So identifizieren Sie Ihre Ransomware-Infektion, um den passenden Decrypter zu finden

  • 22. September 2016
  • 6 min Lesezeit

blog_main_gillespie

Wie würden Sie sich fühlen, wenn Ihr Computer beim Starten plötzlich gesperrt ist und Ihnen eine Meldung angezeigt wird, dass Sie zum Entsperren sofort Geld bezahlen müssen? Ransomware ist im Jahr 2016 die am häufigsten auftretende und damit eine der größten aktiven Online-Bedrohungen. Sie hat sich für Angreifer als ein einfaches, aber höchst ertragreiches Instrument erwiesen. Bei den sonstigen Arten von Malware verdienen die Entwickler nur indirekt, etwa durch den Verkauf Ihrer Computerleistung. Im Falle von Ransomware wird das Opfer (Sie) jedoch direkt zum Bezahlen aufgefordert, indem es in eine anderenfalls scheinbar ausweglose Situation gebracht wird.

Das Team von Emsisoft beschäftigt sich intensiv mit der Suche nach Lösungen, damit der Schädling gar nicht erst auf Ihren Computer gelangen kann. Doch was, wenn Ihr System bereits infiziert ist? Das Herunterladen von verschiedenen Tools zum Entsperren des Computers macht alles nur schlimmer. Doch keine Panik. Sollten Sie Opfer von Ransomware geworden sein, sind Sie hier richtig.

Emsisoft ist stolz, Malware Hunter Team zu unterstützen. Es handelt sich hierbei um eine Gruppe von Forschern, denen der Schutz Ihrer Daten genauso am Herzen liegt wie uns.

Malware Hunter Team leistet nicht nur großartige Arbeit beim Bekanntmachen von Online-Bedrohungen, sondern auch bei deren Entfernung, wenn Anwender zum Opfer wurden. Was bedeutet das für Sie? Sollte bei Ihnen Ransomware zugeschlagen haben, können Sie die Version herausfinden und feststellen, ob es dafür bereits ein Tool zum Entschlüsseln gibt.

Wir haben uns mit Michael Gillespie von Malware Hunter Team unterhalten. Er hat die Website ID Ransomware ins Leben gerufen. Basierend auf den individuellen Signaturen, die in der angezeigten Lösegeldforderung enthalten sind, kann sie herausfinden, mit welcher Art von Ransomware Sie es zu tun haben. Er hat uns erläutert, wie die Erkennung der Ransomware-Familien abläuft.

Wer steckt hinter Malware Hunter Team?

Malware Hunter Team ist eine kleine Gruppe von Sicherheitsforschern, die Malware aufspüren und ein Bewusstsein für Cybersicherheit schaffen möchten. Sie leisten jeden Tag ganze Arbeit, indem sie Phishing-Websites und andere Bedrohungen ausfindig machen. Ich bin vor kurzem mit meiner Ransomware-Forschung zu dem Team gestoßen. Gemeinsam koordinieren wir, wie wir neue Bedrohungen finden und identifizieren können.

Ich persönlich arbeite mit Ransomware-Opfern zusammen und versuche, neue Beispiele zu finden. Wenn ich kann, helfe ich auch beim Reverse-Engineering, also der Rückentwicklung, um sie eventuell wieder zu entschlüsseln – sofern es überhaupt möglich ist.

Wenn also ein Computer mit Ransomware infiziert wurde, was sollte der Anwender als erstes tun?

Der erste Schritt ist definitiv, das System unter Quarantäne zu stellen. In einem Unternehmen bedeutet das, zunächst einmal das betroffene System zu finden. Es kann entweder heruntergefahren oder, sofern möglich, in den „Ruhezustand“ versetzt werden. Dann gilt es, wie bei jeder anderen Malware-Infektion die Bedrohung zu identifizieren.

Und wo kommen Sie ins Spiel? Wenn ich es richtig verstanden habe, spezialisieren Sie sich darauf, herauszufinden, welche Malware der Anwender hat.

Genau. Das ist manchmal ganz schön tückisch, insbesondere mit neueren Versionen, die andere nachahmen oder schwer zu erkennen sind.

Wie halten Sie diese vielen Familien und neuen Versionen auseinander? Ich habe gesehen, dass auf Ihrer Seite bereits Hunderte kostenlos entschlüsselt werden können.

Das ist der schwierige Teil. Im Allgemeinen klassifizieren wir sie nach den Symptomen, also welche Erweiterungen sie verwenden, welche Lösegeldforderung angezeigt wird und so weiter. Manchmal müssen wir jedoch technischer vorgehen. Es lässt sich beispielsweise anhand des Codierungsstils oder bestimmten Strings in der Malware erkennen, ob es sich um denselben Programmierer handelt.

Wenn einem Anwender also zum Beispiel ein Sperrbildschirm mit Lösegeldforderung angezeigt wird, geht er auf Ihre Webseite und dann? Wie läuft das Ganze ab?

Ich habe versucht, ID Ransomware für die Anwender so einfach wie möglich zu gestalten. Sie laden einfach die von der Malware angezeigte Lösegeldforderung und eine der verschlüsselten Dateien (möglichst etwas nicht Vertrauliches) hoch und die Website wird mit verschiedenen Verfahren versuchen, die Ransomware zu erkennen. Sollte sie fündig werden, wird eine einfache Statusmeldung angezeigt, ob der Schädling entschlüsselt werden kann. Schließlich ist das der oberste Gedanke, den die Opfer in diesem Moment haben. Dann wird ein Link zu weiteren Informationen bereitgestellt, damit sie wissen, von was sie Opfer wurden, und eventuell herausfinden, wie es auf ihren Computer gelangen konnte.

Zum Erkennen nutze ich mehrere Techniken, wie den Dateinamen der Lösegeldforderung, bestimmte bekannte E-Mail- oder BitCoin-Adressen in der Mitteilung, das Namensmuster der verschlüsselten Datei (z. B. bestimmte Erweiterungen) und mitunter auch hexadezimale Muster, die manchmal von der Ransomware in den Dateien verbleiben. Für einige aufwändigere Techniken, etwa zum Erkennen von eingebetteten Bildern in einer bestimmten Version, verwende ich eigene „Plug-ins“.

Das klingt nach reichlich Arbeit. Wieso wird der Dienst kostenlos angeboten?

Zum Teil ist es eine Inspiration seitens anderer Freiwilliger in dem Bereich. Die meisten meiner Informationen erhalte ich von Opfern, über Twitter und das Malware-Labor von Emsisoft. Außerdem möchte ich kein Geld von jemandem verlangen, dem ich beim Entschlüsseln seiner Dateien helfe – dann wäre ich nicht besser als die Kriminellen. Die Informationen sollten für alle kostenlos sein.

Das Auftreten von Ransomware scheint stetig anzuwachsen. Wie sieht Ihrer Meinung nach die Zukunft der Malware aus?

Meiner Ansicht nach ist sie definitiv eine zunehmende Bedrohung für alle Sektoren, wie sich mit dem Internet der Dinge zeigt und daran, wie unsicher die Geräte ab Werk geliefert werden. Allein im vergangenen Jahr, in dem ich in diesem Bereich gearbeitet habe, habe ich so viele Varianten und „Kreativität“ gesehen. Es gibt Ransomware, die sich beim Verschlüsseln als Windows Update ausgibt, die eine Hintertür zum System anlegt, die Kennwörter hochlädt und so weiter. Es scheint, dass die Malware-Programmierer immer mehr Funktionen in einem Paket verschnüren.

Wie können sich die Anwender am besten schützen?

Der beste Schutz ist sicherlich, ein Bewusstsein dafür zu entwickeln, worauf man klickt. Ein guter Anti-Malware-Schutz ist ein großer Schritt, aber auch zu wissen, wie man ihn einsetzt und wie man ihn nicht einsetzt. Also offen gesagt: Sie sollten bei all Ihren Online-Aktivitäten und dem Vertrauen darin, was auf Ihrem Computer ausgeführt wird, „gesunden Menschenverstand“ einsetzen.

Außerdem kann ich nur eins wiederholen: Sicherungen, Sicherungen, Sicherungen! (Emsisoft hat sich diesem Thema kürzlich mit dem Artikel Sicherungen – Der beste Schutz vor Ransomware gewidmet.)

blog_content_breaker_gillespie

Welche Ransomware wird von ID Ransomware erkannt?

Der Dienst erkennt derzeit 163 verschiedene Ransomware-Arten. Im Folgenden eine vollständige, dynamische Auflistung der aktuell erkannten Typen:

777, 7ev3n, 7h9r, 8lock8, ACCDFISA v2.0, Alfa, Alma Locker, Alpha, AMBA, Apocalypse, Apocalypse (Unavailable), ApocalypseVM, AutoLocky, AxCrypter, BadBlock, Bandarchor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitMessage, BitStak, Black Shades, Blocatto, Booyah, Brazilian Ransomware, Bucbi, BuyUnlockCode, Cerber, Cerber 2.0, Cerber 3.0, Chimera, Coin Locker, CoinVault, Coverton, Cryakl, CryFile, CrypMic, Crypren, Crypt0L0cker, Crypt38, CryptFuck, CryptInfinite, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptorBit, CryptoRoger, CryptoShocker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CrySiS, CTB-Faker, CTB-Locker, DEDCryptor, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0,Domino, ECLR Ransomware, EduCrypt, El Polocker, Encryptor RaaS, Enigma, Fantom, GhostCrypt, Globe, Gomasom, Herbst, Hi Buddy!, HolyCrypt, HydraCrypt, Jager, Jigsaw, JobCrypter, JuicyLemon, KeRanger, KEYHolder, KimcilWare, Kozy.Jozy, KratosCrypt, Kriptovor, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MirCop, MireWare, Mischa, Mobef, NanoLocker, NegozI, Nemucod, Nemucod-7z, NullByte, ODCODC, OMG! Ransomcrypt, PadCrypt, PayForNature, PClock, PowerLocky, PowerWare, Protected Ransomware, R980, RAA-SEP, Radamant, Radamant v2.1, Razy, REKTLocker, RemindMe, Rokku, Russian EDA2, SamSam, Sanction, Satana, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Sport, Stampado, SuperCrypt, Surprise, SZFLocker, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Troldesh, TrueCrypter, UCCU, UmbreCrypt, Unlock92, Unlock92 2.0, Uyari, VaultCrypt, VenusLocker, WildFire Locker, WonderCrypter, Xorist, Xort, XRTN, zCrypt, ZimbraCryptor, Zyklon

Sollten Sie Opfer von Ransomware geworden sein, besuchen Sie am besten gleich die Seite ID Ransomware. Mehr über Malware Hunter Team können Sie auf ihrer Website unter malwarehunterteam.com erfahren.

Wir wünschen eine schöne (Malware-freie) Zeit!

 

Übersetzung: Doreen Schäfer

Haylee

Haylee

Freie Schriftstellerin und Sicherheits-Enthusiastin in Wellington, Neuseeland.

Weitere Artikel

Leserkommentare