Ransomware-Epidemie: Warum Sie vorsichtig sein sollten

Der Kaspersky-Experte Andrey Pozhogin beantwortet drängende Fragen zu den immer häufiger werdenden Ransomware-Angriffen und gibt Tipps, wie sich Anwender und Firmen schützen können.

Die Gefahr durch Ransomware wird immer größer. Aktuelle Beispiele weit verbreiteter Ransomware-Angriffe wie CoinVault und CryptoLocker zeigen, dass Cyberkriminelle immer häufiger solche Attacken durchführen. Doch laut einer aktuellen Kaspersky-Umfrage sehen nur 37 Prozent der befragten Firmen Ransomware als ernste Gefahr.

Der Kaspersky-Experte Andrey Pozhogin beantwortet drängende Fragen zu den immer häufiger werdenden Ransomware-Angriffen, erklärt, wie diese funktionieren, welche Konsequenzen es durch die Zahlung des Lösegelds gibt und zeigt, wie sich Anwender und Firmen schützen können.

1. Was ist Ransomware?

Ransomware ist eine Art Schadprogramm für die Erpressung von Anwendern. Es blockiert den Zugriff auf den Computer oder bestimmte Dateien, bis ein Lösegeld bezahlt wird. CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt und CTB-Locker sind aktuelle Exemplare von Ransomware.

https://twitter.com/kaspersky/status/620946927094484992/photo/1

2. Wer sind die Opfer von Ransomware?

Sowohl normale Anwender als auch große und kleine Firmen können zum Opfer von Ransomware werden. Cyberkriminelle machen da keinen Unterschied und wollen meist so viele Opfer wie möglich bekommen, um möglichst viel Geld zu machen.

3. Wie funktioniert ein Ransomware-Angriff?

Ein Ransomware-Angriff startet meist mit einer E-Mail mit einem Anhang – entweder einer ausführbaren Datei, einem Archiv oder einem Bild. Sobald dieser Anhang geöffnet wird, installiert sich das Schadprogramm auf dem Computer. Die Ransomware kann auch durch den Besuch einer schädlichen Webseite installiert werden. Besucht der Anwender so eine Seite, wird unbemerkt ein schädliches Script ausgeführt (manchmal, indem auf einen Link geklickt oder eine Datei herunter geladen wird) und der Schädling wird installiert.

Nach der Infizierung des Computers passiert nicht direkt etwas Sichtbares. Der Schädling operiert heimlich im Hintergrund, bis der Sperrmechanismus für das System oder einzelne Dateien gestartet wird. Cyberkriminelle werden bei der Verbreitung von Ransomware immer trickreicher und es stehen ihnen viele Werkzeuge und Techniken zur Verfügung, mit denen sie sicherstellen können, dass die Ransomware nicht so leicht vom Opfer entdeckt wird. Nachdem der Sperrmechanismus gestartet worden ist, erscheint ein Fenster, das den Anwender darüber informiert, dass seine Daten gesperrt wurden und nur nach Zahlung eines Lösegelds wieder freigegeben werden.

Wenn dieses Fenster erscheint, ist es bereits zu spät und die Daten können nicht mehr durch Sicherheitsmaßnahmen gerettet werden. Das verlangte Lösegeld variiert, kann in Einzelfällen aber auch im Bereich von mehreren Hundert oder sogar Tausenden Euro liegen.

4. Welche Beispiele für Ransomware-Angriffe gibt es?

Ein sehr gutes Beispiel ist TorLocker. Diese Ransomware startet die Infizierung, indem ihr Datenbereich mit einem 256-Bit-AES-Schlüssel entschlüsselt und der Schädling auf dem Computer gestartet wird. Der verwendete AES-Schlüssel ist ein Verschlüsselungsmechanismus, der kaum zu knacken ist. Die ersten vier Byte des Schlüssels werden als einzigartige Sample-ID verwendet und an das Ende der verschlüsselten Dateien hinzugefügt. Dann wird der Schädling in den Temp-Ordner kopiert und ein Registry-Key für den Autorun dieser Kopie wird erstellt. Anschließend führt das Schadprogramm folgende Schritte aus:

  • Such nach und Beenden wichtiger Systemprozesse
  • Löschen aller System-Wiederherstellungspunkte
  • Verschlüsselung der Office-Dokumente, Video- und Audiodateien, Bilder, Archive, Datenbanken, Sicherungskopien, Verschlüsselungs-Keys virtueller Systeme, Zertifikate und anderer Dateien auf allen Festplatten und Netzlaufwerken des Anwenders
  • Öffnen eines Fensters, in dem die Lösegeldforderung für die Entschlüsselung der Daten angezeigt wird

Beunruhigend an TorLocker ist seine besondere Art, Computer zu infizieren, die es selbst dann unmöglich macht, die verschlüsselten Dateien auf einem anderen System zu entschlüsseln, wenn der Schlüssel irgendwie gefunden werden kann. Die Cyberkriminellen geben den Opfern wenige Tage Zeit (meist 72 Stunden), um für den Schlüssel zu zahlen, anderenfalls sind die Daten verloren. Und natürlich werden verschiedene Zahlungsmöglichkeiten angeboten, inklusive Bitcoin und verschiedene Zahlungssysteme.

5. Was wollen Cyberkriminelle erreichen, wenn sie eine Ransomware-Attacke starten?

Der Hauptgrund ist die Erpressung der Opfer; aber zudem ist eine Ransomware-Attacke gegen ein Unternehmen auch meist schlecht, da der Schädling vor allem auf das geistige Eigentum der Firma abzielt.

6. Wie häufig sind mobile Ransomware-Angriffe?

Mobile Ransomware taucht immer häufiger auf. Allgemein wenden sich mobile Schadprogramme immer mehr der Monetarisierung zu, da immer mehr Cyberkriminelle Schädlinge entwickeln, die Geld stehlen oder erpressen können. Der Kaspersky Lab Q1 Threat Report zeigt, dass 23 Prozent der neu entdeckten Schadprogramme Geld stehlen oder erpressen. Zudem zeigen trojanische Ransomware-Schadprogramme die höchste Wachstumsrate aller mobilen Gefahren. Die Zahl neu entdeckter Exemplare im ersten Quartal lag bei 1.113 – eine Steigerung von 65 Prozent.

7. Was können Anwender tun, wenn ihr System bereits infiziert wurde?

In vielen Fällen kann man dann leider nur wenig machen, außer es wurden Sicherungskopien gemacht oder andere Sicherheitsmaßnahmen getroffen. Manchmal kann den Opfern aber geholfen werden, so dass diese ihre Daten wieder herstellen können, ohne das Lösegeld zu bezahlen. Kaspersky Lab arbeitet seit einiger Zeit mit dem National High Tech Crime Unit der niederländischen Polizei zusammen, um eine Datenbank von Entschlüsselungs-Keys und entsprechender Apps für die Opfer von CoinVault aufzubauen.

Ich muss zudem davor warnen, unbekannte Software aus dem Internet zu verwenden, die angeblich die verschlüsselten Daten reparieren kann. Im besten Fall sind diese Programm nutzlos, im schlimmsten Fall installieren sie weitere Schadprogramme.

8. Sollte man das Lösegeld bezahlen?

Viele Opfer zahlen bereitwillig das Lösegeld, um ihre Daten zurück zu bekommen. Laut einer Umfrage des Interdisciplinary Research Centre in Cyber Security der University of Kent, die im Februar 2014 durchgeführt wurde, haben über 40 Prozent der CryptoLocker-Opfer das Lösegeld bezahlt. CryptoLocker hat Zehntausende Computer infiziert und damit Millionen Dollar Gewinn für die Hintermänner erwirtschaftet. Ein Bericht von Dell SecureWorks zeigt, dass CryptoLocker den Kriminellen alle 100 Tage bis zu 30 Millionen Dollar einbringt.

Allerdings ist es unklug, das Lösegeld zu bezahlen. Vor allem, da dies keine Garantie ist, dass die gesperrten Daten entschlüsselt werden. Es gibt eine Menge Dinge, die schief laufen können, selbst wenn das Lösegeld bezahlt wurde – inklusive Fehler im Schadprogramm, durch die die Daten für immer verloren bleiben.

Zudem zeigt die Zahlung des Lösegelds den Cyberkriminellen, dass ihre Methode effektiv funktioniert. Dadurch werden sie weiter nach neuen Möglichkeiten suchen, Computer zu infizieren und immer mehr Opfer zu finden.

9. Wie kann man sich vor einer Ransomware-Attacke schützen? Reicht es, Sicherungskopien der Daten anzulegen?

Da es unmöglich ist, Daten zu entschlüsseln, die mit einem starken kryptografischen Schlüssel verschlüsselt wurden, ist es das Beste, eine zuverlässige Sicherheitslösung mit einem robusten Backup-Programm kombiniert einzusetzen.

Zudem sind manche Ransomware-Varianten schlau genug, auch jede Sicherungskopie, die sie finden, zu verschlüsseln, inklusive Backups auf Netzlaufwerken. Deshalb ist es so wichtig, „kalte“ Sicherungskopien anzulegen (nur mit Lese- und Schreibberechtigung, nicht mit Lösch- und vollem Kontrollzugriff), die von Ransomware nicht gelöscht werden können.

Kaspersky Lab hat mit dem System-Watcher-Modul eine Schutzmaßnahme entwickelt, die lokale, geschützte Kopien von Dateien anlegen und von Ransomware gemachte Änderungen rückgängig machen kann. Das ermöglicht eine automatisierte Reparatur und erspart Administratoren den Ärger, Dateien von Backups wieder herstellen zu müssen, inklusive der damit verbundenen Systemausfallzeiten. Wichtig ist, die Sicherheitslösung installiert zu haben und das Modul einzuschalten.

10. Welche Kaspersky-Lösungen schützen vor unbekannten Gefahren?

Unsere Lösungen enthalten alle das Kaspersky Security Network (KSN), das eine Reaktion auf verdächtige Dinge viel schneller als bei traditionellen Schutzmethoden ermöglicht. Beim KSN machen weltweit über 60 Millionen Anwender mit und das Cloud-System verarbeitet jede Sekunde über 600.000 Anfragen.

Kaspersky-Nutzer weltweit bieten Echtzeit-Informationen über entdeckte und entfernte Bedrohungen. Diese Daten werden zusammen mit anderen Forschungsergebnissen von unseren Sicherheits-Experten des Global Research and Analysis Teams analysiert. Deren Hauptaufgaben sind das Entdecken und die Analyse neuer Gefahren sowie die Vorhersage neuer Bedrohungstypen.

Doch auch wenn die Bedrohungen immer gefährlicher werden, stellen wir fest, dass immer noch zu viele Anwender – sowohl auf privater Ebene als auch auf Firmenseite – ihre Sicherheitsmaßnahmen vernachlässigen. Noch schlimmer ist, dass manche entweder veraltete oder unzuverlässige Sicherheitslösungen einsetzen, die nicht den benötigten Schutz bieten.

Enorm wichtig ist, den bestmöglichen Schutz einzusetzen. Alleine im letzten Jahr hat Kaspersky Lab an 93 unabhängigen Tests teilgenommen und von allen Teilnehmern die besten Ergebnisse erzielt: 66 Mal war Kaspersky Lab in den Top Drei zu finden und 51 Mal davon auf Platz Eins. IT-Sicherheit ist in der DNA von Kaspersky Lab verwurzelt und wir arbeiten laufend daran, unsere Technologien weiter zu verbessern, so dass unsere Kunden den besten Schutz genießen können.

Tipps