Geld oder Daten? Ransomware verstehen lernen – Teil I

Die Ransomware-Versionen der nächsten Generation wurden für den weltweiten Diebstahl von Geld bekannt und mit Cryptolocker hat sich die Situation noch einmal verschärft – aktuell werden die Daten von vielen hunderttausend Benutzern in Geiselhaft gehalten. Und trotz einer Reihe kurzfristiger Abschaltungen hat die Malware als CTB (Curve-Tor-Bitcoin) Locker ein Comeback geschafft.

Diese anspruchsvolle Malware-Gattung wird zunehmend besser und erreicht besonders auf Smartphones und Tablets, auf denen heute immer häufiger wichtige private und geschäftliche Daten gespeichert werden, eine neue Stufe der Komplexität.

Der Virenschutzanbieter Bitdefender wirft einen genaueren Blick auf das Thema, um die Funktionsweise dieser Virenart offenzulegen und Nutzern zu zeigen, wie sie sich vor Erpressung schützen können.

Worum handelt es sich bei Ransomware?

Bei Ransomware handelt es sich um Malware, die ein System infiziert und den Nutzer danach so lange aussperrt, bis dieser eine Geldsumme für die Freischaltung seiner Daten bezahlt. Kombiniert mit einem als serverseitige Polymorphie bekannten Verfahren und hochprofessionellen Infrastrukturen für die Verbreitung kann die Malware über eine heruntergeladene schädliche Datei, eine Schwachstelle in einem Netzwerkdienst oder sogar über eine SMS auf das System gelangen. In Kürze folgt dazu ein ausführlicher Artikel, der beschreibt, wie Ransomware einen Computer infiziert.

Wo liegt der Unterschied zu herkömmlicher Malware?

·         Sie stiehlt die Daten ihrer Opfer nicht, sondern verschlüsselt sie

·         Sie verlangt Lösegeld, üblicherweise in Bitcoin

·         Sie ist relativ leicht zu erstellen – es gibt eine ganze Reihe von gut dokumentierten Verschlüsselungsbibliotheken

Welche Ransomware-Arten gibt es?

Device Locker

Bei dieser Art der Ransomware wird der Gerätebildschirm gesperrt und ein Vollbild wird angezeigt, um den Zugriff auf das Gerät zu blockieren. In der begleitenden Nachricht wird der Nutzer zur Zahlung aufgefordert, seine persönlichen Dateien werden jedoch nicht verschlüsselt.

Dateiverschlüsselnde Ransomware

Zu den berüchtigtsten Vertretern der dateiverschlüsselnden Ransomware gehören Cryptowall, Critroni und TorLocker.

Dateiverschlüssler wie Cryptolocker verschlüsseln persönliche Dateien und Ordner wie Dokumente, Tabellenkalkulationen, Fotos und Videos. Nachdem sich die Malware auf dem Computer eingenistet hat, kontaktiert sie ihr Command-and-Control-Center, um einen Verschlüsselungsschlüssel zu generieren, über den die Dateien auf dem Computer mithilfe komplexer Algorithmen verschlüsselt werden. Dadurch werden die Daten auf dem Computer unbrauchbar.

Im Anschluss wird eine Nachricht angezeigt, die den Nutzer häufig glauben lassen soll, dass sie von einer Strafverfolgungsbehörde stammt, und ihm rechtliche Konsequenzen und eine Haftstrafe androht, falls dieser die Daten nicht durch Zahlung der geforderten Summe (entweder in Form von Bitcoins oder einer Geldkarte) vor Ablauf einer Frist wieder entschlüsselt. Dabei verwenden die Cyber-Kriminellen die IP-Informationen des Benutzercomputers, um jeweils eine länderspezifische Version der Nachricht auf dem Bildschirm anzuzeigen. Mitunter wird dem Nutzer auch mit der Löschung des privaten Schlüssels gedroht, sollte dieser die Zahlungsfrist nicht einhalten.

Einige kriminelle Cyber-Banden entwickeln mittlerweile das Geschäft mit neuen Methoden wie der Anonymisierung der Kommunikation über Tor weiter. TorLocker zum Beispiel ist ein kommerzielles Ransomware-Toolkit, das in Untergrundforen als Affiliate-Programm verkauft wird. Erneuerbare integrierte Schlüssel erlauben es TorLocker sogar dann Dateien zu verschlüsseln, wenn der Computer des Opfers offline ist und durch die auf Tor basierte Kommunikation ist es so gut wie unmöglich, dagegen vorzugehen.

„Es wird immer schlimmer und die Zahl der Infektionen nimmt zu“, so Bogdan Botezatu, leitender Analyst für digitale Bedrohungen bei Bitdefender. „Opfer von Ransomware haben ohne Lösegeldzahlung keine Chance, wieder an ihre Daten zu gelangen. Zahlt man aber, unterstützt man diese Branche noch und finanziert zudem ihre Forschung und Entwicklung. In manchen Fällen nehmen diese Kriminellen zwar Ihr Geld, geben Ihre Dateien aber nicht frei, und sie stehen am Ende ohne Geld und Daten da.“

rn