Header pic

Ransomware, der Teufel in deinen Daten

https://www.toxic-os.de/pics/mehr/ransomware.jpg

Einmal falsch hingeschaut und schon ist die Datei ausgeführt. Schon erscheint eine seltsame Meldung, der Desktop-Hintergrund ist anders, da steht irgendwas von "Daten verschlüsselt" und "Bitcoins". Ein Blick in die eigenen, persönlichen Dateien bestätigt den Schreck.

Du bist Opfer von Ransomware geworden!

Wie läuft das Spiel ab? Was passiert genau? Gibt es einen Weg aus diesem Teufelskreis?

Ransomware kommt in der Regel durch einen Mail-Anhang auf die Computer. Es sind Makros aus Word- und Exceldateien, welche die eigentlichen "bösen Jungs" herunterladen - bei den gängigen Bösewichten wurde dabei eine Sicherheitslücke im SMB-Protokoll ausgenutzt, über die sich die Schadsoftware auch im Netz ausbreitet.

Einmal angefangen verschlüsselt die Malware alle persönlichen Dateien, wie Dokumente, Bilder, Musik und Filme, sowie Backups, als auch andere wichtigen Dateien.

Die Opfer werden aufgefordert ein Lösegeld - in der Regel Bitcoins - an eine Adresse zu überweisen, die ins dunkle Netz der Netze führt. Nach Bezahlen sollen die "Erpresser" (to ransom) dann den Wiederherstellungs-Schlüssel an die Opfer senden, mit denen sich die Daten vermeintlich entschlüsseln lassen. Danach deaktiviert sich die Ransomware.

Aber wie sieht es meistens wirklich aus?

Die Daten sind und bleiben verschlüsselt. Man erhält keinen Key von den Erpressern, das Geld ist weg und es bleiben nur noch wenige Möglichkeiten.
Entweder man stellt alles aus Backups wieder her, sofern diese nicht betroffen wurden (Offline Backups machen sich jetzt bezahlt), oder man wartet... und wartet... und wartet, bis dass ein netter IT Sec-Spezialist den Verschlüsselungs-Algorithmus bricht und einen Wiederherstellungs-Schlüssel veröffentlicht.

Das Chaos ist in jedem Fall vorprogrammiert.

Wie kann man vorbeugen?

  • Updates installieren, Betriebssystem und Antivirus aktuell halten
  • SMB deaktivieren, wenn möglich
  • Offline Backups bereithalten
  • Macro behaftete Office-Dateien erst gar nicht öffnen oder vorher in einer Sandbox testen
  • unbekannten Absendern von E-Mails nicht trauen und die Mails lieber zweimal lesen

Ergo, man kann mit ein paar Aufmerksamkeiten viel Schaden und Chaos verhindern. Unternehmen und Krankenhäuser, welche Locky oder Wanna Cry zum Opfer gefallen sind, hatten noch lange mit der Ransomware zu kämpfen. Noch heute sind wohl immer noch Millionen Geräte für die Sicherheitslücke EternalBlue anfällig oder sogar von Wanna Cry-Ransomware betroffen.

Wie wird wohl die Zukunft aussehen?

Krypto-Miner sind auf dem Vormarsch und das Schürfen von Kryptowährung wie Bitcoin oder Ethereum ist ein lukratives Geschäft. Es war also nur eine Frage der Zeit, bis der kriminelle Untergrund diese Technik für sich gewinnt. Schon heute findet man vermehrt ehemalige Ransomware-Kollegen, welche nun anstatt zu verschlüsseln lieber Systeme zu "Sklaven" machen und Kryptowährung schürfen lassen. Dieses Vorgehen wird auch in Zukunft nicht weniger werden - im Gegenteil: führende Sicherheitsunternehmen gehen davon aus, dass der große Ansturm noch bevor steht. Es bleibt also spannend.