Spätestens seit dem Auftauchen von Locky ist das Thema in den Medien wieder ganz oben. Kaum eine Woche vergeht, ohne den Fund einer neuen Ransomware. Da fällt es unterdessen schwer die Übersicht zu behalten. Welche Krypto-Trojaner bedrohen uns aktuell und wie greifen diese an? Verschlüsseln alleine war gestern. Die neuen Verschlüsselungstrojaner tarnen sich besser, blockieren den Computer oder löschen sogar Dateien.
Anfang März warnte ich auf BASIC thinking vor der wachsenden Bedrohung durch Ransomware (Erpresser-Trojaner) – speziell vor Locky – und gab euch zehn Tipps, wie ihr euch vor solchen Schädlingen zukünftig effektiver schützen könnt. Ich ging davon aus, dass das erst die Spitze des Eisbergs war. In den letzten 1,5 Monaten verging kaum eine Woche ohne eine Meldung über einen neuen Krypto-Trojaner. Wir wurden regelrecht überflutet – TeslaCrypt 4.0, Petya, Jigsaw, Suprise, Samsa, PowerWare, KeRanger, usw.
Die Liste ist lang und jede Ransomware ist auf ihre ganz eigene Art und Weise speziell. Die Angreifer lassen ihrer Kreativität und ihrem Erfindergeist freien Lauf, damit die entwickelte Schadsoftware noch brutaler agiert. Hauptsache, sie infizieren viele Computer und sacken ordentlich Lösegeld ein. Anhand dreier Beispiele möchte ich euch zeigen, welch vielfältige Entwicklung Verschlüsselungstrojaner aktuell nehmen.
TeslaCrypt 4.0: Der Ninja unter der den Krypto-Trojanern
Vor knapp einem Monat wurde TeslaCrypt 4.0 gesichtet. In der neuen Version kann der Verschlüsselungstrojaner nun auch Dateien > 4 GB verschlüsseln. Die Vorgänger haben solche Dateien bislang zerstört. Als erste Ransomware hängt TeslaCrypt 4.0 an die verschlüsselten Dateien keinen Namenszusatz mehr an.
Dadurch bleibt der Angriff zunächst unbemerkt. Erst wenn das Opfer eine Datei öffnet oder eine Erpresser-Botschaft erhält, schrillen die Alarmglocken. Für Betroffene ist nicht erkennbar, welchen Schaden TeslaCrypt 4.0 bereits angerichtet hat. Bisher existiert kein Entschlüsselungs-Tool, genauso wie auch für TeslaCrypt 3.0.
Petya: Wenn der Computer einen Totenkopf als Bootscreen zeigt
Seit rund einem Monat treibt auch die Ransomware Petya ihr Unwesen. Das Opfer bekommt eine gefakte Bewerbung per E-Mail zugeschickt. Darin ist ein Dropbox-Link zu einer Bewerbungsmappe enthalten, in der Petya lauert. Der Angriff verläuft in zwei Phasen. Zunächst verschlüsselt Petya den Master Boot Record (MBR). In diesem Sektor einer bootfähigen Festplatte liegen die Startinformationen für das Betriebssystem. Danach beginnt der zweite Schritt. Der Verschlüsselungstrojaner versucht mithilfe eines Bluescreens den Windows-PC zu einem Neustart zu bewegen, um danach eine vorgetäuschte Festplattenüberprüfung anzustoßen – jetzt erfolgt die Verschlüsselung des Dateisystems.
Der Computer fährt nicht mehr sauber hoch. Anstelle des Bootscreens erscheint ein Totenkopf im ASCI-II Style. Die Erpresser teilen dem Opfer mit, dass nun alle Festplatten verschlüsselt werden und fordern zu einer Lösegeldzahlung auf. Glücklicherweise gibt es inzwischen einen Decrypter, um die Dateien wieder zu entschlüsseln. Der Entwickler leo-stone knackte die Petya-Verschlüsselung eigenen Angaben zu Folge für seinen Schwiegervater. Um sein Tool verwenden zu können, müsst ihr die Festplatte an einen anderen Computer anschließen und einige Daten auslesen. Der Sicherheitsexperte Fabian Wosar greift euch mit seinem Windows-Tool Petya Sector Extractor unter die Arme. Die Informationen fügt ihr in den Passwortdecrypter von „leo-stone“ ein und erhaltet so das Kennwort zum Entschlüsseln eurer Festplatte.
Jigsaw: Du hast 72 Stunden, bis zur Löschung deiner Dateien
Noch perfider arbeitet der Krypto-Trojaner Jigsaw, der seit letzter Woche im Umlauf ist. Dieser verschlüsselt wie seine Kollegen die Dateien seiner Opfer. Danach präsentiert er seine Erpresser-Botschaft und setzt die Betroffenen unter Druck. Pro Stunde droht Jigsaw damit eine Datei zu löschen. Bei einem Computer-Neustart sollen sogar gleich 1.000 Dateien im Datennirvana landen. Innerhalb von 72 Stunden soll das Opfer rund 150 Euro per Bitcoin überweisen, ansonsten werden alle Dateien unwiederbringlich gelöscht.
Nur gut, dass die Angreifer die Rechnung ohne die Sicherheitsforscher DemonSlay335, MalwareHunterTeam und myself gemacht haben. Dank ihnen existiert bereits ein Entschlüsselung-Tool. In einem Blogpost bei Bleepingcomputer wird erklärt, wie der JigSawDecrypter funktioniert.
ID Ransomware hilft Opfern bei der Enttarnung
Mittlerweile wird es immer schwerer, die Übersicht zu behalten. Gerade für Ransomware-Opfer ist nicht immer eindeutig und schnell erkennbar, welcher Krypto-Trojaner ins System eingedrungen ist. Das entscheidet aber darüber, wie gut die Chancen auf eine Datenrettung stehen. Der Sicherheitsforscher DemonSlay335 hat zur besseren Identifizierung die Webseite ID Ransomware gestartet. Sein Projekt erkennt inzwischen 55 verschiedene Verschlüsselungstrojaner anhand der Erpresser-Botschaft oder einer verschlüsselten Datei.
Die Datenübertragung erfolgt über HTTPS. DemonSlay335 versichert, dass die hochgeladenen Dateien nach dem Abgleich mit der Signaturdatenbank sofort wieder vom Server gelöscht werden. Der Dienst ist jedoch nicht zur Analyse schädlicher Dateien gedacht, dafür eignen sich eher Dienste wie VirusTotal oder Malwr.
