Die Ransomware GandCrab ist zurück und zeigt sich von ihrer romantischen Seite

8 Mrz 2019

„Wir haben Ihre Webcam gehijackt, Sie beim Pornoschauen gefilmt, Ihre Daten verschlüsselt und erwarten nun eine satte Lösegeldzahlung.“ Eventuell erinnern Sie sich daran, dass eine ähnliche Erpressungsmethode im vergangenen Jahr phänomenale Erfolge verzeichnen konnte. Nun, es scheint ganz so, als würden die Behauptungen, die Erpressungsmasche hinter der Ransomware würde langsam aber sicher erlöschen, nicht ganz der Wahrheit entsprechen.

Die Ransomware GandCrab ist zurück und aktiver denn je. Um ihren hart erarbeiteten Marktanteil nicht gleich wieder zu verlieren – wir sprechen hier von rund 40 % des gesamten Ransomware-Marktes – launchen ihre Entwickler kontinuierlich neue Versionen der Ransomware. Und auch die Angreifer, die sich GandCrab zunutze machen und verbreiten, halten sich konstant auch auf dem Laufenden und entscheiden sich für abwechslungsreiche, kreative und manchmal sogar romantische Taktiken, um ihre Opfer mit der Ransomware zu infizieren.

Ransomware für hoffnungslose Romantiker

Betreffzeilen, die mit schönen Liebeserklärungen daherkommen, mögen besonders ansprechend klingen, aber „Mein persönlicher Liebesbrief an Dich“, „Ich habe mich in Dich verliebt“ oder „Meine Gefühle für Dich“ kündigen eine mögliche Katastrophe an. Und zu besonderen Ereignissen wie zum Beispiel Valentinstag, Weihnachten, Neujahr, Geburtstagen oder sogar an traurigen Montagen auf der Arbeit, kommt vielen Nutzern eine solche Nachricht nicht einmal Spanisch vor. Doch wie jede andere E-Mail, sollten Sie sich auch hier ganz genau überlegen, ob Sie die Nachricht tatsächlich öffnen möchten.

Die gebräuchlichste Variante bösartiger E-Mails, die heutzutage die Runde machen, besteht aus einem romantischen Satz in der Betreffzeile, einem Herzsymbol im Textkörper und einer angehängten ZIP-Datei, die üblicherweise den Namen Love_You trägt, gefolgt von mehreren Ziffern. Wenn Sie die darin enthaltene JavaScript-Datei extrahieren und ausführen, laden Sie automatisch die Ransomware GandCrab herunter.

Dann erscheint eine nette Nachricht, die darauf hinweist, dass alle Daten auf Ihrem Computer verschlüsselt wurden und lediglich durch eine Lösegeldzahlung (höchstwahrscheinlich in Bitcoin) wieder entschlüsselt werden können. Wenn Sie zu den Personen gehören, die nicht besonders viel mit Kryptowährungen am Hut haben, stellen die Erpresser Ihnen freundlicherweise sogar ein Live-Chat-Fenster zur Verfügung, um Ihnen zu zeigen, wie Sie den erforderlichen Betrag kaufen und somit das Lösegeld zahlen können.

Ransomware für Unternehmen

Im Jahr 2017 wurde ein Patch veröffentlicht, der eine Schwachstelle in einem Tool zur Synchronisierung von Daten zwischen zwei Managementsystemen für IT-Unternehmen stopfte. Aber wie so oft haben natürlich nicht alle Betroffenen diesen Patch installiert; und wer hätte es gedacht, heute, im Jahr 2019, hat GandCrab diejenigen im Visier, die den Patch damals nicht installiert haben.

Die Sicherheitslücke ermöglicht es den Übeltätern, neue Administratorkonten zu erstellen und von dort aus Befehle zur Installation der Ransomware auf den verwalteten Endpunkten auszuführen. Mit anderen Worten: sie verschlüsseln die Geräte der anvisierten Unternehmenskunden und fordern dann eine Lösegeldzahlung.

Ransomware für verantwortungsvolle Panikmacher (wir alle)

Hand aufs Herz: Wie viele von uns würden einen E-Mail-Anhang mit einem aktualisierten Plan des Notausgangs unseres Bürogebäudes öffnen? Auch wenn diese E-Mail von einer völlig unbekannten Adresse stammt! Höchstwahrscheinlich wir alle. Denn im Endeffekt können sich nur die wenigsten an die Namen der Sicherheitsmanager erinnern.

Die Angreifer haben damit begonnen diese Gelegenheit auszunutzen und schicken bösartige E-Mails mit einer Word-Datei im Anhang. Diejenigen, die das Dokument öffnen, bekommen lediglich den Titel „Notausgangsplan“ und die Schaltfläche „Inhalt aktivieren“ zu Gesicht. Mit einem Klick auf den Button wird die Ransomware GandCrab auf Ihrem Rechner installiert.

Ransomware für Zahlungspflichtige

Bei einer anderen Taktik wird eine E-Mail verwendet, die wie eine Rechnung oder eine Zahlungsbestätigung aussieht, die auf WeTransfer zum Download bereitsteht. Der Link führt zu einer ZIP- oder manchmal RAR-Datei mit einem Kennwort zum Öffnen der Datei. Jetzt raten Sie mal, was sich in der Datei verbirgt?

Ransomware für Italiener

Eine weitere Variante macht sich eine angebliche Zahlungsmitteilung in Form einer angehängten Excel-Datei zunutze. Wenn Sie versuchen, die Datei zu öffnen, erscheint ein Dateidialog mit der Mitteilung, dass die Datei nicht online angezeigt werden kann, und animiert Sie dazu, auf Bearbeitung und Inhalt aktivieren zu klicken, um den Inhalt anzuzeigen.

Kurioserweise hat dieser Online-Angriff bislang ausschließlich Italiener im Visier. Mit einem Klick auf die erforderlichen Schaltflächen wird ein Skript aktiviert, das basierend auf der Verwaltungssprache des Betriebssystems überprüft, ob sich der anvisierte Rechner in Italien befindet.

Wenn dies nicht der Fall ist, hat sich die Sache so gut wie erledigt. Befindet sich der anvisierte Rechner jedoch in Italien, bekommen die Opfer den Humor der Angreifer in Form eines Super-Mario-Bildes zu spüren.

Dieses Bild von Mario enthält Schadcode, der Malware herunterlädt

Das Bild, das mit einem Klick heruntergeladen wird, enthält schädlichen PowerShell-Code und lädt Malware herunter. Moment sind sich Forscher noch nicht ganz einig darüber, um welche Malware es sich hierbei genau handelt: GandCrab, die Ihre Daten verschlüsselt, oder Ursnif, die Ihre Bank- und Kontodaten entwendet.

Sagen Sie der Ransomware den Kampf an

GandCrab wird von unzähligen Betrügern verbreitet – die Ransomware-as-a-Service wurde von einem Team Krimineller entwickelt, die die Malware anderen Übeltätern zur Verfügung stellen, die dann versuchen, so viele Rechner wie möglich zu verschlüsseln. Trotz der unterschiedlichen Infektionsmethoden können Sie sich mit folgenden Cybersicherheitstipps Sie vor den gierigen Krallen der Ransomware GandCrab schützen:

– Wenn Sie eine unerwartete E-Mail erhalten, sollten Sie zunächst sicherstellen, dass die Nachricht authentisch ist, bevor Sie den Anhang öffnen. Mit einem simplen Anruf beim Absender der Mail können Sie verheerende Folgeschäden vermeiden.

– Machen Sie regelmäßige Back-ups Ihrer wichtigsten Daten, damit diese im Notfall wiederhergestellt werden können.

– Verwenden Sie eine zuverlässige SSicherheits-Suite, damit Ransomware auf Ihrem Rechner keine Chance hat.

Das sollte ausreichen, um einer persönlichen Begegnung mit GandCrab aus dem Weg zu gehen. Sollten Sie der Ransomware bereits zum Opfer gefallen sein, können Sie den möglichen Schaden mit ein wenig Glück trotzdem minimieren:

– Möglicherweise können Sie Ihre Dateien völlig kostenlos wiederherstellen. Werfen Sie einen Blick auf das Entschlüsselungs-Tool auf der Website des Projekts No More Ransom. Einige Versionen der GandCrab-Ransomware weisen Fehler auf, die eine Entschlüsselung ermöglichen. Leider können nicht alle Versionen entschlüsselt werden.

– Verwenden Sie eine zuverlässige AV-Lösung, um die Ransomware von Ihrem Gerät zu entfernen, bevor Sie das Entschlüsselungs-Tool herunterladen. Andernfalls kann die Malware Ihre Dateien erneut verschlüsseln.