Ransomware

Verschlüsselungstrojaner, Erpressungstrojaner, Crypto-Trojaner

Diese Webseite wird derzeit überarbeitet und wird bald mit aktuellen Informationen und Präventions-Tipps zur Verfügung stehen

Ransomware ist eine Schadsoftware, welche viele private Anwender und Unternehmen, vor eine neue Herausforderung stellt. Locky, Cerber, CryptoWall, CryptoLocker, WannaCry und Petya sind dabei nur einige der gängstigen Ransomware-Varianten, von welchen auch in Österreich bereits tausende Opfer betroffen waren und weiterhin sind. Obwohl bereits die regelmäßige Anfertiung entsprechender Sicherungen (Backups) den besten Schutz vor den Auswirkungen eines Ransomware-Angriffes bietet, so scheitern leider immer noch viele Anwender und auch Unternehmen bereits an dieser, sehr einfachen und kostengünstigen Schutzmaßnahme.


Update 15.05.2017: Informationen zu WannaCry siehe unter WannaCry Outbreak.

Update 28.06.2017: Informationen zu Petya (GoldenEye, NotPetya, ExPetr) siehe unter Petya Outbreak.

Was ist Ransomware?

Ransomware setzt sich aus den Begriffen Ransom (engl. für Lösegeld) und ware (kurzform für Software) zusammen. Ransomware ist eine Schadsoftware (Trojaner), welche gezielt auf die Erpressung von Anwendern ausgelegt ist. Ransomware-Trojaner verwenden dafür oft starke Verschlüsselungsverfahren, welche eine Entschlüsselung der Dateien nur sehr schwer bis unmöglich machen.

Die Motivation der Erpresser ist es meist, eine Lösegeldforderung für die Entschlüsselung der Daten zu verlangen, welche in einer digitalen Währung wie Bitcoin bezahlt werden soll. Frühere Varianten der Schädlinge verwendeten dazu auch gestohlene Bankdaten, Ukash oder Paysafecard, doch mittlerweile hat sich der Fokus durchwegs auf Zahlungen mittels der digitalen Währung Bitcoin gerichtet.


Verschiedene Varianten von Ransomware Verschiedene Varianten aktueller Ransomware

→ Zur Ransomware Galerie


Ransomware kann grundlegend in zwei Arten, der sperrenden Locker-Ransomware und der verschlüsselnden Crypto-Ransomware unterteilt werden:


Locker-Ransomware sperrt den Zugriff auf den Computer der betroffenen Anwender. Bekannteste Vertreter sind hierbei die seit ca. 2011 im Umlauf befindlichen Polizeitrojaner (auch als BKA Virus und GVU Virus bekannt).

Crypto-Ransomware verschlüsselt Dokumente und Dateien der betroffenen Anwender. Bekannte Vertreter sind hierbei Cryptowall, CryptoLocker, Locky und TeslaCrypt.


1989

Erste Ransomware - AIDS Trojaner

2007

Erste Ransomware mit starker Verschlüsselung

2011

Anstieg neuer Locker-Ransomware Varianten

2013

Rasanter Anstieg von Crypto-Ransomware

2015

Erste Ransomware für Mac OS X aufgetaucht

2017

Großflächige Ransomware-Angriffe

Die Entwicklung von Ransomware seit 1989

Die Geschichte der aus heutigen Sicht vermutlich ersten Schadsoftware, welche als Ransomware bezeichnet werden kann, geht zurück auf den AIDS-Trojaner im Jahre 1989, welcher vom amerikanischen Biologen Dr. Joseph Popp anlässlich einer AIDS-Konferenz der WHO im Jahre 1990 entwickelt und in Umlauf gebracht wurde. Laut Dr. Popps Aussagen war seine Intention für die Entwicklung dieser Schadsoftware, im Vergleich zu den heutigen Varianten, keineswegs krimineller Natur sondern vielmehr mit dem Hintergrund, die Menscheit besser über die Gefahren durch die Krankheit AIDS aufzuklären.

Im Jahre 1996 beschrieb Moti Yung, IT-Sicherheitsexperte und Professor an der Columbia University in the city of New York, die Gefahren durch neuartige Cryptoviren, welche sich der kryptografischer Verfahren bedienen. Seine damaligen Einschätzungen beschrieben exakt dies, was heute als Crypto-Ransomware bekannt ist.

Seit spätestens 2013 erleben wir auch in Österreich einen zunehmenden Anstieg von Vorfällen und medialer Berichterstattung rund um Ransomware.

Wie kann man sich schützen?

Ransomware wird aktuell vorwiegend über speziell präparierte Links oder Anhänge in E-Mails verbreitet. Ein begünstigender Faktor dabei ist, dass viele Mailserver standardmäßig bestimmte Dateien wie Microsoft Word oder Excel Dokumente akzeptieren. Erschwerend kommt hin zu, dass speziell auf Rechnern im KMU sowie privaten Umfeld keine adäquaten Gegenmaßnahmen (Richtlien für Makroausführung in Office Dokumenten, zentraler E-Mail Spam und Virenfilter, usw.) vorhanden sind. In den meisten Fällen gelangt Ransomware daher über eingebette Makros in Office Dokumenten (Word, Excel), über welche erst die eigentliche Schadsoftware nachgeladen wird, auf die Computer der Betroffenen. Diese Tatsache macht es für gängige Schutzmechanismen wie Virenscanner extrem schwierig, die Gefahr rechtzeitig zu erkennen.

Einer der wichtigsten Faktoren beim Schutz vor Ransomware ist der Anwender selbst. Oft wird Ransomware Schadsoftware in E-Mail Anhängen unter völlig legitimen Bezeichnungen wie Rechnung.doc, Bewerbung.doc.js, Lebenslauf.doc.js getarnt. Speziell für Anwender gilt es daher, jeden Anhang vor dem Öffnen auf seine Legitimität hin zu untersuchen (Absender, Inhalt der E-Mail, Dateiendung des Anhangs, usw.). E-Mails und deren Anhänge aus unbekannten Quellen, welche unaufgefordert zugesendet werden, sollten generell ignoriert und umgehend gelöscht werden.

Im Zweifelsfall kann zur Analyse von unklaren Dateianhängen, auf kostenlose Online Virenscanner wie virustotal.com zurückgegriffen werden. Speziell für Unternehmen ist es hierbei von essentieller Bedeutung, für eine entsprechende Sensibilisierung aller Mitarbeiter zu sorgen.


Die nachfolgende Checkliste dient als Richtlinie für präventive Maßnahmen gegen Ransomware:


  • Sind entsprechend aktuelle Backups Ihrer Daten vorhanden und abrufbar?
  • Ist die eingesetzte Software (Betriebssystem, Browser, Plugins) auf aktuellem Stand?
  • Sind entsprechende Sicherheitslösungen (Anti-Virus, Firewall, IDS/IPDS) vorhanden?
  • Blockiert Ihr Mailserver/Spamfilter risikobehaftete und gefährliche E-Mails und Anhänge?
  • Werden Microsoft Office Makros auf Ihren Computern standardmäßig blockiert?

 

Mittlerweile gibt es auch diverse Tools, welche Ransomware-Angriffe mittels neuer Techniken (behavioral and deception based detection) noch vor dem eigentlichen Verschlüsseln von Dateien und Dokumenten erkennen und verhindern können. Diese Tools überwachen hierbei dabei das System permanent nach Auffälligkeiten und warnen den Nutzer im Verdachtsfall. Für Privatanwender zählen hierzu unter anderem RansomFree (Windows) von Cybereason oder RansomWhere? (Mac OS) von Objective-See.

Wie handeln im Schadensfall?

Allgemeine Maßnahmen

Nach einem erfolgten Ransomware-Angriff, sind die gesetzten Maßnahmen und die richtige Reaktion oft entscheidend über das Schadensausmaß sowie die Erfolgsquote bei der Wiederherstellung Ihrer Daten. Generell sollten betroffene Geräte unverzüglich und sofort von allen Netzwerken (LAN, WLAN) getrennt, sowie sämtliche externen Datenträger (USB-Sticks, Externe Festplatten, SD-Karten, Kameras, etc.) umgehend vom betroffenen Gerät entfernt werden. In den meisten Fällen ist es ratsam, das betroffene Gerät ebenfalls sofort vom Strom zu trennen bzw. Auszuschalten, da hiermit der Verschlüsselungsprozess in manchen Fällen noch rechtzeitig unterbrochen werden kann. Bei Notebooks kann es dabei unter Umständen erfoderlich sein, den verbauten Akku zu entfernen.

Generell sollten alle Maßnahmen umgehend und vorab mit einem IT- oder IT-Security Experten abgeklärt werden, da bei unterschiedlichen Ransomware-Varianten teilweise auch unterschiedliche Vorgehensweisen zu empfehlen sind. In Unternehmen ist in manchen Fällen zudem die Erstellung eines Abbildes (Imaging) der betroffenen Datenträger und des Arbeitsspeichers zu empfehlen, um zu einem späteren Zeitpunkt forensische Analysen, z.B. zur Wiederherstellung der Schlüssel aus dem Arbeitsspeicher, zu ermöglichen.

Nachstehende Maßnahmen werden bei allen Ransomware-Angriffen dringend empfohlen:


Gehen Sie keinesfalls auf eine entsprechende Lösegeldforderung durch die Erpresser ein! Eine erfolgreiche Wiederherstellung Ihrer Daten ist auch durch Zahlung des geforderten Lösegeldes zu keinem Zeitpunkt gewährleistet!

Erstatten Sie umgehend eine Anzeige bei der nächsten Polizeidienststelle oder eine Meldung bei der Cybercrime Meldestelle (C4) des Bundesministerium für Inneres (24h Telefon: +43-1-24836-986500; E-Mail: against-cybercrime(at)bmi.gv.at).

Maßnahmen für Privatanwender

Wurden Sie Opfer eines Ransomware-Angriffes, so sollten Sie sich umgehend an einen IT-Experten wenden, welcher Sie bei der Wiederherstellung Ihrer Daten entsprechend unterstützen kann. Sofern Sie über aktuelle Sicherungskopien (Backups) Ihrer Daten verfügen, sollte sich der durch den Ransomware-Angriff verursachte Schaden in Grenzen halten und eine Wiederherstellung der Daten grundsätzlich zeitnah durchführbar sein.

Es sei zudem erwähnt, dass es in der Vergangenheit für viele Ransomware-Varianten immer wieder entsprechende Programme und Tools zur Entschlüsselung bereitgestellt und die Verschlüsselung der Daten und Dokumente somit rückgängig gemacht werden konnte. Eine Zusammenfassung finden Sie in der Liste weiter unten auf dieser Seite.

Ein Verzeichnis der österreichischen IT-Dienstleister mit Spezialisierung im Bereich IT-Security, finden Sie auf den Seiten der Wirtschaftskammer Österreich (WKO).

Maßnahmen in Unternehmen

Wurde Ihr Unternehmen Opfer eines Ransomware-Angriffes, so sollten Sie sich umgehend an einen IT-Security Experten wenden, welcher Sie bei der Analyse des Vorfalls sowie der Koordination und Wiederherstellung Ihrer Daten entsprechend unterstützen kann. Neben der Wiederherstellung der Daten, sollten vorallem auch weitere Infektionen in Ihrem Firmennetzwerk erkannt und beseitigt werden, um einer erneuten Infektion vorzubeugen. Ebenfalls können Sie die IT-Security Experten bei der Implementierung entsprechender Präventiv- und Schutzmaßnahmen gegen Ransomware-Angriffe beraten und unterstützen.

Seit Juni 2017 bietet die Wirtschaftskammer Österreich (WKO) ihren Mitgliedern eine kostenlose 24-Stunden Cyber-Security-Hotline an. Neben einer unentgeltlichen Erstberatung, z.B. Einleitung von Sofortmaßnahmen nach einem erfolgten Ransomware-Angriff, können die IT-Security Experten der Hotline Sie bei Bedarf auch an einen regionalen IT-Security Partner in Ihrer Umgebung weitervermitteln.

Die Cyber-Security-Hotline ist 24-Stunden aus dem österreichischen Festnetz und Mobilfunk unter der Telefonnummer 0800 888 133 erreichbar. Nähere Informationen finden Sie unter www.cys.at.

Welche Varianten von Ransomware gibt es?

Aktuell gibt es schätzungweise mehrere tausend verschiedener Ransomware Varianten, wobei es hierbei viele Überschneidungen unter diesen Varianten gibt.

Grundsätzlich ist es wichtig zu verstehen, dass Schadsoftware von Cyberkriminellen auf digitalen Marktplätzen im Internet angeboten und an andere Kriminelle verkauft wird. Diese perfide Geschäftspraktik wird vermehrt auch als Cybercrime-as-a-Service bezeichnet. Die selbe Schadsoftware wird somit häufig für viele Kampagnen unterschiedlicher krimineller Akteure eingesetzt, wobei lediglich Kleinigkeiten wie die Verschlüsselungsparameter, die Oberfläche und Texte angepasst werden.

Auch Antivirenhersteller und Sicherheitsfirmen pflegen nicht immer einen einheitlichen Namenskonsens über die von Ihnen entdeckte Schadsoftwareware, weshalb davon auszugehen ist, dass einige Varianten auch unter unterschiedlichen Bezeichnungen mehrfach erfasst werden.

Da es generell keine offiziellen und allgemeingültigen Statistken gibt, kann die Anzahl der verbreiteten Ransomware Varianten nur schwer geschätzt werden. In der nachfolgenden Liste finden Sie die aktuell verbreitesten Vertreter von Ransomware in Österreich bzw. Europa:

  • 777
  • 7ev3n
  • 7h9r
  • 8lock8
  • ACCDFISA
  • ACCDFISA 2.0
  • Alfa
  • Alpha
  • Alcatraz Locker
  • AMBA
  • ANDROIDOS_LOCKER
  • Apocalypse
  • ApocalypseVM
  • AutoIt
  • Aura
  • AutoLocky
  • AxCrypter
  • BadBlock
  • Bandarchor
  • BankAccountSummary
  • Bart
  • BitCryptor
  • BitMessage
  • BitStak
  • Black Shades
  • Blocatto
  • Booyah
  • Brazilian Ransomware
  • Bucbi
  • BuyUnlockCode
  • Cerber
  • Chimera
  • Coin Locker
  • CoinVault
  • Coverton
  • CRIBIT
  • Crybola
  • CRILOCK
  • CRITOLOCK
  • Cryakl
  • CryFile
  • CRYPAURA
  • CRYPBOSS
  • CRYPCTB
  • CRYPDAP
  • CRYPDEF
  • CRYPDIRT
  • CRYPFINI
  • CRYPFIRAGO
  • CRYPFORT
  • CRYPHYDRA
  • CrypMic
  • CRYPRADAM
  • Crypren
  • CRYPSALAM
  • CRYPSAM
  • CRYPSHED
  • Crypt0L0cker
  • Crypt38
  • Crypt888
  • CRYPTCOIN
  • CRYPTESLA
  • CRYPTFILE
  • CRYPTLOCK
  • CryptInfinite
  • CryptoDefense
  • CryptoFinancial
  • CryptoFortress
  • CryptoHasYou
  • CryptoHitman
  • CryptoJoker
  • Cryptokluchen
  • CryptoLocker 1.0
  • CryptoLocker 2.0
  • CryptoMix
  • CRYPTOP
  • CRYPTOR
  • CRYPTORBIT
  • CryptoRoger
  • CryptoShocker
  • CryptoTorLocker
  • Cryptowall 1.0
  • CryptoWall 2.0
  • CryptoWall 3.0
  • CryptoWall 4.0
  • CRYPTRITU
  • CRYPTROLF
  • CRYPTTOR
  • CryptXXX
  • CryptXXX 2.0
  • CryptXXX 3.0
  • CryptXXX 4.0
  • CRYPVAULT
  • CRYPWALL
  • CRYPWEB
  • CRYPZUQUIT
  • CrySiS
  • Crykal
  • CTB-Faker
  • CTB-Locker
  • DEDCryptor
  • Democry
  • DirtyDecrypt
  • DMA Locker
  • DMA Locker 2.0
  • DMA Locker 3.0
  • DMA Locker 4.0
  • DOWNCRYPT
  • ECLR Ransomware
  • EduCrypt
  • El Polocker
  • Encryptor RaaS
  • Enigma
  • Erebus
  • FABKEN
  • Fury
  • GhostCrypt
  • Globe
  • Gomasom
  • GOOPIC
  • GULCRYPT
  • Harasom
  • Herbst
  • HiddenTear
  • Hi Buddy!
  • HolyCrypt
  • HydraCrypt
  • Jager
  • JIGSAW
  • JobCrypter
  • JOKOZY
  • JSRAA
  • JuicyLemon
  • KeRanger
  • KeyBTC
  • KEYHolder
  • KimcilWare
  • KOLLAH
  • KOVTER
  • Kozy.Jozy
  • KratosCrypt
  • Kriptovor
  • KryptoLocker
  • KRYPTOVOR
  • Lamer
  • LeChiffre
  • Legion
  • Locky
  • Lortok
  • Magic
  • Maktub Locker
  • MATSNU
  • MIRCOP
  • MireWare
  • Mischa
  • Mobef
  • NanoLocker
  • NegozI
  • Nemucod
  • Nemucod-7z
  • NoobCrypt
  • ODCODC
  • OMG! Ransomcrypt
  • PadCrypt
  • PayForNature
  • PClock
  • Petya
  • Petya.A (Juni 2017)
  • PGPCODER
  • PizzaCrypts
  • Pletor
  • PowerLocky
  • PowerWare
  • RAA-SEP
  • Radamant
  • Radamant 2.0
  • Rakhni
  • Rannoh
  • RANSOM
  • RemindMe
  • REVETON
  • Rokkku
  • Rokku
  • Rotor
  • Russian EDA2
  • SamSam
  • Sanction
  • Satana
  • Scatter
  • SecureCryptor
  • SZFLocker
  • Shade 1.0
  • Shade 2.0
  • Shujin
  • Simple_Encoder
  • SimpLocker
  • SNSLocker
  • Spora
  • Sport
  • Stampado
  • SuperCrypt
  • Surprise
  • Svpeng
  • SYNOLOCK
  • SZFLocker
  • TeslaCrypt
  • TeslaCrypt 2.0
  • TeslaCrypt 3.0
  • TeslaCrypt 4.0
  • TeslaCrypt 4.1
  • TorrentLocker
  • TowerWeb
  • ToxCrypt
  • Troldesh
  • TrueCrypter
  • UCCU
  • UltraDecrypter
  • UmbreCrypt
  • Unlock92
  • Unlock92 2.0
  • VaultCrypt
  • VBUZKY
  • VIRLOCK
  • VirLocker
  • WannaCry (Mai 2017)
  • WALTRIX
  • WildFire Locker
  • WonderCrypter
  • Xorist
  • Xorbat
  • Xort
  • XRTN
  • zCrypt
  • ZimbraCryptor
  • Zyklon
Bei den hervorgehobenen Varianten handelt es sich um die aktuell aktivsten Vertreter in Österreich und der EU.
Für die grün hinterlegten Varianten sind bereits entsprechende Entschlüsselungsprogramme verfügbar
Stand: 28.06.2017

Aktuelle Warnungen

WannaCry Outbreak - Mai 2017

WannaCry

Bei WannaCry handelt es sich um einen großflächigen Ransomware-Angriff, welcher sich im Mai 2017 ereignete. Viele Experten und Behörden, darunter auch Europol, bezeichnen den Angriff durch WannaCry in seinem Ausmaß als ein bisher noch nie da gewesenes Ereignis. Aufgrund der Ausnutzung einer Schwachstelle in Microsoft Windows (MS17-010) und der Nachlässigkeit beim Patching von Systemen durch einige IT-Administratoren, konnte sich WannaCry sehr schnell und großflächig ausbreiten. In Österreich kam es glücklicherweise zu keinerlei größerer Vorkomnisse durch WannaCry, jedoch wurden in anderen Staaten (vorwiegend Großbritannien, Russland und weiten Teilen Asiens), etliche Organisationen, Unternehmen und auch Behörden großflächig infiziert.

Für WannaCry besteht unter gewissen Voraussetzungen die Möglichkeit, die betroffenen Daten zu entschlüsseln. Dies ist leider jedoch nur unter sehr limitierten Voraussetzungen möglich, konkret wenn umgehend nach der Infektion mit WanaCry ein entsprechendes Abbild (Image) des betroffenen Systems (inkl. Arbeitsspeicher) angfertigt wurde, oder im sehr unwahrscheinlichen Fall, dass das System seit der Infektion durch WanaCry nicht heruntergefahren und weiter benutzt wurde. Letzteres ist jedoch mittlerweile und aufgrund des Designs moderner Betriebssysteme (anm. Garbage Collection) faktisch umöglich.

Entscheidend ist in beiden Fällen der Inhalt des Arbeitsspeichers des betroffenen Systems, aus welchem in einzelnen Fällen die von WannaCry für die Verschlüsselung verwendeten Primzahlen extrahiert werden können, um die betroffenen Daten zu entschlüsseln. Die Methode funktioniert außerdem nur auf 32-Bit (x86) Systemen und Windows XP, Windows Server 2003 und Windows 7. Nähere Informationen zum Tool WanaKiwi auf folgender Seite (in Englisch) verfügbar https://github.com/gentilkiwi/wanakiwi.

Petya (GoldenEye, NotPetya, ExPetr) Outbreak - Juni 2017

Petya

Seit 27. Juni 2017 beobachten IT-Security Experten einen weltweiten Ransomware-Angriff mittels einer neuen Variante der schon zuvor als Petya bekannten Schadsoftware. Zum aktuellen Zeitpunkt sind vorallem Unternehmen und Anwender in zahlreichen EU-Mitgliedsstaaten, der Ukraine sowie Russland maßgeblich vom Angriff betroffen. Es wird vermutet, dass der initiale Verbreitungsweg (Initial-Vektor) der Schadsoftware über eine Software-Update eines ukrainisches Softwareherstellers (MeDoc) für Buchhaltungssoftware erfolgte, welcher vermutlich von Kriminellen unbemerkt gehackt wurde.

Nach ersten Analysen div. Security Experten handelt es sich bei Petya um keine Ransomware im klassichen Sinne, da die Schadsoftware keine Funktion zur Entschlüsselung der Daten aufweist, sondern diese vielmehr auf eine vollständige Zerstörung der Daten ausgelegt ist. Für Betroffene steht aktuell somit keine Möglichkeit zur Wiedererlangung Ihrer Daten in Aussicht, weshalb sich auch bei diesem Vorfall die Wichtigkeit der zeitnahen Einspielung aktueller Sicherheitsupdates und Patches, der Anfertigung regelmäßiger Sicherungen (Backups) sowie der Einsatz entsprechender Sicherheitssoftware, erneut bestätigt.

Betroffene Anwender und Unternehmen in Österreich sind dazu aufgefordert, eine entsprechende Meldung beim Cyber Crime Competence Center (C4) des Bundeskriminalamtes (24h Telefon: +43-1-24836-986500) zu erstatten.

Weitere aktuelle Informationen erhalten Sie zusätzlich beim österreichischen Computer Emergency Response Team (CERT.at) unter http://cert.at/warnings/all/20170628.html


Referenzen & weitere Informationen