Verschlüsselung durch Ransomware verstehen Daten gegen Lösegeld

Eine besonders perfide Form der Malware ist die Ransomware. Diese bösartige Software infiziert einen Computer und verschlüsselt alle wertvollen, meist privaten, Dateien. Das Entfernen der Malware reicht hier oft nicht, da der Großteil der Dateien des Benutzers bereits verschlüsselt ist und ohne den Schlüssel nicht wiederhergestellt werden kann.

Anbieter zum Thema

Cohesity GmbH

Mimecast Germany GmbH

Palo Alto Networks

In den letzten Jahren hat die Cyber-Welt verschiedene Trends in der Malware-Landschaft erlebt. Von einfachen Viren und Würmern über DDoS-Botnets bis hin zu Banking-Trojanern stecken kriminelle Organisationen und Malware-Autoren ihre Ziele immer höher. Stets sind sie darum bemüht, ihre ausgefeilten Angriffstaktiken den ebenfalls immer besseren Fähigkeiten der Sicherheitslösungen anzupassen. Die Cyber-Kriminellen wollen den Technologien für Erkennung und Prävention immer möglichst einen Schritt voraus sein. Eine der jüngsten Entwicklungen dieses Katz-und-Maus-Spiels ist die Verschlüsselung fremder Daten durch Ransomware, die in letzter Zeit von den Cyber-Kriminellen immer häufiger herangezogen wird, um von den Betroffenen „Lösegeld“ zu erpressen.

Eine Verschlüsselungs-Ransomware ist eine bösartige Software, die einen Computer infiziert und alle wertvollen Dateien verschlüsselt. Die Ransomware erreicht den Computer über eine Sicherheitslücke – in der Regel in einem Browser oder einem Dokumentenleser – oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei. Der Schadcode verschlüsselt dann wertvolle Dateien auf dem Rechner, etwa Dokumente, Bilder, Zertifikate etc. Daraufhin erhält der User eine „Lösegeld“-Forderung für die Entschlüsselung der Daten.

Der für die Entschlüsselung benötigte Schlüssel wird auf einen Remote-C&C-Server hochgeladen und nicht auf dem lokalen Computer gespeichert, so dass eine Sanierung sehr schwierig ist. Das Entfernen der Malware reicht nicht, da der Großteil der Dateien des Benutzers bereits verschlüsselt ist und ohne den Schlüssel nicht wiederhergestellt werden kann. Wenn das Opfer nicht innerhalb eines vorgegebenen Zeitrahmens zahlt, sind die Chancen für eine Wiederherstellung gering. Die Wirksamkeit dieser Taktik hat zur steigenden Beliebtheit bei den Cyber-Kriminellen beigetragen, die es damit auf Einzelpersonen und Unternehmen gleichermaßen abgesehen haben. Angreifer bedienen sich modernster Verschlüsselungstechnik und verwenden z.B. 2048 Bit AES-Verschlüsselung, die eine Entschlüsselung ohne den passenden Code praktisch unmöglich macht.

Ransomware aus einem anderen Blickwinkel

Die meisten Beiträge zum Thema Ransomware-Verschlüsselung fokussieren sich auf die Infektionsmethoden, den Verschlüsselungsalgorithmus oder die C&C-Server-Kommunikation. Ransomware lässt sich aber auch aus einem anderen Blickwinkel betrachten: die Analyse der Dateioperationen, die Ransomware auf den zu verschlüsselnden Dateien durchführt. Eine allgemeine Übersicht mit einfachen Methoden kann den nötigen Einblick in das Verhalten der Malware liefern, bevor man sich in kleinen Details verliert.

Verschlüsselungs-Ransomware lässt sich in drei Kategorien unterteilen, basierend auf der Art, wie sie auf Dateien zugreift und diese verändert: Erstens „Write-in-place“, also Schreiben an Ort und Stelle, zweitens „Rename-and-encrypt“, also Umbennen und Verschlüsseln – und drittens – „Create-encrypt-and-delete“, also Erstellen, Verschlüsseln und Löschen.

„Im Rahmen unserer Forschung zur Bekämpfung von Ransomware haben wir viele Samples und Varianten unterschiedlicher Herkunft analysiert. Darauf basierend haben wir einige Samples näher untersucht, um die Unterschiede bei den oben genannten Techniken zu verdeutlichen“, erklärt Ryan Olson, Intelligence Director bei Unit 42, dem Malware-Analyseteam von Palo Alto Networks.

(ID:43196691)