Ransomware: Geld her, oder die Daten sind weg
Willkommen auf der zweiten Station unserer gemeinsamen Reise durch die Welt der Schadsoftware. Wenn Sie rechts aus dem Fenster blicken, sehen Sie ein paar besonders fiese Exemplare: Vertreter der Gattung der Ransomware.
Ransomware - Was ist das?
Wie schon bei der Scareware ist die Bezeichnung "Ransomware" eine Zusammensetzung eines englischen Worts mit dem Wort "software". "Ransom" bedeutet schlicht und einfach Lösegeld, Ransomware könnte man also als Erpresser-Software bezeichnen: "Geld her, oder Ihre Daten sind weg".
Eine trojanische Diskette
Die Grundidee der Ransomware (bzw. der Übertragung einer herkömmlichen Erpressung in den Cyberspace) geht auf das Jahr 1989 zurück: AIDS, auch bekannt als "Aids Info Disk" oder "PC Cyborg Trojan" (Analyse von Dr. Solomon und Co.), war eine Diskette mit einem Trojanischen Pferd, die an rund 7.000 Leser der "PC Business World" sowie 3000 Teilnehmer einer WHO-AIDS-Konferenz geschickt wurde. Wurde der Schädling gestartet, verschlüsselte er alle Dateinamen. Die Entschlüsselung der Namen wurde gegen Zahlung einer Lizenzgebühr angeboten. Der Autor wurde identifiziert und angeklagt, aber als "mentally unfit" eingestuft und nicht vor Gericht gestellt. Einen Überblick über die Folgen der damaligen Infektion mit dem Trojaner liefern Mails auf der Mailingliste VIRUS-L (1, 2, 3, 4, 5, 6 ..., die Mails gibt es leider nur verstreut über Digest-Archive). Die einfache Verschlüsselung des Trojaners konnte mit entsprechenden Programmen rückgängig gemacht werden.
Verschlüsselung mit PGP/GPG?
Obwohl damit die "Geschäftsidee" der Geiselnahme von Dateien entdeckt war, dauerte es bis zum Mai 2005 bis zum nächsten Vorfall: Der Trojaner Trojan.Gpcoder (auch als TROJ_PGPCODER o.Ä. bezeichnet) verschlüsselt Dateien mit verschiedenen Endungen, darunter z.B. .doc, .rtf, .txt und .jpg. Die für die Entschlüsselung notwendige Software soll dann an das Opfer verkauft werden. Entgegen seines Namens nutzte die erste Variante nicht PGP oder GPG, sondern einen eigenen Verschlüsselungsalgorithmus, der schnell gebrochen werden konnte. Danach wurden Programme veröffentlicht, die die verschlüsselten Dateien entschlüsseln können.
Neuere Versionen nutzen zwar sichere Verschlüsselungsalgorithmen, enthalten aber oft Implementierungsfehler oder verwenden schwache Schlüssel, so dass auch deren Geiseln befreit werden können. Ist eine Entschlüsselung nicht möglich, können die Dateien unter Umständen trotzdem gerettet werden: Da manche Versionen des Trojaners die Originaldateien löschen, nachdem die verschlüsselten Daten in einer neuen Datei gespeichert wurden, können die noch nicht wieder überschriebenen Originaldateien mit entsprechenden Programmen wiederhergestellt werden. In anderen Fällen ermöglicht ein "Known-Plaintext"-Angriff die Entschlüsselung von Dateien: Gibt es von einer verschlüsselten Datei eine unverschlüsselte Variante, können aus beiden zusammen evtl. weitere Dateien restauriert werden.
Ransomware im Laufe der Zeit
Im Laufe der Zeit wurden einige weitere bemerkenswerte Varianten von Ransomware veröffentlicht:
TROJ_ARHIVEUS verschlüsselte 2006 alle Dateien im Dokumente-Ordner des Benutzers, wollte aber kein Geld erpressen. Stattdessen sollten die Opfer für die Freigabe der Dateien in einer Online-Apotheke einkaufen. Auch in diesem Fall ließ sich das notwendige Passwort ohne Mithilfe der Cyberkriminellen ermitteln.
TROJ_CRYZIP.A ging 2006 vorsichtiger als manche seiner Artgenossen vor: Die Originaldateien wurden mit den verschlüsselten Dateien überschrieben, so dass eine Wiederherstellung der gelöschten Originale nicht möglich ist. Viel genutzt hat diese Vorsicht aber nicht: Der für die Entschlüsselung notwendige Schlüssel befand sich als Klartext im Programmcode des Trojaners.
TSPY_KOLLAH.F verschlüsselte 2007 nur bestimmte Dateitypen und enthielt auch eine Spyware-Komponente. Der Trojaner erhöhte den Druck auf die Opfer: Wer für die Entschlüsselung der Dateien nicht zahlte, lief angeblich Gefahr, dass die ausgespähten Informationen veröffentlicht wurden.
TROJ_RANSOM.B gab sich 2008 nicht mit Dateien als Geiseln zufrieden, er "entführte" gleich den ganzen Rechner. Das einzige, was der Benutzer noch zu sehen bekam, war eine Meldung, laut der die Lizenz für die "Browser Security and Antiadware Software component" abgelaufen war. Für die Freischaltung des Rechners sollte ein Lizenzcode eingegeben werden, den es nach dem Senden einer SMS an einen Premiumdienst geben sollte.
Xrupter bildete 2009 eine Kombination aus Scareware und Ransomware: Ein Fake-Virenscanner verschlüsselte bestimmte Dateitypen, die von einem zusätzlich zu kaufenden Utility restauriert werden sollten. Statt das zu kaufen, konnten die Opfer aber auch einfach die entsprechenden Tools der Antiviren-Hersteller verwenden: Die Cyberkriminellen waren nicht clever genug, so dass ihre Verschlüsselung gebrochen werden konnte.
TROJ_FAKEAV.B ist ebenfalls eine 2009 entdeckte Kombination aus Fake-Virenscanner und Ransomware. Es werden aber keine Dateien verschlüsselt, stattdessen wird die Ausführung von .exe-Programmen verhindert.
2009 wurde noch eine weitere Variante von Ransomware entdeckt: Trojan.Ransompage übernimmt die Kontrolle über den Webbrowser und blendet ständig Werbung ein. Wer die los werden will, soll dafür zahlen: Den nötigen Freischaltcode gibt es nach einer SMS an eine Premium-Nummer. Betroffen sind Internet Explorer Firefox und Opera, das Opfer kann also auch nicht einfach den Browser wechseln.
Zu den neuesten Exemplaren gehört Trojan:MSIL/Fakeinstaller.A, der im September 2010 von Microsoft entdeckt wurde. Auch dieser Trojaner, der als angebliches Installationsprogramm daher kommt, blockiert den gesamten Rechner, den er nur nach Eingabe eines Codes frei gibt. Den gibt es nach dem Empfang einer Premium-SMS.
Kein Windows-Problem
Ransomware ist kein Windows-Problem. 2009 wurden iPhones mit Jailbreak das Opfer eines Angreifers, der für die Freigabe des Telefons 5 Euro forderte. Ausgenutzt wurde der nach dem Jailbreak offene und ungeschützte SSH-Zugang der iPhones. Und für Mac OS X gibt es seit März 2010 einen Proof-of-Concept für Ransomware, die den Rechner erst nach Senden einer kostenpflichtigen SMS frei gibt. Der PoC nutzt Apples Kiosk-Feature, um bestimmte Funktionen zu sperren.
Gegenmaßnahmen
Für Ransomware gelten die üblichen Gegenmaßnahmen wie für alle andere Schadsoftware: Aktuelle Virenscanner und die Verwendung des gesunden Menschenverstands schützen vor einer Infektion. Für den Fall, dass man trotzdem Opfer von Ransomware wird, gibt es Backups. Die sollten ja sowieso vorhanden sein, und solange das laufende System darauf keinen Zugriff hat, kann Ransomware keinen wirklichen Schaden anrichten. Im Notfall kann man das System neu installieren und die Backups einspielen und verliert nur die letzten, ungesicherten Dokumente bzw. Änderungen daran.
Lass dich nicht erpressen...
Für Opfer von Ransomware gilt ein Grundsatz: Ruhe bewahren und keinesfalls auf die Erpressung eingehen. Es gibt keine Garantie, dass nach der Zahlung des Lösegelds die Daten wirklich wiederhergestellt werden oder der Rechner wirklich freigegeben wird.
Als erstes gilt es, die Schadsoftware zu identifizieren und ggf. zu löschen, dazu sollte ein aktueller Virenscanner in der Lage sein. Evtl. bietet der Virenscanner dann auch gleich die Wiederherstellung der Daten an. In manchen Fällen gibt es auch spezielle Programme dafür, ansonsten gibt es ja immer noch das Backup. Wer das nicht hat, hat Pech gehabt.
In der nächsten Folge geht es nach der aufdringlichen Scareware und der erpresserischen Ransomware um eine betont unauffällig im Hintergrund arbeitende Schadsoftware: Spyware, die z.B. Zugangs- oder Kontodaten ausspäht.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : php.net war für Drive-by-Infektionen präpariert
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ankündigung: Artikel im Entwickler Magazin Spezial "Internet of Things"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ransomware greift iCloud-Nutzer an
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 4.2014 - Risiken und Gefahrenpotenziale in der Heimautomation
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : GameOver Zeus - Der Name eines Botnets wird zum Programm
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin Spezial "Internet of Things" - Risiken und Gefahrenpotenziale in der Heimautomation
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ransomware greift nach dem NAS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie Wifi hackende Katzen mit Ransomware ein nicht tot zu kriegendes Botnet kapern. Oder so.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 11.2014 - Exotisches Ungeziefer
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt
Vorschau anzeigen