
Was ist Ransomware?
November 08, 2022
Die kurze Definition von Ransomware verbirgt sich im Namen, genau wie bei vielen anderen Viren. âLösegeldsoftwareâ ist ein Programm, das sich in Ihren Computer einschleust, Ihre Dateien verschlĂŒsselt und Sie dann auffordert, das Lösegeld zu zahlen, um Ihre Dateien zurĂŒckzubekommen. Einige Beispiele fĂŒr Ransomware können ihren Opfern drohen, dass sie Ihre Dateien löschen oder einige Ihrer sensiblen Daten veröffentlichen, wenn Sie das Lösegeld nicht zahlen. WĂ€hrend die erste Gefahr eine 100%ige LĂŒge ist, kann die zweite These real sein, da Ransomware oft mit Spyware oder Stealern verbreitet wird.
Verschiedene Ransomware-Beispiele verwenden unterschiedliche VerschlĂŒsselungsmethoden. In den meisten FĂ€llen werden die VerschlĂŒsselungsprinzipien AES-256 und RSA-1024 verwendet, aber manchmal können Sie die Standards mit RSA-2048 erfĂŒllen. Die Zahl am Ende bedeutet in erster Linie den Grad, den man mitbringen muss, um die Anzahl der möglichen SchlĂŒssel zu erhalten. Selbst bei AES-256 ist die Anzahl der SchlĂŒssel eine 78-stellige Zahl. Kannst du es brutal erzwingen? Vielleicht, wenn du 2 Millionen Jahre Zeit hast. Oder ein Quanten-PC mit viel besserer Leistung als alle derzeit existierenden. ~ Gridinsoft-Team
Ransomware generiert fĂŒr jedes Opfer einen eindeutigen Online-SchlĂŒssel. Dieser SchlĂŒssel wird auf dem von Cyberkriminellen verwalteten Server gespeichert. Wenn der Virus keine Verbindung zu diesem Server herstellen kann, verschlĂŒsselt er die Dateien mit dem Offline-SchlĂŒssel, der lokal auf dem verschlĂŒsselten Computer gespeichert ist. Die Anzahl der Offline-SchlĂŒssel ist begrenzt. Daher haben Sie einen gemeinsamen EntschlĂŒsselungsschlĂŒssel mit mehreren anderen Opfern.
Leider gibt es keine 100-prozentige Garantie, dass Sie Ihre Dateien zurĂŒckerhalten. Wenn Sie GlĂŒck haben und Ransomware den Offline-SchlĂŒssel verwendet, können Sie Ihre Daten viel schneller entschlĂŒsseln. Trotzdem dauert die Beschaffung der SchlĂŒssel ziemlich lang und Sie mĂŒssen möglicherweise mehrere Wochen warten. Die EntschlĂŒsselungs-App, die zur EntschlĂŒsselung von Dateien verwendet werden soll, erhĂ€lt das Update mit dem passenden SchlĂŒssel, sobald Analysten ihn finden.
Online-SchlĂŒssel sind viel schwieriger zu lösen. Da jeder dieser SchlĂŒssel einzigartig ist, können Sie monatelang warten. Ransomware-Distributoren werden wahrscheinlich erwischt und gezwungen, alle SchlĂŒssel aufzudecken, die sie auf den Servern haben. Ein weiterer Fall, in dem alle SchlĂŒssel fĂŒr die Ăffentlichkeit freigegeben werden, ist, wenn Ersteller von Ransomware beschlieĂen, ihre bösartigen AktivitĂ€ten einzustellen. Eine solche Situation gab es nur einmal â im Jahr 2018, als die GandCrab-Entwickler behaupteten, sie hĂ€tten 2 Milliarden Dollar verdient und ihre AktivitĂ€ten eingestellt.
Ransomware-Angriffsphasen
Die meisten Analysten definieren sechs Hauptphasen eines Ransomware-Angriffs. Sie können an einem einzigen Tag und innerhalb eines Monats auftreten. Die Reihenfolge sowie der Sinn dieser Schritte bleibt jedoch immer gleich.Kompromiss. Es wird manchmal auch als anfÀngliche Injektion bezeichnet. An diesem Punkt injizieren Angreifer die Malware in das Netzwerk (oder das GerÀt, wenn es sich um einen Angriff auf den einzelnen Benutzer handelt). Die Kompromittierung erfolgt normalerweise durch RDP-Verletzungen, E-Mail-Spamming oder die Verwendung nicht lizenzierter Software.
Infektion. In diesem Stadium nutzen Gauner die anfĂ€ngliche PrĂ€senz im Netzwerk, die sie erlangt haben, um die bösartige Payload einzuschleusen. Sie verwenden selten direkte Downloads â mit Sicherheitslösungen ist dies einfach zu erkennen und zu verhindern. Aus diesem Grund beruht das Herunterladen von Malware normalerweise auf der Ausnutzung von Fehlern in Windows- und Anwendungssoftware. Es kann jedoch sogar den direkten Download bevorzugen, wenn es auf das ungeschĂŒtzte Netzwerk oder einen einzelnen Benutzer trifft.
Eskalation. Alle Malware muss mit Administratorrechten ausgefĂŒhrt werden. Diese Eigenschaft ermöglicht es, die Malware-Gefahr zu verringern, indem das Konto mit Benutzerrechten verwendet wird. Aber auch in diesem Fall können Cyberkriminelle einen Weg finden. Die meisten Eskalationsstufen in Unternehmensnetzwerken erfolgen durch die Ausnutzung von SicherheitslĂŒcken â insbesondere solche, die Berechtigungen eskalieren.
Scannen. Dieser Schritt setzt voraus, dass die infizierten Computer gescannt werden, um alle Dateien zu erkennen, die Ransomware verschlĂŒsseln kann. Normalerweise nimmt Ransomware die sensibelsten Datenformate â solche, die zu MS Office-Dateien, Bildern und Musik gehören. Einige verhalten sich jedoch anders und verschlĂŒsseln alles, was sie erreichen, trotz der Dateien, die die FunktionalitĂ€t des Programms beeintrĂ€chtigen können.
VerschlĂŒsseln. Die VerschlĂŒsselung kann Minuten oder Stunden dauern, abhĂ€ngig von der Anzahl der Dateien auf den angegriffenen Computern und der QualitĂ€t der VerschlĂŒsselungssoftware. Die LockBit-Gruppe ist zum Beispiel dafĂŒr bekannt, die schnellste VerschlĂŒsselung zu haben â es dauert nur 5 Minuten, um 100 GB Daten zu verschlĂŒsseln.
Pay Day. Wenn die VerschlĂŒsselung beendet ist, benachrichtigt Malware das Opfer ĂŒber den Angriff. Es generiert normalerweise eine Lösegeldforderungsdatei auf dem Desktop und in jedem Ordner mit verschlĂŒsselten Dateien. Optional kann es auch das Desktop-Hintergrundbild in die Lösegeldforderung Ă€ndern. In den extremsten FĂ€llen (wie Petya-Ransomware) infiziert Malware den Bootloader und zeigt Ihnen das Lösegeldbanner, wenn Sie den Netzschalter drĂŒcken, anstatt das Betriebssystem zu laden.

Arten von Ransomware
Es gibt derzeit mehrere Arten von Ransomware. Alle Benutzer in der Cybersecurity-Community sind an die Art von Ransomware namens Crypto gewöhnt. Das ist genau der Virus, ĂŒber den Sie oben lesen können. Eine andere Art von Ransomware war schon viel frĂŒher aktiv, vor 2014. Sie hieĂ Locker-Ransomware. Wie Sie seinem Namen entnehmen können, sperrte dieser Virus Ihr System und forderte ein Lösegeld fĂŒr die Entsperrung des Desktops. Lassen Sie mich Ihnen den entscheidenden Unterschied zwischen Locker und Krypto-Ransomware zeigen:
Locker-Ransomware:
- Blockiert Ihren Desktop;
- Bedeckt den Desktop mit einem Lösegeldbanner;
- Ăndert die RegistrierungsschlĂŒssel, die fĂŒr die Arbeit von Windows Explorer verantwortlich sind;
- Unterbricht den Prozess explorer.exe;
- Blockiert die meisten Systemkombinationen (Ctrl+Alt+Del, Ctrl+Shift+Esc);
- Einige Versionen können das BIOS infizieren, wodurch es unmöglich wird, das System zu laden;
- Lassen sich manchmal nach kniffligen Manipulationen mit Systemfunktionen leicht entfernen;
- Sie bitten, ein Lösegeld als Aufladung der Handynummer sowie ĂŒber das Online-Zahlungssystem (PayPal, WebMoney, Qiwi usw.) zu zahlen;
Krypto-Ransomware:
- VerschlĂŒsselt die Dateien mit den gĂ€ngigsten Erweiterungen (.docx, .png, .jpeg, .gif, .xslx) und fĂŒgt ihnen ihre spezifische Erweiterung hinzu;
- Ăndert RegistrierungsschlĂŒssel, die fĂŒr das Starten von Netzwerk- und Startprogrammen verantwortlich sind;
- FĂŒgt jedem Ordner, in dem sich verschlĂŒsselte Dateien befinden, eine .txt-Datei mit den Lösegeldzahlungsanweisungen hinzu;
- Kann den Zugriff auf einige der Websites blockieren;
- Verhindert das Starten der Installationsdateien von Anti-Malware-Software;
- Können Ihre Hintergrundbilder gegen eine Lösegeldforderung Àndern;
- Lösegeldzahlungen werden nur noch mit KryptowÀhrungen, hauptsÀchlich Bitcoin, geleistet.
Neueste Ransomware-Angriffe
- ESXiArgs Ransomware Launches Massive Attacks on VMware ESXi Servers
- Ransomware Revenues Dropped by 40% because Victims Refuse to pay
- Open-Source Cryptor Cryptonite Became a Wiper due to a Bug
- FBI Says Cuba Ransomware 'Made' $60 Million by Attacking More Than 100 Organizations
- Ragnar Locker Ransomware Accidentally Attacked Belgian Police
- Security Experts Secretly Helped Zeppelin Ransomware Victims for Two Years
- Raspberry Robin Worm Operators Now Trade Access
- Microsoft Links Hacker Group Vice Society to Several Ransomware Campaigns
Liste der Ransomware-Familien, aktuell fĂŒr March, 2023:
- Avaddon-Ransomware zeigte ein kurzes, aber ziemlich aktives Leben: Ihre Entwickler beschlossen, ihre AktivitÀten im Mai 2021 einzustellen
- STOP Djvu Ransomware ist eine der am weitesten verbreiteten Ransomware-Familien. Die erste AktivitĂ€t dieses Virustyps wurde 2018 festgestellt, und seine AktivitĂ€t ist immer noch sehr hoch. Da diese Ransomware hauptsĂ€chlich auf einfache Benutzer abzielt, kann sie ein perfektes Beispiel fĂŒr eine âklassischeâ Ransomware sein
- Conti-Ransomware. Diese kriminelle Gruppierung greift Organisationen an, bei denen IT-AusfÀlle lebensbedrohliche Folgen haben können: KrankenhÀuser, Notrufzentralen, Rettungsdienste und Strafverfolgungsbehörden
- Matrix-Ransomware ist ein Oldtimer der Ransomware-Branche und erschien im Dezember 2016
- MedusaLocker Ransomware erschien im September 2019 und nahm einen sehr schnellen Start mit Angriffen auf Unternehmen aus der ganzen Welt li>
- Snatch-Ransomware nutzt den Trick mit dem abgesicherten Modus von Windows und dem privilegierten Dienst Die
- VoidCrypt-Ransomware verwendet mehrere Funktionen, die eher fĂŒr Unternehmensviren typisch sind
- Xorist-Ransomware verwendet einen Krypto-Konstruktor, der sich selbst so stark verÀndern kann, dass er schwer zu erkennen ist
- Dharma-Ransomware erschien um 2016, diese Ransomware-Familie zielt auf ein kleines Unternehmen ab. Fast 77Â % aller Dharma-FĂ€lle stehen im Zusammenhang mit der Ausnutzung von RDP-Schwachstellen
- Egregor-Ransomware hat groĂe Unternehmen auf der ganzen Welt angegriffen
- HiddenTear â UrsprĂŒnglich fĂŒr Bildungszwecke erstellt
- LockBit eine extrem schnelle Ransomware
- Magniber-Ransomware, die versucht, eine bekannte PrintNightmare-Schwachstelle auszunutzen, um Opfer zu kompromittieren
- Makop bleibt nicht bei einem einzigen VerschlĂŒsselungsalgorithmus
- Ryuk ist ein Oldtimer, der möglicherweise mit nordkoreanischen Hackern in Verbindung steht
Ist es eine Lösung, das Lösegeld zu zahlen?
Der GroĂteil der Einnahmen, die Ransomware-Entwickler erhalten, wird verwendet, um verschiedene illegale AktivitĂ€ten wie Terrorismus, andere Malware-Verteilungskampagnen, Drogenhandel usw. zu finanzieren. Da alle Lösegeldzahlungen in KryptowĂ€hrungen erfolgen, gibt es keine Möglichkeit, die Persönlichkeit von Gaunern aufzudecken. E-Mail-Adressen können jedoch manchmal auf Ransomware-HĂ€ndler im Nahen Osten hinweisen.
Wie Sie bereits feststellen können, ist die Zahlung des Lösegelds gleichbedeutend mit der Teilnahme an den illegalen AktivitĂ€ten. NatĂŒrlich wird Ihnen niemand die Terrorismusfinanzierung vorwerfen. Aber es ist nichts Angenehmes zu verstehen, dass das Geld, das man fĂŒr faire Arbeit bekommt, fĂŒr Terrorismus oder Drogen ausgegeben wird. Oft zahlen sogar groĂe Konzerne, die mit der Drohung erpresst werden, einige interne Daten zu veröffentlichen, keinen Cent an diese Gauner.
Wie kann ich meinen Computer vor Ransomware schĂŒtzen?
Normalerweise aktualisieren Anti-Malware-Programme ihre Erkennungsdatenbanken tĂ€glich. GridinSoft Anti-Malware kann Ihnen stĂŒndliche Updates anbieten, wodurch die Wahrscheinlichkeit verringert wird, dass eine völlig neue Ransomware-Probe Ihr System infiltriert. Der Einsatz von Anti-Malware-Software ist jedoch kein Allheilmittel. Es wĂ€re am besten, wenn Sie an allen riskanten Stellen vorsichtig sind. Das sind:
- E-Mail-Nachrichten. Die meisten Ransomware-FĂ€lle, unabhĂ€ngig von der Familie, stehen im Zusammenhang mit bösartigen E-Mail-Nachrichten. FrĂŒher vertrauten die Leute allen per E-Mail gesendeten Nachrichten und glaubten nicht, dass sich in der angehĂ€ngten Datei etwas Bösartiges befinden könnte. In der Zwischenzeit nutzen Cyber-Einbrecher diese Schwachstelle und ködern Menschen, Makros in Microsoft Office-Dateien zu aktivieren. Makros sind eine spezielle Anwendung, die es ermöglicht, die Interaktion mit dem Dokument zu verbessern. Sie können alles in Visual Basic konstruieren und es dem Dokument als Makros hinzufĂŒgen. Gauner fĂŒgen ohne weiteres Nachdenken Ransomware-Code hinzu.
- Dubiose Dienstprogramme und nicht vertrauenswĂŒrdige Programme. Beim Surfen im Internet werden Ihnen möglicherweise verschiedene RatschlĂ€ge angezeigt. Online-Foren, soziale Netzwerke und Seeding-Netzwerke â diese Orte sind als Quellen fĂŒr verschiedene spezifische Tools bekannt. Und an solcher Software ist nichts Schlechtes - manchmal brauchen Menschen die Funktionen, die fĂŒr die Unternehmensproduktion nicht gefordert (oder akzeptiert) werden. Solche Tools sind sogenannte Keygens fĂŒr verschiedene Apps, LizenzschlĂŒssel-Aktivatoren (KMS Activator ist einer der bekanntesten) und Dienstprogramme zum Anpassen von Systemelementen. Die meisten Anti-Malware-Engines erkennen diese Anwendungen als bösartig, sodass Sie wahrscheinlich das Antivirenprogramm deaktivieren oder die App zur Whitelist hinzufĂŒgen werden. In der Zwischenzeit kann dieses Dienstprogramm sowohl frei als auch mit Trojanern oder Ransomware infiziert sein.
Eine Zeitleiste der gröĂten Ransomware-Angriffe:
- TYOS Ransomware (.tyos File Extension)
- TYPO Ransomware (.typo File Extension)
- TYWD Ransomware (.tywd File Extension)
- TYCX Ransomware (.tycx File Extension)
- DARJ Ransomware (.darj File Extension)
- DAPO Ransomware (.dapo File Extension)
- DAZX Ransomware (.dazx File Extension)
- QARJ Ransomware (.qarj File Extension)
- QAPO Ransomware (.qapo File Extension)
- QAZX Ransomware (.qazx File Extension)
- CRAA Ransomware (.craa File Extension)