Ransomware

Verschlüsselungstrojaner, Erpressungstrojaner, Crypto-Trojaner

Ransomware ist eine neuartige Bedrohung, welche viele private Anwender, aber auch heimische Unternehmen, vor eine große Herausforderungen stellt. Locky, Cerber, CryptoWall, CryptoLocker und WannaCry sind dabei nur einige der gängstigen Varianten, die auch in Österreich tausende Opfer erpressen.

Was ist Ransomware?

Ransomware setzt sich aus den Begriffen Ransom (engl. für Lösegeld) und ware (kurzform für Software) zusammen. Ransomware ist eine Schadsoftware (Trojaner), welche gezielt auf die Erpressung von Anwendern ausgelegt ist. Ransomware-Trojaner verwenden dafür oft starke Verschlüsselungsverfahren, welche eine Entschlüsselung der Dateien nur sehr schwer bis unmöglich machen. Die Motivation der Erpresser ist es meist, eine Lösegeldforderung für die Entschlüsselung der Daten zu verlangen, welche in einer digitalen Währung wie Bitcoin bezahlt werden soll. Frühere Varianten der Schädlinge verwendeten dazu auch gestohlene Bankdaten, Ukash oder Paysafecard, doch mittlerweile ist der Fokus durchwegs auf die digitale Währung Bitcoin gerichtet, bei welchem die Transaktionen für Strafverfolgungsbehörden nur schwer nachvollziehbar sind.

Update 15. Mai 2017: Informationen zu WannaCry siehe unter WannaCry.


Verschiedene Varianten von Ransomware Verschiedene Varianten aktueller Ransomware

→ Zur Ransomware Galerie


Ransomware kann grundlegend in zwei Arten, der sperrenden Locker-Ransomware und der verschlüsselnden Crypto-Ransomware zugeordnet werden:


Locker-Ransomware sperrt den Zugriff auf den Computer der betroffenen Anwender. Bekannteste Vertreter sind hierbei die seit ca. 2011 im Umlauf befindlichen Polizeitrojaner (auch als BKA Virus und GVU Virus bekannt).

Crypto-Ransomware verschlüsselt Dokumente und Dateien der betroffenen Anwender. Bekannte Vertreter sind hierbei Cryptowall, CryptoLocker, Locky und TeslaCrypt.


1989

Erste Ransomware - AIDS Trojaner

2007

Erste Ransomware mit starker Verschlüsselung

2011

Anstieg neuer Locker-Ransomware Varianten

2013

Rasanter Anstieg von Crypto-Ransomware

2015

Erste Ransomware für Mac OS X aufgetaucht

2016

Rapide Zunahme von Android Ransomware

Die Entwicklung von Ransomware seit 1989

Die Geschichte der aus heutigen Sicht vermutlich ersten Schadsoftware, welche als Ransomware bezeichnet werden kann, geht zurück auf den AIDS-Trojaner im Jahre 1989, welcher vom amerikanischen Biologen Dr. Joseph Popp anlässlich einer AIDS-Konferenz der WHO im Jahre 1990 entwickelt und in Umlauf gebracht wurde. Laut Dr. Popps Aussagen war seine Intention für die Entwicklung dieser Schadsoftware, im Vergleich zu den heutigen Varianten, keineswegs krimineller Natur sondern vielmehr mit dem Hintergrund, die Menscheit besser über die Gefahren durch die Krankheit AIDS aufzuklären.

Im Jahre 1996 beschrieb Moti Yung, IT-Sicherheitsexperte und Professor an der Columbia University in the city of New York, die Gefahren durch neuartige Cryptoviren, welche sich der kryptografischer Verfahren bedienen. Seine damaligen Einschätzungen beschrieben exakt dies, was heute als Crypto-Ransomware bekannt ist.

Seit spätestens 2013 erleben wir auch in Österreich einen zunehmenden Anstieg von Vorfällen und medialer Berichterstattung rund um Ransomware.

Wie kann man sich schützen?

Ransomware wird aktuell vorwiegend über speziell präparierte Links oder Anhänge in E-Mails verbreitet. Ein begünstigender Faktor dabei ist, dass viele Mailserver standardmäßig bestimmte Dateien wie Microsoft Word oder Excel Dokumente akzeptieren. Erschwerend kommt hin zu, dass speziell auf Rechnern im KMU sowie privaten Umfeld keine adäquaten Gegenmaßnahmen (Richtlien für Makroausführung in Office Dokumenten, zentraler E-Mail Spam und Virenfilter, usw.) vorhanden sind. In den meisten Fällen gelangt Ransomware daher über eingebette Makros in Office Dokumenten (Word, Excel), über welche erst die eigentliche Schadsoftware nachgeladen wird, auf die Computer der Betroffenen. Diese Tatsache macht es für gängige Schutzmechanismen wie Virenscanner extrem schwierig, die Gefahr rechtzeitig zu erkennen.

Einer der wichtigsten Faktoren beim Schutz vor Ransomware ist der Anwender selbst. Oft wird Ransomware Schadsoftware in E-Mail Anhängen unter völlig legitimen Bezeichnungen wie Rechnung.doc, Bewerbung.doc.js, Lebenslauf.doc.js getarnt. Speziell für Anwender gilt es daher, jeden Anhang vor dem Öffnen auf seine Legitimität hin zu untersuchen (Absender, Inhalt der E-Mail, Dateiendung des Anhangs, usw.). E-Mails und deren Anhänge aus unbekannten Quellen, welche unaufgefordert zugesendet werden, sollten generell ignoriert und umgehend gelöscht werden.

Im Zweifelsfall kann zur Analyse von unklaren Dateianhängen, auf kostenlose Online Virenscanner wie virustotal.com zurückgegriffen werden. Speziell für Unternehmen ist es hierbei von essentieller Bedeutung, für eine entsprechende Sensibilisierung aller Mitarbeiter zu sorgen.


Die nachfolgende Checkliste dient als Richtlinie für präventive Maßnahmen gegen Ransomware:

  • Ist eine entsprechende Anti-Viren Software vorhanden und aktuell?
  • Ist die eingesetzte Software (Betriebssystem, Browser, Plugins) auf aktuellem Stand?
  • Sind entsprechende, aktuelle Backups Ihrer Daten vorhanden und abrufbar?
  • Ist Ihre Webbrowser sowie entsprechende Plugins aktuell (Flash, Java, Silverlight)?
  • Blockiert Ihr Mailserver risikobehaftete Dateiendungen wie .exe, .doc, .xls, .rtf, usw.?
  • Werden Microsoft Office Makros auf Ihrem Computer standardmäßig blockiert?

 

Mittlerweile gibt es auch diverse Tools, welche Ransomware-Angriffe mittels neuer Techniken (behavioral and deception based detection) noch vor dem eigentlichen Verschlüsseln von Dateien und Dokumenten erkennen und verhindern können. Diese Tools überwachen hierbei dabei das System permanent nach Auffälligkeiten und warnen den Nutzer im Verdachtsfall. Für Privatanwender zählen hierzu unter anderem RansomFree (Windows) von Cybereason oder RansomWhere? (Mac OS) von Objective-See.

Wie handeln im Schadensfall?

Wurden Sie Opfer von Ransomware, so gilt es zunächst einmal Ruhe zu bewahren. Trennen Sie Ihren Computer umgehend nach dem Sie eine Infektion bemerkt haben vom Netz, entfernen Sie alle angeschlossenen Wechseldatenträger (USB Sticks, Festplatten, Kameras) und schalten Sie den Computer umgehend aus. Nur so können Sie einerseits die gestartete Verschlüsselung unterbrechen, um zu verhindern, dass noch mehr Ihrer Dateien verschlüsselt werden. Zahlen Sie den Erpessern keinesfalls unüberlegt ein entsprechendes Lösegeld, damit bekräftigen Sie diese nur in Ihrem kriminellen Vorgehen.

Falls Sie im über entsprechend aktuelle Backups verfügen, so sollte sich der Schaden durch den Verlust von Daten in Grenzen halten. Natürlich ist es zunächst ein Schock, wenn wichtige Dokumente und Dateien verschlüsselt sind und man keinen Zugriff mehr darauf hat. Es sei aber gesagt, dass es in der Vergangenheit für viele Ransomware-Varianten immer wieder entsprechende Programme und Tools zur Entschlüsselung bereitgestellt und deren Verschlüsselung somit geknackt wurde. Eine Zusammenfassung finden Sie in der Liste weiter unten auf dieser Seite.

Erstatten Sie bitte zudem unbedingt eine Anzeige bei der nächsten Polizeidienststelle oder eine Meldung bei der Cybercrime Meldestelle des Bundesministerium für Inneres (24h Telefon: +43-1-24836-986500; E-Mail: against-cybercrime@bmi.gv.at). Nur durch Ihre Meldung ist es möglich, dass effektiv gegen diese Tätergruppen vorgegangen werden kann.


Neu: Seit Juni 2017 bietet die Wirtschaftskammer Österreich (WKO) ihren Mitgliedern eine kostenlose 24-Stunden Cyber-Security-Hotline an. Neben einer unentgeltlichen Erstberatung, z.B. Einleitung von Sofortmaßnahmen nach einem erfolgten Ransomware-Angriff, können die IT-Security Experten der Hotline Sie bei Bedarf auch an einen regionalen IT-Security Partner in Ihrer Umgebung weitervermitteln.

Nähere Informationen zur Cyber-Security-Hotline erhalten Sie unter www.cys.at. Die Hotline ist unter der Telefonnummer 0800 888 133 aus dem österreichischen Festnetz und Mobilfunk erreichbar.

Welche Varianten von Ransomware gibt es?

Aktuell gibt es schätzungweise mehrere tausend verschiedener Ransomware Varianten, wobei es hierbei viele Überschneidungen unter diesen Varianten gibt.

Grundsätzlich ist es wichtig zu verstehen, dass Schadsoftware von Cyberkriminellen auf digitalen Marktplätzen im Internet angeboten und an andere Kriminelle verkauft wird. Diese perfide Geschäftspraktik wird vermehrt auch als Cybercrime-as-a-Service bezeichnet. Die selbe Schadsoftware wird somit häufig für viele Kampagnen unterschiedlicher krimineller Akteure eingesetzt, wobei lediglich Kleinigkeiten wie die Verschlüsselungsparameter, die Oberfläche und Texte angepasst werden.

Auch Antivirenhersteller und Sicherheitsfirmen pflegen nicht immer einen einheitlichen Namenskonsens über die von Ihnen entdeckte Schadsoftwareware, weshalb davon auszugehen ist, dass einige Varianten auch unter unterschiedlichen Bezeichnungen mehrfach erfasst werden.

Da es generell keine offiziellen und allgemeingültigen Statistken gibt, kann die Anzahl der verbreiteten Ransomware Varianten nur schwer geschätzt werden. In der nachfolgenden Liste finden Sie die aktuell verbreitesten Vertreter von Ransomware in Österreich bzw. Europa:

  • 777
  • 7ev3n
  • 7h9r
  • 8lock8
  • ACCDFISA
  • ACCDFISA 2.0
  • Alfa
  • Alpha
  • Alcatraz Locker
  • AMBA
  • ANDROIDOS_LOCKER
  • Apocalypse
  • ApocalypseVM
  • AutoIt
  • Aura
  • AutoLocky
  • AxCrypter
  • BadBlock
  • Bandarchor
  • BankAccountSummary
  • Bart
  • BitCryptor
  • BitMessage
  • BitStak
  • Black Shades
  • Blocatto
  • Booyah
  • Brazilian Ransomware
  • Bucbi
  • BuyUnlockCode
  • Cerber
  • Chimera
  • Coin Locker
  • CoinVault
  • Coverton
  • CRIBIT
  • Crybola
  • CRILOCK
  • CRITOLOCK
  • Cryakl
  • CryFile
  • CRYPAURA
  • CRYPBOSS
  • CRYPCTB
  • CRYPDAP
  • CRYPDEF
  • CRYPDIRT
  • CRYPFINI
  • CRYPFIRAGO
  • CRYPFORT
  • CRYPHYDRA
  • CrypMic
  • CRYPRADAM
  • Crypren
  • CRYPSALAM
  • CRYPSAM
  • CRYPSHED
  • Crypt0L0cker
  • Crypt38
  • Crypt888
  • CRYPTCOIN
  • CRYPTESLA
  • CRYPTFILE
  • CRYPTLOCK
  • CryptInfinite
  • CryptoDefense
  • CryptoFinancial
  • CryptoFortress
  • CryptoHasYou
  • CryptoHitman
  • CryptoJoker
  • Cryptokluchen
  • CryptoLocker 1.0
  • CryptoLocker 2.0
  • CryptoMix
  • CRYPTOP
  • CRYPTOR
  • CRYPTORBIT
  • CryptoRoger
  • CryptoShocker
  • CryptoTorLocker
  • Cryptowall 1.0
  • CryptoWall 2.0
  • CryptoWall 3.0
  • CryptoWall 4.0
  • CRYPTRITU
  • CRYPTROLF
  • CRYPTTOR
  • CryptXXX
  • CryptXXX 2.0
  • CryptXXX 3.0
  • CryptXXX 4.0
  • CRYPVAULT
  • CRYPWALL
  • CRYPWEB
  • CRYPZUQUIT
  • CrySiS
  • Crykal
  • CTB-Faker
  • CTB-Locker
  • DEDCryptor
  • Democry
  • DirtyDecrypt
  • DMA Locker
  • DMA Locker 2.0
  • DMA Locker 3.0
  • DMA Locker 4.0
  • DOWNCRYPT
  • ECLR Ransomware
  • EduCrypt
  • El Polocker
  • Encryptor RaaS
  • Enigma
  • Erebus
  • FABKEN
  • Fury
  • GhostCrypt
  • Globe
  • Gomasom
  • GOOPIC
  • GULCRYPT
  • Harasom
  • Herbst
  • HiddenTear
  • Hi Buddy!
  • HolyCrypt
  • HydraCrypt
  • Jager
  • JIGSAW
  • JobCrypter
  • JOKOZY
  • JSRAA
  • JuicyLemon
  • KeRanger
  • KeyBTC
  • KEYHolder
  • KimcilWare
  • KOLLAH
  • KOVTER
  • Kozy.Jozy
  • KratosCrypt
  • Kriptovor
  • KryptoLocker
  • KRYPTOVOR
  • Lamer
  • LeChiffre
  • Legion
  • Locky
  • Lortok
  • Magic
  • Maktub Locker
  • MATSNU
  • MIRCOP
  • MireWare
  • Mischa
  • Mobef
  • NanoLocker
  • NegozI
  • Nemucod
  • Nemucod-7z
  • NoobCrypt
  • ODCODC
  • OMG! Ransomcrypt
  • PadCrypt
  • PayForNature
  • PClock
  • Petya
  • PGPCODER
  • PizzaCrypts
  • Pletor
  • PowerLocky
  • PowerWare
  • RAA-SEP
  • Radamant
  • Radamant 2.0
  • Rakhni
  • Rannoh
  • RANSOM
  • RemindMe
  • REVETON
  • Rokkku
  • Rokku
  • Rotor
  • Russian EDA2
  • SamSam
  • Sanction
  • Satana
  • Scatter
  • SecureCryptor
  • SZFLocker
  • Shade 1.0
  • Shade 2.0
  • Shujin
  • Simple_Encoder
  • SimpLocker
  • SNSLocker
  • Spora
  • Sport
  • Stampado
  • SuperCrypt
  • Surprise
  • Svpeng
  • SYNOLOCK
  • SZFLocker
  • TeslaCrypt
  • TeslaCrypt 2.0
  • TeslaCrypt 3.0
  • TeslaCrypt 4.0
  • TeslaCrypt 4.1
  • TorrentLocker
  • TowerWeb
  • ToxCrypt
  • Troldesh
  • TrueCrypter
  • UCCU
  • UltraDecrypter
  • UmbreCrypt
  • Unlock92
  • Unlock92 2.0
  • VaultCrypt
  • VBUZKY
  • VIRLOCK
  • VirLocker
  • WannaCry
  • WALTRIX
  • WildFire Locker
  • WonderCrypter
  • Xorist
  • Xorbat
  • Xort
  • XRTN
  • zCrypt
  • ZimbraCryptor
  • Zyklon
Bei den hervorgehobenen Varianten handelt es sich um die aktuell aktivsten Vertreter in Österreich und der EU.
Für die grün hinterlegten Varianten sind bereits entsprechende Entschlüsselungsprogramme verfügbar
Stand: 10.02.2017

WannaCry

Bei WannaCry handelt es sich um einen großflächigen Ransomware-Angriff, welcher sich im Mai 2017 ereigenete. Viele Experten und Behörden, darunter auch Europol, bezeichnen den Angriff durch WannaCry in seinem Ausmaß als ein bisher noch nie da gewesenes Ereignis. Aufgrund der Ausnutzung einer Schwachstelle in Microsoft Windows (MS17-010) und der Nachlässigkeit beim Patching von Systemen durch einige IT-Administratoren, konnte sich WannaCry sehr schnell und großflächig ausbreiten. In Österreich kam es glücklicherweise zu keinerlei größerer Vorkomnisse durch WannaCry, jedoch wurden in anderen Staaten (vorwiegend Großbritannien, Russland und weiten Teilen Asiens), etliche Organisationen, Unternehmen und auch Behörden großflächig infiziert.

Für WannaCry besteht unter gewissen Voraussetzungen die Möglichkeit, die betroffenen Daten zu entschlüsseln. Dies ist leider jedoch nur unter sehr limitierten Voraussetzungen möglich, konkret wenn umgehend nach der Infektion mit WanaCry ein entsprechendes Abbild (Image) des betroffenen Systems (inkl. Arbeitsspeicher) angfertigt wurde, oder im sehr unwahrscheinlichen Fall, dass das System seit der Infektion durch WanaCry nicht heruntergefahren und weiter benutzt wurde. Letzteres ist jedoch mittlerweile und aufgrund des Designs moderner Betriebssysteme (anm. Garbage Collection) faktisch umöglich.

Entscheidend ist in beiden Fällen der Inhalt des Arbeitsspeichers des betroffenen Systems, aus welchem in einzelnen Fällen die von WannaCry für die Verschlüsselung verwendeten Primzahlen extrahiert werden können, um die betroffenen Daten zu entschlüsseln. Die Methode funktioniert außerdem nur auf 32-Bit (x86) Systemen und Windows XP, Windows Server 2003 und Windows 7. Nähere Informationen zum Tool WanaKiwi auf folgender Seite (in Englisch) verfügbar https://github.com/gentilkiwi/wanakiwi.


Referenzen & weitere Informationen