Skip to content

Ransomware: Geld her, oder die Daten sind weg

Willkommen auf der zweiten Station unserer gemeinsamen Reise durch die Welt der Schadsoftware. Wenn Sie rechts aus dem Fenster blicken, sehen Sie ein paar besonders fiese Exemplare: Vertreter der Gattung der Ransomware.

Ransomware - Was ist das?

Wie schon bei der Scareware ist die Bezeichnung "Ransomware" eine Zusammensetzung eines englischen Worts mit dem Wort "software". "Ransom" bedeutet schlicht und einfach Lösegeld, Ransomware könnte man also als Erpresser-Software bezeichnen: "Geld her, oder Ihre Daten sind weg".

Eine trojanische Diskette

Die Grundidee der Ransomware (bzw. der Übertragung einer herkömmlichen Erpressung in den Cyberspace) geht auf das Jahr 1989 zurück: AIDS, auch bekannt als "Aids Info Disk" oder "PC Cyborg Trojan" (Analyse von Dr. Solomon und Co.), war eine Diskette mit einem Trojanischen Pferd, die an rund 7.000 Leser der "PC Business World" sowie 3000 Teilnehmer einer WHO-AIDS-Konferenz geschickt wurde. Wurde der Schädling gestartet, verschlüsselte er alle Dateinamen. Die Entschlüsselung der Namen wurde gegen Zahlung einer Lizenzgebühr angeboten. Der Autor wurde identifiziert und angeklagt, aber als "mentally unfit" eingestuft und nicht vor Gericht gestellt. Einen Überblick über die Folgen der damaligen Infektion mit dem Trojaner liefern Mails auf der Mailingliste VIRUS-L (1, 2, 3, 4, 5, 6 ..., die Mails gibt es leider nur verstreut über Digest-Archive). Die einfache Verschlüsselung des Trojaners konnte mit entsprechenden Programmen rückgängig gemacht werden.

Verschlüsselung mit PGP/GPG?

Obwohl damit die "Geschäftsidee" der Geiselnahme von Dateien entdeckt war, dauerte es bis zum Mai 2005 bis zum nächsten Vorfall: Der Trojaner Trojan.Gpcoder (auch als TROJ_PGPCODER o.Ä. bezeichnet) verschlüsselt Dateien mit verschiedenen Endungen, darunter z.B. .doc, .rtf, .txt und .jpg. Die für die Entschlüsselung notwendige Software soll dann an das Opfer verkauft werden. Entgegen seines Namens nutzte die erste Variante nicht PGP oder GPG, sondern einen eigenen Verschlüsselungsalgorithmus, der schnell gebrochen werden konnte. Danach wurden Programme veröffentlicht, die die verschlüsselten Dateien entschlüsseln können.

Neuere Versionen nutzen zwar sichere Verschlüsselungsalgorithmen, enthalten aber oft Implementierungsfehler oder verwenden schwache Schlüssel, so dass auch deren Geiseln befreit werden können. Ist eine Entschlüsselung nicht möglich, können die Dateien unter Umständen trotzdem gerettet werden: Da manche Versionen des Trojaners die Originaldateien löschen, nachdem die verschlüsselten Daten in einer neuen Datei gespeichert wurden, können die noch nicht wieder überschriebenen Originaldateien mit entsprechenden Programmen wiederhergestellt werden. In anderen Fällen ermöglicht ein "Known-Plaintext"-Angriff die Entschlüsselung von Dateien: Gibt es von einer verschlüsselten Datei eine unverschlüsselte Variante, können aus beiden zusammen evtl. weitere Dateien restauriert werden.

Ransomware im Laufe der Zeit

Im Laufe der Zeit wurden einige weitere bemerkenswerte Varianten von Ransomware veröffentlicht:

TROJ_ARHIVEUS verschlüsselte 2006 alle Dateien im Dokumente-Ordner des Benutzers, wollte aber kein Geld erpressen. Stattdessen sollten die Opfer für die Freigabe der Dateien in einer Online-Apotheke einkaufen. Auch in diesem Fall ließ sich das notwendige Passwort ohne Mithilfe der Cyberkriminellen ermitteln.

TROJ_CRYZIP.A ging 2006 vorsichtiger als manche seiner Artgenossen vor: Die Originaldateien wurden mit den verschlüsselten Dateien überschrieben, so dass eine Wiederherstellung der gelöschten Originale nicht möglich ist. Viel genutzt hat diese Vorsicht aber nicht: Der für die Entschlüsselung notwendige Schlüssel befand sich als Klartext im Programmcode des Trojaners.

TSPY_KOLLAH.F verschlüsselte 2007 nur bestimmte Dateitypen und enthielt auch eine Spyware-Komponente. Der Trojaner erhöhte den Druck auf die Opfer: Wer für die Entschlüsselung der Dateien nicht zahlte, lief angeblich Gefahr, dass die ausgespähten Informationen veröffentlicht wurden.

TROJ_RANSOM.B gab sich 2008 nicht mit Dateien als Geiseln zufrieden, er "entführte" gleich den ganzen Rechner. Das einzige, was der Benutzer noch zu sehen bekam, war eine Meldung, laut der die Lizenz für die "Browser Security and Antiadware Software component" abgelaufen war. Für die Freischaltung des Rechners sollte ein Lizenzcode eingegeben werden, den es nach dem Senden einer SMS an einen Premiumdienst geben sollte.

Xrupter bildete 2009 eine Kombination aus Scareware und Ransomware: Ein Fake-Virenscanner verschlüsselte bestimmte Dateitypen, die von einem zusätzlich zu kaufenden Utility restauriert werden sollten. Statt das zu kaufen, konnten die Opfer aber auch einfach die entsprechenden Tools der Antiviren-Hersteller verwenden: Die Cyberkriminellen waren nicht clever genug, so dass ihre Verschlüsselung gebrochen werden konnte.

TROJ_FAKEAV.B ist ebenfalls eine 2009 entdeckte Kombination aus Fake-Virenscanner und Ransomware. Es werden aber keine Dateien verschlüsselt, stattdessen wird die Ausführung von .exe-Programmen verhindert.

2009 wurde noch eine weitere Variante von Ransomware entdeckt: Trojan.Ransompage übernimmt die Kontrolle über den Webbrowser und blendet ständig Werbung ein. Wer die los werden will, soll dafür zahlen: Den nötigen Freischaltcode gibt es nach einer SMS an eine Premium-Nummer. Betroffen sind Internet Explorer Firefox und Opera, das Opfer kann also auch nicht einfach den Browser wechseln.

Zu den neuesten Exemplaren gehört Trojan:MSIL/Fakeinstaller.A, der im September 2010 von Microsoft entdeckt wurde. Auch dieser Trojaner, der als angebliches Installationsprogramm daher kommt, blockiert den gesamten Rechner, den er nur nach Eingabe eines Codes frei gibt. Den gibt es nach dem Empfang einer Premium-SMS.

Kein Windows-Problem

Ransomware ist kein Windows-Problem. 2009 wurden iPhones mit Jailbreak das Opfer eines Angreifers, der für die Freigabe des Telefons 5 Euro forderte. Ausgenutzt wurde der nach dem Jailbreak offene und ungeschützte SSH-Zugang der iPhones. Und für Mac OS X gibt es seit März 2010 einen Proof-of-Concept für Ransomware, die den Rechner erst nach Senden einer kostenpflichtigen SMS frei gibt. Der PoC nutzt Apples Kiosk-Feature, um bestimmte Funktionen zu sperren.

Gegenmaßnahmen

Für Ransomware gelten die üblichen Gegenmaßnahmen wie für alle andere Schadsoftware: Aktuelle Virenscanner und die Verwendung des gesunden Menschenverstands schützen vor einer Infektion. Für den Fall, dass man trotzdem Opfer von Ransomware wird, gibt es Backups. Die sollten ja sowieso vorhanden sein, und solange das laufende System darauf keinen Zugriff hat, kann Ransomware keinen wirklichen Schaden anrichten. Im Notfall kann man das System neu installieren und die Backups einspielen und verliert nur die letzten, ungesicherten Dokumente bzw. Änderungen daran.

Lass dich nicht erpressen...

Für Opfer von Ransomware gilt ein Grundsatz: Ruhe bewahren und keinesfalls auf die Erpressung eingehen. Es gibt keine Garantie, dass nach der Zahlung des Lösegelds die Daten wirklich wiederhergestellt werden oder der Rechner wirklich freigegeben wird.

Als erstes gilt es, die Schadsoftware zu identifizieren und ggf. zu löschen, dazu sollte ein aktueller Virenscanner in der Lage sein. Evtl. bietet der Virenscanner dann auch gleich die Wiederherstellung der Daten an. In manchen Fällen gibt es auch spezielle Programme dafür, ansonsten gibt es ja immer noch das Backup. Wer das nicht hat, hat Pech gehabt.

In der nächsten Folge geht es nach der aufdringlichen Scareware und der erpresserischen Ransomware um eine betont unauffällig im Hintergrund arbeitende Schadsoftware: Spyware, die z.B. Zugangs- oder Kontodaten ausspäht.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!

Vorschau anzeigen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist... Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Vorschau anzeigen
Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt. Das folgende basiert lose auf der "Timeline: Hacks Rela

Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang

Vorschau anzeigen
Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?".

Dipl.-Inform. Carsten Eilers am : php.net war für Drive-by-Infektionen präpariert

Vorschau anzeigen
Am Donnerstag stufte Google php.net als bösartige Website ein. Was zuerst wie ein Fehlalarm, also ein False Positive, aussah, entpuppte sich später als tatsächliche Kompromittierung, es wurde Code für Drive-by-Infektionen

Dipl.-Inform. Carsten Eilers am : Ankündigung: Artikel im Entwickler Magazin Spezial "Internet of Things"

Vorschau anzeigen
Am 17. Juni erscheint das Entwickler Magazin Spezial "Internet of Things". Von mir ist darin ein Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation enthalten. Das "Internet der Dinge" verknüpft Haustechnik und Inte

Dipl.-Inform. Carsten Eilers am : Ransomware greift iCloud-Nutzer an

Vorschau anzeigen
Eine neue Ransomware greift iCloud-Nutzer an und sperrt die damit verknüpften Mac und iOS-Geräte. "Find My iPhone, iPad, and Mac" in Angreiferhand Die Funktion "Find My iPhone, iPad, and Mac" der iCloud dient dazu, geklaute Har

Dipl.-Inform. Carsten Eilers am : GameOver Zeus - Der Name eines Botnets wird zum Programm

Vorschau anzeigen
Einige Cyberkriminellen fanden den Namen "GameOver" so toll, dass sie ihn für ihr Zeus-Botnet verwendeten. Sie haben vermutlich nicht erwartet, das irgend wann jemand diesen Namen wörtlich nehmen und das "Spiel" beenden würde. End

Dipl.-Inform. Carsten Eilers am : Ransomware greift nach dem NAS

Vorschau anzeigen
Das Dateien verschlüsselnde Ransomware sich in erster Linie um die für den Benutzer vermutlich wichtigen Dateien "kümmert" ist logisch, für die wird der Benutzer am ehesten Lösegeld zahlen. Ebenso logisch ist es, nicht nur

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 11.2014 - Exotisches Ungeziefer

Vorschau anzeigen
Im windows.developer 11.2014 ist ein Artikel über Schädlinge jenseits von Windows erschienen. Viren, Würmer, Trojaner, seit einigen Jahren vor allem Drive-by-Infektionen - Windows und davor MS-DOS waren schon immer das beliebte

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt

Vorschau anzeigen
Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht. Adobe hat einen Patch für den 7. April angekündigt. Die Schwachstelle mit der CVE-ID CVE-2016-1019 erlaubt die Ausführung eingeschleusten Codes (was au