Erpresserische Malware Wie schnell Ransomware sich weiterentwickelt

Wenn Malware in erpresserischer Absicht Dateien und ganze Laufwerke verschlüsselt, spricht man von Ransomware. Für die Schadcode-Entwickler scheint das lukrativ zu sein, denn immer bessere Erpresser-Tools geraten in Umlauf. Insbesondere Android-Geräte werden vermehrt attackiert.

Anbieter zum Thema

SEPPmail - Deutschland GmbH

TXOne Networks

Die Ransomware Crypto ist eine der verbreitetsten und profitabelsten Malware-Arten. Der Schadcode hat alleine im vergangenen Jahr einen Schaden von mehr als 18 Millionen US-Dollar verursacht, heißt es in einer Auswertung des FBI-Internet Crime Complaint Center.

Vom Erfolg der erpresserischen Malware haben sich scheinbar viele Malware-Programmierer inspirieren lassen. Sie suchen immer neue Wege, um Geld zu erpressen. Dabei gehen sie vermehrt dazu über, Android-Geräte anzugreifen, denn diese sind besonders weit verbreitet. Die Antivirus-Experten von Bitdefender halten Android inzwischen für genauso profitabel wie den PC.

Aggressive und hartnäckige Malware kommt nicht von ungefähr. Die Entwicklung von Malware gleicht der Entwicklung von Software: Es sind viele Iterationen und Bug-Fixes notwendig, bis sie am Ende so stabil wie gewünscht läuft.

Übung macht den Meister

Es gibt Android-Malware, die sich innerhalb eines Jahres deutlich weiterentwickelt hat. Zunächst besaßen sie nur sehr eingeschränkte Funktionen und haben Benutzer analog zur PC-Ransomware durch die Anzeige eines Pop-up-Fensters erschreckt und zum unüberlegten Handeln verleitet.

Mittlerweile sieht es laut aktueller Untersuchungen von Bitdefender jedoch so aus, dass sich Malware-Programmierer an das Handy-Betriebssystem gewöhnt haben und die Details verstehen. Dadurch können sie jetzt eine OS-Applikation verschlüsseln, so dass diese für den durchschnittlichen Anwender persistent erscheint.

Aktuelle Ransomware ist in der Lage, die Tasten eines Gerätes vollständig zu blockieren, wodurch Anwender nur noch die Möglichkeit haben, das System herunterzufahren oder einen Neustart durchzuführen. Obwohl keine eigentliche Verschlüsselung lokaler Dateien stattfindet, sollen die angezeigten Meldungen Anwender dazu bringen, ein ‚Lösegeld’ zu bezahlen.

Die neueste Android-Ransomware lässt sich nur durch Booten der Geräte im Safe-Modus entfernen. Wird das Mobiltelefon normal gebootet, kommt der Schadcode immer wieder zurück. Das Booten im Safe-Modus verhindert das Laden von Drittanbieter-Anwendungen – lädt die Betriebssystem-Standardeinstellungen und Software des Mobiltelefons – so können Anwender die Malware wie jede andere App manuell deinstallieren.

Fazit

Android Ransomware hat sich schnell von einer kleinen Anwendung zu einer listigen und sehr gefährlichen Applikation gewandelt, die Geräte aktiv kontrolliert und das Entfernen der bösartigen Anwendung verhindert. Während sich Ransomware früher sehr schnell und einfach deinstallieren ließ, ist für das Entfernen der heutigen Versionen deutlich mehr technisches Know-how erforderlich.

Sollte ein Gerät infiziert sein, dann rät Bitdefender davon ab, das ‚Lösegeld’ zu bezahlen. Dies sei nur Grundlage für weitere kriminelle Aktivitäten. Leider ist es nicht immer ganz einfach, einen Schadcode zu entfernen. Insbesondere gilt das, wenn Dateien verschlüsselt wurden, denn diese sind mitunter nicht mehr zu retten.

Wichtige Dateien sollte man regelmäßig sichern und im Falle einer Malware-Infektion das Gerät zurücksetzen bzw. ein sauberes Backup einspielen. Eine mobile Sicherheitslösung kann helfen, unbeabsichtigte Downloads zu blockieren oder die Installation von Malware zu erkennen.

(ID:43488436)