Das erste Ransomware-Virus der Welt, wie es war
 Das erste Ransomware-Virus der Welt, wie es war |
Das erste Ransomware-Virus der Welt, wie es war
Funktioniert der 1980 erstellte Ransomware-Virus auch heute noch erfolgreich?
Das früheste Beispiel für Ransomware ist der AIDS-Trojaner (auch bekannt als PC Cyborg), der von einem bestimmten Dr. Joseph Popp geschrieben wurde. 1989 schrieb er ein Programm, das die Namen auf der Festplatte des Benutzers verschlüsselte und unter dem Vorwand einer «abgelaufenen Lizenz» eine Zahlung von 189 US-Dollar an eine bestimmte PC Cyborg Corporation forderte. Für die Verschlüsselung wurde jedoch symmetrische Kryptographie verwendet, und sobald Experten den bösartigen Code und die verschlüsselten Tabellen analysieren konnten, war es sehr einfach, den Prozess umzukehren (und gleichzeitig den Autor zu berechnen). Heute verwenden Ransomware-Trojaner eine asymmetrische Verschlüsselung - die Fehler von Popp wiederholen sich nicht.
Es verschlüsselt Daten oder sperrt das gesamte System; und erfordert in jedem Fall ein Lösegeld. Im Allgemeinen ist Ransomware in zwei Typen unterteilt – Blocker und Verschlüssler.
Verschlüssler sind Trojaner, die, wenn sie in ein System eindringen, alle Daten verschlüsseln, die für den Benutzer von Interesse sein könnten — natürlich ohne sein Wissen. Diese Daten können Fotos, Archive, Dokumente, Datenbanken usw. enthalten.
Blocker sind auch Trojaner, manchmal von anderen «Mitmenschen» abgeleitet. Zum Beispiel basiert der berühmte Reveton auf dem Code des ZeuS-Banking-Trojaners.
Solche Programme blockieren normalerweise den Zugriff auf das System vollständig und erfordern ein Lösegeld.
Geschrieben für viele Plattformen. Ransomware kam in der zweiten Hälfte der 2000er Jahre in Mode und wurde sofort zu einem Problem für viele Benutzer. Anfangs waren vor allem Windows-Benutzer Opfer. Im Laufe der Zeit hat sich die Ransomware jedoch auch auf andere Plattformen wie iOS, Mac OS X und Android ausgebreitet.
Bezahlen kann nutzlos sein. Wie bei »echten« Ransomware gibt es keine Garantie dafür, dass sie ihren Teil des »Deals" erfüllen. Selbst wenn das Opfer sich entscheidet zu zahlen, bedeutet das nicht, dass es sich wieder Zugang zu seinen Dateien verschaffen wird. Es ist am besten, hier mit allen Mitteln zu versuchen, eine Infektion zu verhindern.
Es breitet sich auf die gleiche Weise aus wie andere Schädlinge. Es gibt viele Methoden der Verbreitung von Ransomware, aber meistens wird es einfach zusammen mit Spam gesendet; oder es wird unabhängig voneinander nach dem Bild und der Ähnlichkeit von Internetwürmern verteilt. In der Regel ist es notwendig, den Benutzer zumindest zu unterstützen - einfach ausgedrückt, sollte er eine schädliche Datei öffnen. Daher werden alle möglichen ausgeführten Social-Engineering-Techniken verwendet - das Versenden von PDF-Dateien, Briefe mit der Überschrift «Schau dir diese nackte Berühmtheit an». Wie sich herausstellt, sind die Nutzer immer noch darauf gestoßen.
Nun, zum Beispiel wurde die ursprüngliche Version des verhassten Cryptolockers mit dem Gameover ZeuS-Botnet verbreitet, das in diesem Jahr während der berühmten «Operation Tovar» zerschlagen wurde. Es wurde auf die Infrastruktur des Botnets selbst ausgerichtet, aber während der Operation wurde auch eine Datenbank mit Verschlüsselungsschlüsseln gefunden, die Cryptolocker verwendete. Danach wurde ein Online-Dienst eingerichtet, über den die Betroffenen den Schlüssel abrufen und ihre Daten entschlüsseln konnten. Frei, natürlich.
Zeigt gefälschte Nachrichten angeblich von Strafverfolgungsagenturen an. Die übliche Art, Benutzer einzuschüchtern, besteht darin, ihm angeblich von der Strafverfolgung gesendete Nachrichten zu zeigen: Dem Benutzer wird vorgeworfen, kriminelle Handlungen begangen zu haben und eine «Strafe» zu verlangen (aus irgendeinem Grund ist es normalerweise mit anonymen Zahlungssystemen, was eigentlich sehr verdächtig ist).
Es gab jedoch einen kuriosen Fall, in dem ein junger Mann, der angeblich vom FBI mit dem Vorwurf des Besitzes von Kinderpornografie informiert wurde, selbst bei der Polizei auftauchte. Er gab auf, weil die Bilder tatsächlich bei ihm aufbewahrt wurden. Daraufhin wurde er festgenommen. So hat ein Übel das andere ans Licht gebracht.
Die Schwierigkeit steigt. In den letzten Jahren haben Verschlüsselungsalgorithmen immer ausgefeiltere Verschlüsselungsalgorithmen verwendet. Mitte 2006 von vielen verhasst GPcode.AG verwendet 660-Bit-öffentliche RSA-Schlüssel. Nach zwei Jahren wuchs die Schlüssellänge auf 1024 Bit, was die Entschlüsselung bereits nur mit verteiltem Computing möglich machte – zu viel Leistung war erforderlich. Cryptolocker hat bereits 2048-Bit-Schlüssel verwendet.
Bringt Millionen. Ransomware bringt ihren Betreibern offenbar einen großen Jackpot, obwohl genaue Daten, sagen wir, knapp sind. Die Schätzungen der Anzahl der Benutzer, die sich entschieden haben, die erforderlichen Beträge zu zahlen, variieren ebenfalls erheblich.
Ende 2013 überwachte ZDNet vier Adressen von Bitcoin-Geldbörsen, die mit Cryptolocker-Betreibern verbunden waren, und stellte fest, dass in den letzten drei Monaten des Jahres 42 Tausend BTC durch sie gingen (was zu diesem Zeitpunkt ungefähr 27 Millionen Dollar betrug). Verschiedene Studien zur Zahl der Zahlenden geben unterschiedliche Ergebnisse: Zwischen 0,4% und 41% der Befragten gaben in verschiedenen Umfragen zu, das Lösegeld gezahlt zu haben. Nachdem das Gameover ZeuS-Botnet liquidiert wurde, stellte sich heraus, dass sich insgesamt etwa 1,3% seiner Opfer entschieden hatten, sich auszuzahlen. Nicht viel, aber es reicht aus, dass Angreifer weiterhin Malware dieser Art verwenden. Neue Sorten von Ransomware entstehen hin und wieder, einige, wie der Onion Trojan, erweisen sich als originell und sehr gefährlich
Sie nehmen es in großem Stil. In letzter Zeit verlangen Ransomware einen Betrag von 300-400 Dollar oder Euro, der über Prepaid-anonyme Schecks (MoneyPak, Ukash) oder über Bitcoin einzahlen wird. Wenn das Lösegeld nicht innerhalb einer bestimmten Frist eingeht, wird der öffentliche Schlüssel gelöscht und eine Entschlüsselung ist nicht möglich. Unternehmen müssen viel mehr zahlen als der angegebene Betrag.
Backup ist das wichtigste Mittel, um entgegenzuwirken. Es gibt aber noch ein Detail: Das Offline-Backup schützt vor den Auswirkungen von Verschlüsselern, insbesondere wenn es nicht in den Tresor gelangt ist. Doch selbst wenn er getroffen wird, ist es nicht so schlimm: Er braucht Rechenleistung, um zu arbeiten, und ohne sie ist er machtlos. Daher können die Daten aus der Reserve zu reparieren – und wenn Schlüßler unter Ihnen schlängelte sich, ein wenig Zeit, um es zu erkennen und zu beseitigen.