung und Eingabe des Entschlüsselungscodes.

Innerhalb der letzten Monate gab es einen massiven Anstieg an Infektionen mit Ransomware. Jeden Tag tauchen neue Varianten, Dropper und Infektionsmethoden auf. Wir haben dem Thema bereits den Artikel
2011 – Renaissance der Ransomware gewidmet; doch die Gefahr eines Befalls ist derartig angestiegen, dass wir es erneut aufgreifen und alle Computernutzer dafür sensibilisieren und davor schützen möchten.

Ransomware unterteilt sich in zwei Hauptkategorien: Screenlocker und Crypto Ransomware. Screenlocker sind weit verbreitet und nutzen Exploit Kits, manipulierte Webseiten und Downloads, um sowohl Privatrechner als auch Firmencomputer zu befallen. Crypto Ransomware wird oft durch spezielle Server Hacks verbreitet und betrifft Privatnutzer weitaus seltener.

Screenlocker

Screenlocker infizieren Computer auf verschiedensten Wegen. Auffallend häufig werden allerdings Java Exploits verwendet, da viele Windows-Nutzer veraltete Versionen installiert haben. Diverse Schwachstellen und Fehler wurden dann noch nicht durch Bugfixes behoben, was eine Infektion des Systems sehr leicht macht. Ansonsten dienen ganz klassisch Warez- und Porno-Webseiten zur Verbreitung der Ransomware. Insbesondere Videos oder andere Inhalte, die aktiviert werden müssen oder die Ausführung einer Datei erfordern, installieren oft Malware.

Ein typischer Screenlocker zeigt normalerweise das Logo einer Behörde wie dem FBI, Bundeskriminalamt oder der GEMA. Welches Logo genau ist abhängig von der Variante, teilweise allerdings auch vom Land des Opfer-PCs. Zudem wird ein Verstoß gegen das Gesetz angegeben. Wie bereits erwähnt erfreuen sich Copyright Verletzungen, Verbreitung von Kinderpornographie oder Raubkopien hier großer Beliebtheit. Dritter und letzter wichtiger Bestandteil des Screenlockers ist die Zahlungsmethode. Manchmal muss ein bestimmter Code eingegeben werden, meist jedoch finden Prepaid Zahlungsmethoden wie Ukash oder PaySafe Verwendung.

Ein paar Screenlocker weisen noch zusätzliche Elemente auf – Beispielsweise um den Eindruck zu erwecken, dass eine Aufnahme per Webcam läuft oder anhand der IP-Adresse geographische Daten aufgezeichnet wurden (siehe Bild).


Zum Vergrößern bitte auf das Bild klicken

Um einen Befall mit diesem Typ Ransomware zu verhindern ist es extrem wichtig, sowohl Windows als auch alle installierten Programme per Updates aktuell zu halten. Vor allem Java und der Adobe Reader werden sehr häufig von Malware ins Ziel genommen – ganz simpel, weil diese beiden Anwendungen auf fast jedem Computer installiert sind und sich nur relativ wenige Nutzer um die Aktualisierung kümmern. Weitere Hinweise, wie Sie Ihren Computer frei von Malware halten können, finden Sie in
diesem Artikel.

Speziell die Anzahl und Vielfalt der Screenlocker-Infektionen sind in den letzten Monaten explodiert. Um eines der häufigsten auftretenden Exemplare handelt es sich bei dem auf dem oberen Bild ersichtlichen Reveton, oft auch als FBI Moneypak Trojaner bezeichnet. Anfang 2012 waren mit Reveton befallene Computer noch selten, bis es dann in den Monaten Juli/August eine explosionsartige Infektionswelle gab. Auch andere Varianten legten nach und sorgten dafür, dass Screenlocker in Punkto Verbreitungsgrad an Rogue Software vorbeizogen.

So überzeugend ein gesperrter Computer auch wirken mag, handelt es sich doch um nichts weiter als eine Betrugsmasche. Das einzige Ziel ist die Einschüchterung des Opfers, damit dieses das Lösegeld bezahlt. Glücklicherweise ist es häufig möglich, Screenlocker manuell zu entfernen. Unsere Experten im Emsisoft Support Forum sind jederzeit für Sie da und helfen dabei, wieder Zugriff auf einen befallenen PC zu erhalten – und das kostenfrei.

Crypto Ransomware

Es gibt einige bekannte Crypto Ransomware Varianten wie ACCDFISA und Dorifel. Anders als Screenlocker verschlüsselt Crypto Malware persönliche Dateien auf allen mit dem PC verbundenen Laufwerken. Diese Eigenart ist sehr ernst zu nehmen, da die Wiederherstellung verschlüsselter Dateien extrem schwierig, wenn nicht gar unmöglich ist. Präventive Maßnahmen sind unbedingt erforderlich, um den Verlust persönlicher Dateien zu vermeiden. Das betrifft insbesondere auch Firmen, denn bestimmte Daten können existentiell wichtig sein. Die folgenden Schritte sind beim Betrieb eines Servers notwendig:

  • Stellen Sie sicher, dass alle Server- und Software-Updates eingespielt sind. Wann immer eine Zero-day-Schwachstelle bekannt wird, wird der Hersteller der Software diese mit einem Patch beheben.
  • Sichern Sie wichtige Daten mit “Offline Backups”, also Backups, die auf einem Medium gespeichert werden und nicht über das Netzwerk zugänglich sind. Ist ein Backup von einem befallenen PC aus erreichbar, kann es ebenfalls verschlüsselt und damit unbrauchbar gemacht werden.
  • Nutzen Sie sichere Passwörter, die zufällige Zeichen enthalten und ausreichend lang sind. Das beugt Brute-Force-Angriffen vor und lässt diese wesentlich schwieriger werden.

Andere Crypto Ransomware wie Birele befällt Privatcomputer ebenso wie Firmenrechner mit denselben Angriffsmethoden wie die eben beschriebenen Screenlocker. In Ausnahmefällen ist es dann möglich, die verschlüsselten Daten wieder zu entschlüsseln.

Wieviel Geld ist im Spiel?

Ein typischer Screenlocker versucht $100 – $200 zu erpressen, Crypto Ransomware wesentlich mehr: Einige ACCDFISA Varianten verlangen Summen von bis zu $4000.


Zum Vergrößern bitte auf das Bild klicken

Der Grund für diese Preisunterschiede ist naheliegend, wenn man die anvisierten Opfer betrachtet. “Beschlagnahmte” Unternehmensdaten auf einem Server bedeuten oft direkten finanziellen Verlust. Die beiden oberen Bilder zeigen verschiedene Beträge unterschiedlicher Varianten. Hacker verdienen mit Ransomware-Angriffen jährlich Millionen. Da die Masche sehr gut funktioniert ist es leider nur logisch, dass Ransomware weiterhin so einen Boom erlebt. Sowohl als Firmeninhaber als auch normaler Besitzer eines Computers, sollten Sie sich präventiv vor Ransomware schützen. Wir empfehlen dazu nochmal zusammenfassend die folgenden Schritte:

  • Halten Sie alle Programme aktuell und verwenden Sie insbesondere bei Servern sichere Passwörter.
  • Nutzen Sie Antivirus-Software mit Echtzeitschutz. Beispielsweise Emsisoft Anti-Malware verhindert mit den drei Schutzebenen Surfschutz, Verhaltensanalyse und Dual-Engine-Scanner die Installation von Ransomware zuverlässig.

 

Eine Malware freie Zeit wünscht

Ihr Emsisoft Team

www.emsisoft.de