Fragen Sie den Experten: Jornt van der Wiel spricht über Ransomware

20 Jul 2016

Jornt van der Wiel ist Mitglied unseres Expertenteams GReAT — Global Research and Analysis Team — und unser Top-Experte für Ransomware und Verschlüsselung. Er lebt in den Niederlanden und arbeit seit mehr als 2 Jahren bei Kaspersky Lab.

43 - ask-expert01

Wie baten unseren Lesern an, Jornt Fragen zu stellen, die sie bezüglich Ransomware und Verschlüsselung haben könnten — und die Resonanz war überwältigend. Tatsächlich gab es zu viele Fragen, um sie alle in einem Blog zu veröffentlichen, also haben wir sie in zwei Gruppen unterteilt. In diesem Post antwortet Jornt bezüglich Ransomware, und im nächsten Post wird er dann auf Fragen zum Thema „Verschlüsselung“ antworten.

Denken Sie, dass Ransomware uns zukünftig, im Vergleich zu anderen Malware-Kategorien, wie klassischen Viren und Trojanern, immer mehr beschäftigen wird?

Ja, ganz bestimmt. Wir beobachten einen Anstieg bezüglich neuer, entdeckter Malware-Familien und von Infizierungsversuchen gegen Nutzer. Die Bedrohung wird jeden Tag größer. Das ist der Fall, da Ransomware recht rentable ist. Ein Krimineller infiziert jemanden, das Opfer zahlt und sobald die Zahlung eingegangen ist, erhält das Opfer die Schlüssel und kann somit die Dateien wieder entschlüsseln. Es wird keine zusätzliche Kommunikation oder Interaktion benötigt. Ganz im Gegenteil zu Banking-Malware z. B., bei der Kriminelle mit ihren Opfern über einen Chat sprechen müssen.

Wie kann ich eine Infizierung mit Ransomware verhindern?

  • Installieren Sie stets die neusten Updates Ihrer Software;
  • Klicken Sie nicht auf Links oder Anhänge in verdächtigen E-Mails;
  • Aktivieren Sie Dateierweiterungen in Windows (damit Sie erkennen, ob es sich wirklich um den Dateinamen invoice.pdf handelt oder ob sich dahinter ein invoice.pdf.exe verbirgt);
  • Aktualisieren und konfigurieren Sie Ihre Antiviruslösung mit Heuristiken;
  • Und erstellen Sie Sicherheitskopien für den Worst Case. Speichern Sie sie offline oder speichern Sie Ihre Dateien in der Cloud mit uneingeschränkter Versionskontrolle (damit Sie, falls Ihre Dateien auf Ihrem lokalen Laufwerk, das dann mit der Cloud synchronisiert ist, verschlüsselt werden, noch immer auf die letzte unverschlüsselte Version zurückgreifen können).

Bin ich als Einzelperson anfälliger für Ransomware als ein Unternehmen?

Ransomware hat keine Zielgruppe. Manchmal sind bestimmte Unternehmen das Ziel, aber oftmals beobachten wir, dass massiver infizierter Spam jeden trifft. Andererseits sind Firmen oft nicht dazu bereit, das Lösegeld zu zahlen; sie erstellen für gewöhnlich Sicherheitskopien. Kleinere Unternehmen zahlen normalerweise eher, da sie ein Backup möglicherweise mehr kostet als das Lösegeld beträgt.

Wann ist es möglich, Dateien, die mit Ransomware verschlüsselt wurden, zu entschlüsseln?

Dies ist in den folgenden Fällen möglich:

  • Die Entwickler der Malware begehen einen Fehler in der Implementierung, wodurch die Verschlüsselung aufgelöst werden kann. Das traf auf die Ransomware Petya und CryptXXX zu. Leider kann ich Ihnen keine Liste mit diesen Fehlern anbieten — das würde ihnen helfen, diese Fehler nicht zu wiederholen. Generell ist es nicht so einfach, richtig zu entschlüsseln. Wenn Sie mehr über Entschlüsselung und Fehler, die begangen werden können, erfahren möchten, rate ich Ihnen, nach den „Matasano-Crypto-Challenges“ zu suchen.
  • Die Malware-Entwickler zeigen Reue und veröffentlichen die Schlüssel oder einen „Hauptschlüssel“, wie im Fall TeslaCrypt.
  • Strafverfolgungsbehörden beschlagnahmen einen Server mit Schlüsseln und teilen diese. Letztes Jahr erstellten wir mithilfe von Schlüsseln, die von der niederländischen Polizei entdeckt wurden, ein Entschlüsselungstool für CoinVault-Opfer.

Manchmal funktioniert es auch, wenn das Lösegeld gezahlt wird, aber dies ist keine Garantie dafür, dass Ihre Dateien entschlüsselt werden. Außerdem unterstützen Sie durch eine Lösegeldzahlung das Geschäftsmodell der Kriminellen und sind so teilweise dafür verantwortlich, dass immer mehr Nutzer von Ransomware infiziert werden.

In der Anleitung zur Behandlung von CryptXXX heißt es, dass man neben den verschlüsselten Dateien auch die nicht-verschlüsselten Dateien benötigt. Welchen Zweck hat dann Ihre Software? Hätte ich die nicht-verschlüsselten Dateien, bräuchte ich Ihr Tool nicht

Das ist eine sehr gute Frage, und danke dafür, dass Sie nachfragen. Das heißt, dass wir zukünftig eindeutiger sein müssen. Diese Ransomware verschlüsselt alle Ihre Dateien mit demselben Schlüssel. Also, wurden z. B. 1.000 Ihrer Dateien verschlüsselt, und Sie haben nur eine Originaldatei irgendwo gespeichert — diese Datei ist z. B. ein Foto, dass Sie jemanden per E-Mail geschickt haben. Wenn Sie nur diese eine Datei in unser Entschlüsselungsprogramm eingeben, können alle anderen 999 Dateien ebenfalls entschlüsselt werden. Jedoch benötigen Sie diese Originaldatei.

Ist Malware zur Dateiverschlüsselung die einzige Art von Ransomware?

Nein, es gibt auch Ransomware, die Ihren Computer blockiert. Jedoch ist diese Sorte für gewöhnlich einfach zu umgehen oder zu entfernen, wodurch sie aktuell immer unüblicher wird. Weitere Informationen zu Blockierungs-Ransomware und dazu, wie Sie sich vor ihr schützen können, finden Sie in diesem Post in unserem Blog.

Aus dem, was ich in der Presse lese, schließe ich, dass die Behandlung von Ransomware wie ein Katz-und-Maus-Spiel ist. Sie finden eine Lösung und Ihre Gegenspieler versuchen, sie zu umgehen. Ist es wirklich so?

Nicht wirklich. Unsere System-Watcher-Komponente, die die Ausführung von Prozessen beobachtet, kann die meisten Angriffe neuer Ransomware feststellen — selbst die von noch unbekannter Ransomware. OK, es gibt wenige Beispiele, die nicht von unserem System Watcher beobachtet werden. Wir erstellen dann eine neue Verhaltenssignatur, die auch die neue Art von Angriff erfasst. Und noch einmal: das ist sehr unüblich.

Kriminelle fordern eine Zahlung in Bitcoins, die schwer nachzuverfolgen ist. Ist es dennoch möglich, Kriminelle aufzuspüren und sie zu fassen?

Eine Bitcoin-Überweisung zu verfolgen, ist nicht schwer; diese Abwicklungen werden in einer Block Chain aufgezeichnet. Das liegt in der Natur von Bitcoins — Sie können jede Transaktion verfolgen. Was Sie nicht wissen, ist, wer sich auf der anderen Seite der Transaktion befindet. Also können Strafverfolgungsbehörden den Bitcoin bis in die Geldbörse verfolgen, aber müssen noch immer herausfinden, wem die Geldbörse gehört.

Bitcoin-Mixer wurden eingeführt, um Verfolgungserfolge zu erschweren. Stellen Sie sich den Mixer wie eine Maschine vor, in die Sie viele Bitcoins werfen, und dann werden diese Bitcoins zwischen Besitzern sehr oft ausgetauscht, was die Nachverfolgung erschwert. Ich bin z. B. ein Opfer, das einen Bitcoin zahlen muss, und dann kommt der gleiche Bitcoin in einen Mixer. Der Bitcoin wird mit dem Bitcoin eines Anderen ausgetauscht. Also wissen wir am Ende nicht, welchen Bitcoin wir verfolgen müssen. Wie Sie erahnen können, geschieht dies sehr oft.

Zu diesem Thema wurden verschiedene Studien durchgeführt (Sie finden viele von ihnen in Google), und sie beweisen, dass die Verfolgung manchmal möglich ist. Zusammengefasst: Manchmal ist es möglich, die Transaktion bis zur Geldbörse zurückzuverfolgen, aber es ist nicht einfach — und selbst wenn die Geldbörse gefunden wird, muss der Bitcoin-Austausch unter Strafverfolgung stattfinden, um die Anmeldedaten des Geldbörsenbesitzers ermitteln zu können.

Wie viele Jahre dauerte es, CoinVault aufzudecken und seine Entwickler zu finden?

Die Geschichte von CoinVault begann, als Bart von Panda Security tweetete, dass er weitere CoinVault-Beispiele gefunden hatte. Es stellte sich heraus, dass es sich nicht um CoinVault handelte, aber sie hatten eine deutliche Verbindung. Wir entschieden uns, einen Blog-Post dazu zu schreiben, und erstellten eine Zeitleiste zur Entwicklung von CoinVault. Als 90% des Posts geschrieben waren, schickten wir ihn an die National High Tech Crime Unit (NHTCU)

Nachdem wir den Post beendet hatten, fanden wir zwei Hinweise, die uns zu zwei möglichen Verdächtigen führten. Natürlich teilten wir diese Informationen mit der NHTCU. Die Zeitspanne zwischen Barts Tweet und dieser Entdeckung betrug beinahe einen Monat, aber natürlich hatten wir nicht die ganze Zeit damit verbracht, an dem Blog-Post zu arbeiten — wir gingen auch Arbeit nach, die nicht mit CoinVault verbunden war. Nachdem der Post veröffentlicht worden war, dauerte es über ein halbes Jahr, bis die NHTCU einen ausführlichen Fall erstellte und schließlich die Kriminellen im September des vergangenen Jahres verhaften konnte.

Wie viel Geld machen Cyberkriminelle mit Ransomware?

Eine sehr gute Frage, aber sehr schwer zu beantworten. Wir können dies nur wissen, wenn es uns möglich ist, die Spur nachzuverfolgen, z. B. wenn alle Bitcoins in eine Geldbörse gehen. Oder wenn die Polizei einen Command-and-Control-Server beschlagnahmt. Aber damit Sie sich eine Vorstellung davon machen können: Nehmen wir an, dass Kriminelle 250.000 Nutzer infizieren können (dies ist wahrscheinlich eine genaue Schätzung, wenn es um große Aktionen geht). Und lassen Sie uns davon ausgehen, dass sie für die Entschlüsselung nur 180 EUR fordern (der tatsächliche Durchschnitt liegt bei ca. 365 EUR). Wenn nur 1% der Opfer zahlen würde, lägen die Einnahmen bei 450.000 EUR.

Ist es möglich, dass ein infizierter PC eines lokalen Netzwerks die Ransomware über das Netzwerk an andere Computer mit demselben Betriebssystem verbreitet? Kann eine Ransomware verschiedene Betriebssysteme infizieren?

Zum ersten Teil Ihrer Frage: Wenn die Ransomware Fähigkeiten eines Computerwurms besitzt, kann sie sich durch ein Netzwerk verbreiten. Zcryptor und SamSam sind z. B. zwei Ransomware-Familien, die diese Fähigkeiten aufweisen.

Zum zweiten Teil Ihrer Frage: Es ist einer Ransomware möglich, verschiedene Betriebssysteme zu infizieren, wenn sie Webserver als Ziel hat. So könnte Ransomware z. B. einen Server anvisieren, der ein ungeschütztes Content Management System in PHP ausführt. Die Ransomware könnte dann einen Windows-Computer infizieren, der einen Webserver mit PHP installiert hat. Und dann könnte sie andere Teile des Internets durchsuchen und nach anderen Computern suchen, die infiziert werden sollen. Der nächste Computer wird vielleicht mit Linux, jedoch mit einem PHP-Webserver ausgeführt. Zusammengefasst ist die Antwort: Ja, es gibt eine Multiplattform-Ransomware.

Als nächstes werden wir Jornts Antworten zum Thema „Verschlüsselung“ veröffentlichen. Bleiben Sie dran!