![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/07\/06134050\/ded-cryptor-screen-ru.jpg\")
<\/p>\nK\u00fcrzlich wurden englisch- und russischsprachige Computernutzer von einem neuen Ransomware-Trojaner mit dem Namen Ded Cryptor angegriffen. Er ist gierig und verlangt sage und schreibe 2 Bitcoins (circa 1.200 EUR) als L\u00f6segeld. Leider ist keine Entschl\u00fcsselungsl\u00f6sung erh\u00e4ltlich, um die Dateien, die von Ded Cryptor blockiert werden, wiederherzustellen.<\/p>\n
Wenn ein Computer mit Ded Cryptor infiziert wird, \u00e4ndert die Malware den Hintergrundbildschirm des Systems und zeigt einen teuflisch aussehenden Weihnachtsmann. Ein furchteinfl\u00f6\u00dfendes Bild und eine L\u00f6segeldforderung \u2014 h\u00f6rt sich wie jede andere Ransomware an, nicht wahr? Aber die Entstehungsgeschichte von Ded Cryptor ist wirklich interessant, fast wie ein Thriller, mit Guten und B\u00f6sen, die unerbittlich k\u00e4mpfen, Fehler begehen und mit den Folgen konfrontiert werden.<\/p>\n
<\/p>\n
Es began, als Utku Sen \u2014 ein t\u00fcrkischer Sicherheitsexperte \u2014 eine Ransomware erstellte und den Quelltext online ver\u00f6ffentlichte<\/a>. Jeder konnte ihn von GitHub herunterladen, einer offenen und kostenlosen Webressource, die von Entwicklern dazu verwendet wird, in Projekten zu kollaborieren (der Quelltext wurde sp\u00e4ter entfernt; Sie werden gleich sehen, warum).<\/p>\n Es war eine recht revolution\u00e4re Idee, einen Quelltext frei zug\u00e4nglich f\u00fcr Kriminelle anzubieten, die ihn zweifellos dazu verwenden w\u00fcrden, um ihre eigenen Verschl\u00fcsseler zu erstellen (was in der Tat geschah). Jedoch war der White-Hat-Hacker Sen davon \u00fcberzeugt, dass jeder Cybersicherheitsexperte verstehen m\u00fcsse, wie Cyberkriminelle denken \u2013 und wie sie codieren. Er glaubte, dass sein ungew\u00f6hnlicher Ansatz \u201eden Guten\u201c dabei helfen w\u00fcrde, \u201edie B\u00f6sen\u201c effizient zu bek\u00e4mpfen.<\/p>\n Ein fr\u00fcheres Projekt \u2014 das Ransomware-Projekt Hidden Tear \u2014 war ebenfalls Teil des Experiments von Sen. Von Anfang an war Sens Arbeit f\u00fcr Erziehungs- und Forschungszwecke gedacht. Mit der Zeit entwickelte er eine neue Art von Ransomware, die offline ausgef\u00fchrt werden konnte<\/a>. Sp\u00e4ter entstand EDA2 \u2014 ein leistungsst\u00e4rkeres Modell.<\/p>\n EDA2 wies eine bessere asymmetrische Verschl\u00fcsselung auf als Hidden Tear. Es konnte auch mit einem vollwertigen Command-and-Control-Server kommunizieren und verschl\u00fcsselte den dahin \u00fcbertragenen Schl\u00fcssel. Dar\u00fcber hinaus zeigte es seinem Opfer ein furchteinfl\u00f6\u00dfendes Bild an.<\/p>\n Der Quelltext von EDA2 wurde auch auf GitHub ver\u00f6ffentlicht, was Utku Sen viel Aufmerksamkeit und Kritik einbrachte \u2014 und nicht ohne Grund. Mit dem frei zug\u00e4nglichen Quelltext konnten selbst M\u00f6chtegern-Cyberkriminelle, die nicht einmal wissen, wie man richtig codiert, Sens Open-Source-Ransomware verwenden, um Personen zu bestehlen. Hatte er das nicht verstanden?<\/p>\n Wie ein p\u00e4dagogisches Open-Source-Projekt zur gef\u00e4hrlichen Ded-Cryptor-#Ransomware wurde<\/p>Tweet<\/a><\/blockquote>\n Das hatte er sehr wohl: Sen hatte Hintert\u00fcren in seine Ransomware eingebaut, durch die er Entschl\u00fcsselungsschl\u00fcssel abrufen konnte. Das hei\u00dft, dass er, wenn er feststellte, dass seine Ransomware f\u00fcr kriminelle Zwecke missbraucht wurde, die URL des Command-and-Control-Servers erhalten konnte und ihn an die Opfer weiterleiten konnte. Jedoch gab es ein Problem. Um ihre Dateien zu entschl\u00fcsseln, mussten die Opfer den White-Hat-Hacker kennen und ihn nach dem Schl\u00fcssel fragen. Die \u00fcberwiegende Mehrheit der Opfer hatte jedoch niemals von Utku Sen geh\u00f6rt.<\/p>\n Nat\u00fcrlich lie\u00dfen Verschl\u00fcsseler von Dritten, die mit den Quelltexten von Hidden Tear und EDA2 erstellt wurden, nicht lange auf sich warten. Sen setzte den ersten mehr oder weniger erfolgreich au\u00dfer Gefecht: Er ver\u00f6ffentlichte den Schl\u00fcssel und wartete darauf, dass die Opfer ihn fanden. Aber so einfach war es mit dem zweiten Verschl\u00fcsseler nicht.<\/p>\n Magic, eine Ransomware, die auf EDA2 basierte, sah wie das Original aus und schien nicht weiter interessant zu sein. Als Sen dar\u00fcber informiert wurde, versuchte er, den Entschl\u00fcsselungsschl\u00fcssel zu gewinnen, wie es ihm zuvor (\u00fcber die Hintert\u00fcr) gelungen war \u2014 aber es war unm\u00f6glich. Die Cyberkriminellen, die Magic verwendeten, hatten f\u00fcr ihren Command-and-Control-Server einen freien Host ausgew\u00e4hlt. Als beim Hostinganbieter Beschwerden \u00fcber die kriminellen Aktivit\u00e4ten eingingen, wurden einfach die Konten und Dateien der Kriminellen geschlossen. Jegliche M\u00f6glichkeit, die Verschl\u00fcsselungsschl\u00fcssel zu erhalten, verschwand mit den Daten.<\/p>\n Die Geschichte endet hier jedoch nicht. Die Entwickler von Magic setzten sich mit<\/a> Utku Sen in Kontakt und ihre Unterhaltung wurde zu einer langen \u00f6ffentlichen Diskussion. Sie boten an, den Entschl\u00fcsselungsschl\u00fcssel zu ver\u00f6ffentlichen, wenn Sen dazu bereit w\u00e4re, den EDA2-Quellcode von der \u00f6ffentlichen Domain zu entfernen und 3 Bitcoins an die Kriminellen zu zahlen. Bald entschieden sich jedoch beide Parteien dazu, ein L\u00f6segeld aus der Verhandlung auszuschlie\u00dfen.<\/p>\n Die Verhandlungen stellten sich als recht interessant heraus: Leser lernten \u00fcber die politische Motivation der Hacker \u2014 und dass sie beinahe den Schl\u00fcssel ver\u00f6ffentlichten, als sie von einem Mann erfuhren, der aufgrund von Magic alle Fotos seines neugeborenen Sohns verlor.<\/p>\n Letztendlich entfernte<\/a> Sen die Quelltexte EDA2 und Hidden Tear von GitHub, aber es war zu sp\u00e4t; viele Kriminelle hatten ihn bereits heruntergeladen. Am 02. Februar 2016 erw\u00e4hnte Kaspersky-Lab-Experte Jornt van der Wiel in einem Artikel auf SecureList<\/a>, dass es 24 Verschl\u00fcsseler gibt, die auf Hidden Tear und EDA2 basieren und sich in freiem Umlauf befinden. Seitdem ist die Anzahl weiter angestiegen.<\/p>\n Ded Cryptor ist einer dieser Nachkommen. Er verwendet EDA2-Quelltext, aber dessen Command-and-Control-Server ist f\u00fcr h\u00f6here Sicherheit und Anonymit\u00e4t in Tor gehostet. Die Ransomware kommuniziert mit dem Server \u00fcber den tor2web<\/a>-Service, mit dem Programme Tor ohne einen Tor-Browser nutzen k\u00f6nnen.<\/p>\n In gewisser Hinsicht erinnert Ded Cryptor, der aus mehreren auf GitHub ver\u00f6ffentlichten offenen Codefragmenten erstellt wurde, an Frankensteins Monster. Die Erfinder entliehen Quelltext f\u00fcr den Proxy-Server von einem anderen GitHub-Entwickler; und der Code zum senden von Anfragen war urspr\u00fcnglich von einem dritten Entwickler geschrieben worden. Ein ungew\u00f6hnlicher Aspekt dieser Ransomware ist, dass sie keine direkten Anfragen an den Server schickt. Stattdessen richtet sie einen Proxyserver auf dem infizierten PC ein und verwendet diesen.<\/p>\n Soweit bekannt ist, sind die Entwickler von Ded Cryptor russischsprachig. Zum einen ist die L\u00f6segeldforderung nur auf Russisch und Englisch geschrieben. Zum anderen analysierte der Kaspersky-Lab-Senior-Malwareanalyst Fedor Sinitsyn den Ransomware-Quelltext und fand den Dateipfad\u00a0C:UserssergeyDesktop\u0434\u043e\u0434\u0435\u043b\u0430\u0442\u044c<\/strong>eda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (\u00dcbrigens wurde die zuvor erw\u00e4hnte Magic-Ransomware ebenfalls von russischsprachigen Kriminellen entwickelt.)<\/p>\n Leider ist wenig dar\u00fcber bekannt, wie sich DedCryptor ausbreitet. Laut dem Kaspersky Security Network<\/a> ist die auf EDA2 basierte Ransomware zumeist in Russland aktiv. Danach kommen China, Deutschland, Vietnam und Indien.<\/p>\n Leider gibt es keinen verf\u00fcgbaren Weg, um von Ded Cryptor betroffene Dateien zu entschl\u00fcsseln. Opfer k\u00f6nnen versuchen, die Daten von Schattenkopien wiederherzustellen<\/a>, die vom Betriebssystem erstellt wurden. Jedoch ist der beste Schutz, vorausschauend zu handeln \u2014 es ist einfacher, Infizierungen vorzubeugen, als mit den Konsequenzen fertig zu werden.<\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/07\/06134050\/eda2-screenshot.jpg\")
<\/p>\nSie haben die Ransomware entwickelt, also zahlen Sie auch f\u00fcr den Schaden!<\/strong><\/h3>\n
Wie sich Ded Cryptor entwickelte<\/h2>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/07\/06134049\/tear-geagraphy.jpg\")
<\/p>\n