Verschlüsselung durch Ransomware verstehen

Daten gegen Lösegeld

Seite: 2/2

Anbieter zum Thema

Kategorie Eins: Write-in-place

Die Ransomware dieser Kategorie geht folgendermaßen vor:

  • 1. Erstellen einer temporären Datei.
  • 2. Lesen der Originaldatei.
  • 3. Verschlüsseln und Schreiben der Daten in die temporäre Datei.
  • 4. Lesen der verschlüsselten Daten aus der temporären Datei.
  • 5. Schreiben der Daten zurück auf die Originaldatei.
  • 6. Löschen der temporären Datei.

Zu Ransomware dieser Art zählen CryptoLocker, Cryptowall, CryptoDefence und DirCrypt. Als temporärer Speicherbereich kann dabei auch Prozessspeicher anstatt einer temporären Datei verwendet werden, wobei die Malware in diesem Fall immer noch zu dieser Kategorie gehört. Ein Beispiel wäre ein analysiertes Sample der DirCrypt Ransomware, die auf Prozessspeicher als temporären Arbeitsbereich zurückgreift, wie im Folgenden dargestellt:

  • 1. Öffnen der Datei mit Createfile.
  • 2. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
  • 3. Lesen der Daten der Datei, Verschlüsseln der Daten im Speicher und Schreiben der Daten auf die gleiche Datei.
  • 4. Schließen der Datei.

Kategorie Zwei: Rename-and-encrypt

Bei Ransomware dieser Kategorie ist die Vorgehensweise wie folgt:

  • 1. Umbenennen der Originaldatei.
  • 2. Lesen der umbenannten Datei.
  • 3. Verschlüsseln der Daten und Schreiben in die umbenannte Datei.
  • 4. Umbenennen der Datei wieder mit dem ursprünglichen Namen (und einer Extension).

Ransomware wie Onion, CBT und Critroni geht nach dieser Methode vor. Diese Art der Abfolge ist komplexer als die erste Technik, da die Datei vor der Verschlüsselung umbenannt wird. Bei der Verteidigung müsste man daher den Überblick über alle verschiedenen Namen, die eine Datei haben kann, behalten. Die Analyse eines Onion-Ransomware-Samples zeigt die folgenden Aktionen, die auf den Dateien durchgeführt werden.

  • 1. Öffnen der Datei mit Createfile.
  • 2. Umbenennen der Datei mit SetFileInformationByHandle in eine Datei in einem temporären Verzeichnis mit der Bezeichnung 0.tmp
  • 3. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
  • 4. Lesen der umbenannten temporären Datei, Verschlüsseln der gelesenen Daten und erneutes Schreiben auf die gleiche Datei.
  • 5. Festlegen einer neuen Dateigröße mit SetFileInformationByHandle.
  • 6. Erneutes Umbenennen der Datei, diesmal auf den ursprünglichen Namen, im ursprünglichen Pfad, mit der Extension ".ctb2" mithilfe von SetFileInformationByHandle.

Beachtenswert ist dabei, dass die Malware GetFileInformationByHandle und SetFileInformationByHandle nutzt, um die ursprünglichen Zeitattribute der Datei zu erhalten.

Nachdem alle Dateien, die von Interesse sind, verschlüsselt wurden, erscheint die folgende Meldung:

Kategorie Drei: Create-encrypt-and-delete

Die von der Malware in dieser Kategorie durchgeführten Operationen sind:

  • 1. Erstellen einer neuen Datei.
  • 2. Schreiben der verschlüsselten Daten in die neue Datei.
  • 3. Löschen der Originaldatei.

Ransomware wie ZeroLocker und TorrentLocker verwenden diese Methode zur Verschlüsselung von Dateien. Diese Technik ist am schwierigsten als bösartige Aktivität zu identifizieren, da die API-Aufrufe die Ereignisse von Erstellen, Schreiben und Löschen nicht anzeigen, dass sie die gleiche Datei betreffen. Darüber hinaus könnten legitime Operationen, wie das Verschieben von Dateien zwischen verschiedenen Festplatten, ähnliche Protokolle produzieren.

Die Analyse eines Samples der ZeroLocker-Ransomware-Variante zeigt, dass für jede der Dateien in einem Satz von vorbestimmten Verzeichnissen die folgenden Aktionen durchgeführt werden:

  • 1. Öffnen der Datei mit Createfile.
  • 2. Erstellen einer neuen Datei an der gleichen Stelle, mit dem gleichen Namen und einer zusätzlichen ".encrypt"-Erweiterung.
  • 3. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
  • 4. Lesen der Originaldatei, Verschlüsseln und Schreiben auf die neu erstellte Datei.
  • 5. Löschen der Originaldatei mit SetFileInformationByHandle.

Am Ende dieses Verfahrens erstellt die Ransomware ein Verzeichnis namens "ZeroLocker" mit zwei Dateien. Eine der Dateien enthält die folgende Meldung:

Schlussfolgerungen

Zusammenfassend lässt sich schlussfolgern: Die erste Methode, „Write-in-place“, ist die simpelste Methode im Hinblick auf die Dateioperationen. Die zweite Methode, „Rename-and-encrypt“, ist der ersten Methode sehr ähnlich, aber fügt durch das Tracking aller unterschiedlichen Namen, die eine Datei besitzen kann, ein gewisses Maß an Komplexität hinzu. Die letzte Methode schließlich, „Create-encrypt-and-delete“, ist die von Ransomware verwendete Dateioperationsweise, die am schwierigsten zu identifizieren ist. Dies beruht auf der Tatsache, dass die involvierten Dateioperationen auch bei täglichen Anwendungsfällen vorkommen. Dies macht es umso schwerer, diese Operationen als bösartige Aktivitäten, die darauf abzielen, Dateien auf dem Computer zu verschlüsseln, zu erkennen.

Die Möglichkeiten mit einem bereits infizierten System umzugehen sind sehr limitiert. Polizei und Behörden weltweit empfehlen, keine Lösegeldzahlungen zu leisten, da Berichten von Opfern zufolge auch nach einer geleisteten Zahlung der Enschlüsselungscode sehr oft nicht geliefert wurde. Vielmehr ist die Empfehlung die Malware umgehend zu entfernen - im Falle von Enterprise-Systemen ist ein Re-Image ratsam um eine Verschleppung der Malware auf andere Rechner im Netzwerk zu verhindern. Die Inhalte der verschlüsselten Dateien gehen dabei aber dennoch verloren. Auch wenn es einige wenige Software-Tools gibt die sich per „Brute-Force“-Technik an der Entschlüsselung der Dateien versuchen, ist dies je nach verwendetem Algorithmus leider nahezu aussichtslos.

Zu guter Letzt aber eine positive Nachricht: Eine fortschrittliche Endpoint-Protection-Lösung, die nicht Signatur-basiert arbeitet, sondern die Anwendung von maliziöse Aktivitäten und Exploit-Techniken – z.B. die genannten Verschlüsselungstechniken – erkennt und verhindert, ist in der Lage, die Ransomware abzuwehren und Schaden zu vermeiden. Eines ist klar: solange die kriminellen Akteure auf nicht ausreichend geschützte Endpunktgeräte treffen und mit Ransomware – egal in welcher Form – erfolgreich sind, werden sie weiter machen. Das für die generelle IT-Sicherheits-Thematik typische Katz-und-Maus-Spiel geht auch bei dieser Art von Malware-Aktivitäten weiter. Aber: Die Katze holt auf.

* Thorsten Henning ist Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43196691)