Satana: eine höllische Ransomware

Eine neue Ransomware mit dem Namen Satana verschlüsselt Ihre Dateien und blockiert den Start des Betriebssystems.

Dieses Jahr kamen die Meldungen über Ransomware-Angriffe wie Telegramme von einem Schlachtfeld – ununterbrochen. Jeden Tag finden Forscher neue Arten von Ransomware und entdecken neue und unkonventionelle Wege, mit denen Kriminelle Geld direkt von Verbrauchern und Unternehmen stehlen. Und sobald Sicherheitsexperten einen Fortschritt machen, haben die Betrüger bereits neue Ransomware-Ansätze und Techniken entwickelt.

Kürzlich wurde ein weiteres anspruchsvolles Beispiel von Ransomware entdeckt. Diese Malware wurde Satana („Teufel“) getauft, was auf einen russischsprachigen Ursprung hindeuten könnte. Der Trojaner führt zwei Aktionen aus: Er verschlüsselt Dateien und beschädigt den Master Boot Record (MBR) von Windows, und blockiert dadurch den Windows-Bootvorgang.

Wir haben bereits über Trojaner gesprochen, die den MBR manipulieren — die berüchtigte Ransomware Petya ist eine solche Malware. In gewisser Hinsicht weist das Vorgehen von Satana Ähnlichkeiten auf, da sie zum Beispiel ihren eigenen Quelltext in den MBR einfügt. Während Petya jedoch die Master File Table (MFT) verschlüsselt, verschlüsselt Satana den MBR. Um PC-Dateien zu verschlüsseln, verwendete Petya zur Unterstützung einen weiteren Trojaner mit dem Namen Mischa; Satana verwaltet beide Aufgaben selbst.

Für diejenigen, die mit dem Innenleben von Computern nicht vertraut sind, wollen wir ein bisschen Licht ins Dunkel bringen. Der MBR ist Teil der Festplatte. Er beinhaltet Informationen über das Dateisystem, das von verschiedenen Festplattenpartitionen verwendet wird, sowie auf welcher Partition das Betriebssystem gespeichert ist.

Wenn der MBR beschädigt — oder verschlüsselt — wird, verliert der Computer den Zugriff auf eine wichtige Information: darauf, welche Partition das Betriebssystem enthält. Wenn der Computer das Betriebssystem nicht finden kann, kann er nicht gestartet werden. Die Kriminellen hinter Ransomware wie Satana machten sich dies zu Nutzen und verbesserten ihre Cryptolocker, indem sie sie um Fähigkeiten von Bootlockern erweiterten. Die Hacker tauschen den MBR aus, ersetzen ihn mit dem Quelltext der Lösegeldforderung und verschlüsseln und verschieben den MBR zu einer anderen Speicherstelle.

Die Ransomware verlangt über 0,5 Bitcoins (ungefähr 290 EUR), um den MBR zu entschlüsseln und den Code zur Entschüsselung der betroffenen Dateien bereitzustellen. Sobald das Lösegeld bezahlt wurde — so die Entwickler von Satana — wird der Zugriff auf das Betriebssystem wiederhergestellt und alles sieht wie zuvor aus. Zumindest ist es das, was sie behaupten.

Sobald sie sich einmal im System befindet, scannt Satana alle Laufwerke und Netzwerkinstanzen und sucht nach den folgenden Dateiformaten, die sie anschließend verschlüsselt: .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas und .asm. Außerdem fügt sie dem Dateinamen eine E-Mail-Adresse und drei Unterstriche hinzu (test.jpg wäre zum Beispiel Sarah_G@ausi.com___test.jpg).

Die E-Mail-Adressen sollen als Kontaktinformationen für die Opfer dienen, die an diese Adresse schreiben sollen, um Zahlungsanweisungen und dann den Entschlüsselungsschlüssel zu erhalten. Bisher haben Recherchen sechs E-Mail-Adressen ergeben, die in dieser Aktion verwendet werden.

Die gute Nachricht ist, dass es möglich ist, die Blockierung teilweise zu umgehen: Wer über die entsprechenden Kenntnisse verfügt, kann den MBR reparieren. Experten vom Blog „The Windows Club“ stellten eine detaillierte Anleitung zur Reparatur des MBR durch Verwendung der Wiederherstellungsoption des Betriebssystems in Windows bereit. Allerdings wurde dieses Feature für erfahrene Nutzer entworfen, die sicher im Umgang mit Befehlseingaben und dem bootrec.exe-Dienstprogramm sind; ein durchschnittlicher Nutzer hat für gewöhnlich Probleme, diese umständliche Methode direkt auszuführen.

Die schlechte Nachricht ist, dass, selbst wenn Windows erfolgreich entsperrt wurde, der andere Teil des Problems bestehen bleibt — die verschlüsselten Dateien. Hierfür gibt es bisher noch keine Lösung.

Zu diesem Zeitpunkt scheint es, dass Satana ihre Karriere gerade erst begonnen hat: Sie ist nicht weit verbreitet, und Recherchen haben einige Schwachsellen in ihrem Quelltext ergeben. Jedoch ist die Möglichkeit sehr groß, dass sie sich mit der Zeit verbessern wird und zu einer ernstzunehmenden Bedrohung werden kann.

Unser vorrangiger Rat an Nutzer ist zurzeit stets aufmerksam zu sein. Unsere einfachen Tipps werden Ihnen helfen, das Risiko einer Infizierung einzugrenzen und Sie so weit wie möglich vor Problemen zu schützen:

1. Machen Sie regelmäßig Sicherheitskopien Ihrer Daten
Dies ist Ihre Absicherung. Im Fall eines erfolgreichen Ransomware-Angriffs können Sie so einfach das Betriebssystem erneut installieren und Dateien von der Sicherungskopie wiederherstellen.

2. Besuchen Sie keine verdächtigen Webseiten und öffnen Sie keine verdächtigen E-Mail-Anhänge, selbst wenn Sie den Link oder die E-Mail von jemandem erhalten, den Sie kennen. Seien Sie sehr vorsichtig: Es ist sehr wenig über die Ausbreitungstechniken von Satana bekannt.

3. Stellen Sie sicher, dass Sie eine verlässliche Antivirenlösung verwenden. Kaspersky Internet Security erkennt Satana und führt die Ransomware als „Trojan-Ransom.Win32.Satan“ auf; sie hält Satana von der Verschlüsselung von Dateien oder der Blockierung des Systems ab.

4. Und folgen Sie natürlich unseren News!
Wir versuchen, Sie immer so schnell wie möglich über die neuesten Bedrohungen zu informieren, damit Sie Malware nicht unvorbereitet trifft.

Tipps