Ransomware: Beispiele & Trends in 2023

Ransomware ist Malware, die die Dateien auf dem PC des Opfers verschl√ľsselt und dann die Zahlung von L√∂segeld verlangt. Ransomware-Injektion ist eine der gef√§hrlichsten Formen von Cyber-Angriffen.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Free Online Checker.

Was ist Ransomware? Ransomware-Beispiele und -Trends in 2023 | Gridinsoft

Was ist Ransomware?

November 08, 2022

Es ist wahrscheinlich der schlimmste Albtraum zu entdecken, dass Dateien auf Ihrem PC verschl√ľsselt sind. Sie haben Ihr Postfach √ľberpr√ľft und auf die angeh√§ngten Dateien geklickt, um zu sehen, was sie enthalten. Die seltsame Datei, die nur angeboten hatte, Makros zu aktivieren, sah nicht verd√§chtig aus. Aber pl√∂tzlich, weniger als 15 Minuten nachdem Sie dieses Dokument ge√∂ffnet haben, sehen Sie, dass alle Dateien auf Ihrem PC seltsame Erweiterungen haben und sich mindestens eine readme.txt-Datei in jedem Ordner befindet. Wie ist es passiert?

Die kurze Definition von Ransomware verbirgt sich im Namen, genau wie bei vielen anderen Viren. ‚ÄěL√∂segeldsoftware‚Äú ist ein Programm, das sich in Ihren Computer einschleust, Ihre Dateien verschl√ľsselt und Sie dann auffordert, das L√∂segeld zu zahlen, um Ihre Dateien zur√ľckzubekommen. Einige Beispiele f√ľr Ransomware k√∂nnen ihren Opfern drohen, dass sie Ihre Dateien l√∂schen oder einige Ihrer sensiblen Daten ver√∂ffentlichen, wenn Sie das L√∂segeld nicht zahlen. W√§hrend die erste Gefahr eine 100%ige L√ľge ist, kann die zweite These real sein, da Ransomware oft mit Spyware oder Stealern verbreitet wird.

Verschiedene Ransomware-Beispiele verwenden unterschiedliche Verschl√ľsselungsmethoden. In den meisten F√§llen werden die Verschl√ľsselungsprinzipien AES-256 und RSA-1024 verwendet, aber manchmal k√∂nnen Sie die Standards mit RSA-2048 erf√ľllen. Die Zahl am Ende bedeutet in erster Linie den Grad, den man mitbringen muss, um die Anzahl der m√∂glichen Schl√ľssel zu erhalten. Selbst bei AES-256 ist die Anzahl der Schl√ľssel eine 78-stellige Zahl. Kannst du es brutal erzwingen? Vielleicht, wenn du 2 Millionen Jahre Zeit hast. Oder ein Quanten-PC mit viel besserer Leistung als alle derzeit existierenden. ~ Gridinsoft-Team

Ransomware generiert f√ľr jedes Opfer einen eindeutigen Online-Schl√ľssel. Dieser Schl√ľssel wird auf dem von Cyberkriminellen verwalteten Server gespeichert. Wenn der Virus keine Verbindung zu diesem Server herstellen kann, verschl√ľsselt er die Dateien mit dem Offline-Schl√ľssel, der lokal auf dem verschl√ľsselten Computer gespeichert ist. Die Anzahl der Offline-Schl√ľssel ist begrenzt. Daher haben Sie einen gemeinsamen Entschl√ľsselungsschl√ľssel mit mehreren anderen Opfern.

Leider gibt es keine 100-prozentige Garantie, dass Sie Ihre Dateien zur√ľckerhalten. Wenn Sie Gl√ľck haben und Ransomware den Offline-Schl√ľssel verwendet, k√∂nnen Sie Ihre Daten viel schneller entschl√ľsseln. Trotzdem dauert die Beschaffung der Schl√ľssel ziemlich lang und Sie m√ľssen m√∂glicherweise mehrere Wochen warten. Die Entschl√ľsselungs-App, die zur Entschl√ľsselung von Dateien verwendet werden soll, erh√§lt das Update mit dem passenden Schl√ľssel, sobald Analysten ihn finden.

Online-Schl√ľssel sind viel schwieriger zu l√∂sen. Da jeder dieser Schl√ľssel einzigartig ist, k√∂nnen Sie monatelang warten. Ransomware-Distributoren werden wahrscheinlich erwischt und gezwungen, alle Schl√ľssel aufzudecken, die sie auf den Servern haben. Ein weiterer Fall, in dem alle Schl√ľssel f√ľr die √Ėffentlichkeit freigegeben werden, ist, wenn Ersteller von Ransomware beschlie√üen, ihre b√∂sartigen Aktivit√§ten einzustellen. Eine solche Situation gab es nur einmal ‚Äď im Jahr 2018, als die GandCrab-Entwickler behaupteten, sie h√§tten 2 Milliarden Dollar verdient und ihre Aktivit√§ten eingestellt.

Ransomware-Angriffsphasen

Die meisten Analysten definieren sechs Hauptphasen eines Ransomware-Angriffs. Sie können an einem einzigen Tag und innerhalb eines Monats auftreten. Die Reihenfolge sowie der Sinn dieser Schritte bleibt jedoch immer gleich.

Kompromiss. Es wird manchmal auch als anfängliche Injektion bezeichnet. An diesem Punkt injizieren Angreifer die Malware in das Netzwerk (oder das Gerät, wenn es sich um einen Angriff auf den einzelnen Benutzer handelt). Die Kompromittierung erfolgt normalerweise durch RDP-Verletzungen, E-Mail-Spamming oder die Verwendung nicht lizenzierter Software.

Infektion. In diesem Stadium nutzen Gauner die anf√§ngliche Pr√§senz im Netzwerk, die sie erlangt haben, um die b√∂sartige Payload einzuschleusen. Sie verwenden selten direkte Downloads ‚Äď mit Sicherheitsl√∂sungen ist dies einfach zu erkennen und zu verhindern. Aus diesem Grund beruht das Herunterladen von Malware normalerweise auf der Ausnutzung von Fehlern in Windows- und Anwendungssoftware. Es kann jedoch sogar den direkten Download bevorzugen, wenn es auf das ungesch√ľtzte Netzwerk oder einen einzelnen Benutzer trifft.

Eskalation. Alle Malware muss mit Administratorrechten ausgef√ľhrt werden. Diese Eigenschaft erm√∂glicht es, die Malware-Gefahr zu verringern, indem das Konto mit Benutzerrechten verwendet wird. Aber auch in diesem Fall k√∂nnen Cyberkriminelle einen Weg finden. Die meisten Eskalationsstufen in Unternehmensnetzwerken erfolgen durch die Ausnutzung von Sicherheitsl√ľcken ‚Äď insbesondere solche, die Berechtigungen eskalieren.

Scannen. Dieser Schritt setzt voraus, dass die infizierten Computer gescannt werden, um alle Dateien zu erkennen, die Ransomware verschl√ľsseln kann. Normalerweise nimmt Ransomware die sensibelsten Datenformate ‚Äď solche, die zu MS Office-Dateien, Bildern und Musik geh√∂ren. Einige verhalten sich jedoch anders und verschl√ľsseln alles, was sie erreichen, trotz der Dateien, die die Funktionalit√§t des Programms beeintr√§chtigen k√∂nnen.

Verschl√ľsseln. Die Verschl√ľsselung kann Minuten oder Stunden dauern, abh√§ngig von der Anzahl der Dateien auf den angegriffenen Computern und der Qualit√§t der Verschl√ľsselungssoftware. Die LockBit-Gruppe ist zum Beispiel daf√ľr bekannt, die schnellste Verschl√ľsselung zu haben ‚Äď es dauert nur 5 Minuten, um 100 GB Daten zu verschl√ľsseln.

Pay Day. Wenn die Verschl√ľsselung beendet ist, benachrichtigt Malware das Opfer √ľber den Angriff. Es generiert normalerweise eine L√∂segeldforderungsdatei auf dem Desktop und in jedem Ordner mit verschl√ľsselten Dateien. Optional kann es auch das Desktop-Hintergrundbild in die L√∂segeldforderung √§ndern. In den extremsten F√§llen (wie Petya-Ransomware) infiziert Malware den Bootloader und zeigt Ihnen das L√∂segeldbanner, wenn Sie den Netzschalter dr√ľcken, anstatt das Betriebssystem zu laden.

Ransomware-Angriffsphasen
Ransomware-Angriffsphasen

Arten von Ransomware

Es gibt derzeit mehrere Arten von Ransomware. Alle Benutzer in der Cybersecurity-Community sind an die Art von Ransomware namens Crypto gew√∂hnt. Das ist genau der Virus, √ľber den Sie oben lesen k√∂nnen. Eine andere Art von Ransomware war schon viel fr√ľher aktiv, vor 2014. Sie hie√ü Locker-Ransomware. Wie Sie seinem Namen entnehmen k√∂nnen, sperrte dieser Virus Ihr System und forderte ein L√∂segeld f√ľr die Entsperrung des Desktops. Lassen Sie mich Ihnen den entscheidenden Unterschied zwischen Locker und Krypto-Ransomware zeigen:

Locker-Ransomware:


  • Blockiert Ihren Desktop;
  • Bedeckt den Desktop mit einem L√∂segeldbanner;
  • √Ąndert die Registrierungsschl√ľssel, die f√ľr die Arbeit von Windows Explorer verantwortlich sind;
  • Unterbricht den Prozess explorer.exe;
  • Blockiert die meisten Systemkombinationen (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Einige Versionen k√∂nnen das BIOS infizieren, wodurch es unm√∂glich wird, das System zu laden;
  • Lassen sich manchmal nach kniffligen Manipulationen mit Systemfunktionen leicht entfernen;
  • Sie bitten, ein L√∂segeld als Aufladung der Handynummer sowie √ľber das Online-Zahlungssystem (PayPal, WebMoney, Qiwi usw.) zu zahlen;

Krypto-Ransomware:


  • Verschl√ľsselt die Dateien mit den g√§ngigsten Erweiterungen (.docx, .png, .jpeg, .gif, .xslx) und f√ľgt ihnen ihre spezifische Erweiterung hinzu;
  • √Ąndert Registrierungsschl√ľssel, die f√ľr das Starten von Netzwerk- und Startprogrammen verantwortlich sind;
  • F√ľgt jedem Ordner, in dem sich verschl√ľsselte Dateien befinden, eine .txt-Datei mit den L√∂segeldzahlungsanweisungen hinzu;
  • Kann den Zugriff auf einige der Websites blockieren;
  • Verhindert das Starten der Installationsdateien von Anti-Malware-Software;
  • K√∂nnen Ihre Hintergrundbilder gegen eine L√∂segeldforderung √§ndern;
  • L√∂segeldzahlungen werden nur noch mit Kryptow√§hrungen, haupts√§chlich Bitcoin, geleistet.

Neueste Ransomware-Angriffe

Liste der Ransomware-Familien, aktuell f√ľr September, 2023:

  • Avaddon-Ransomware zeigte ein kurzes, aber ziemlich aktives Leben: Ihre Entwickler beschlossen, ihre Aktivit√§ten im Mai 2021 einzustellen
  • STOP Djvu Ransomware ist eine der am weitesten verbreiteten Ransomware-Familien. Die erste Aktivit√§t dieses Virustyps wurde 2018 festgestellt, und seine Aktivit√§t ist immer noch sehr hoch. Da diese Ransomware haupts√§chlich auf einfache Benutzer abzielt, kann sie ein perfektes Beispiel f√ľr eine ‚Äěklassische‚Äú Ransomware sein
  • Conti-Ransomware. Diese kriminelle Gruppierung greift Organisationen an, bei denen IT-Ausf√§lle lebensbedrohliche Folgen haben k√∂nnen: Krankenh√§user, Notrufzentralen, Rettungsdienste und Strafverfolgungsbeh√∂rden
  • Matrix-Ransomware ist ein Oldtimer der Ransomware-Branche und erschien im Dezember 2016
  • MedusaLocker Ransomware erschien im September 2019 und nahm einen sehr schnellen Start mit Angriffen auf Unternehmen aus der ganzen Welt
  • Snatch-Ransomware nutzt den Trick mit dem abgesicherten Modus von Windows und dem privilegierten Dienst
  • Die
  • VoidCrypt-Ransomware verwendet mehrere Funktionen, die eher f√ľr Unternehmensviren typisch sind
  • Xorist-Ransomware verwendet einen Krypto-Konstruktor, der sich selbst so stark ver√§ndern kann, dass er schwer zu erkennen ist
  • Dharma-Ransomware erschien um 2016, diese Ransomware-Familie zielt auf ein kleines Unternehmen ab. Fast 77¬†% aller Dharma-F√§lle stehen im Zusammenhang mit der Ausnutzung von RDP-Schwachstellen
  • Egregor-Ransomware hat gro√üe Unternehmen auf der ganzen Welt angegriffen
  • HiddenTear ‚Äď Urspr√ľnglich f√ľr Bildungszwecke erstellt
  • LockBit eine extrem schnelle Ransomware
  • Magniber-Ransomware, die versucht, eine bekannte PrintNightmare-Schwachstelle auszunutzen, um Opfer zu kompromittieren
  • Makop bleibt nicht bei einem einzigen Verschl√ľsselungsalgorithmus
  • Ryuk ist ein Oldtimer, der m√∂glicherweise mit nordkoreanischen Hackern in Verbindung steht

Ist es eine Lösung, das Lösegeld zu zahlen?

Der Großteil der Einnahmen, die Ransomware-Entwickler erhalten, wird verwendet, um verschiedene illegale Aktivitäten wie Terrorismus, andere Malware-Verteilungskampagnen, Drogenhandel usw. zu finanzieren. Da alle Lösegeldzahlungen in Kryptowährungen erfolgen, gibt es keine Möglichkeit, die Persönlichkeit von Gaunern aufzudecken. E-Mail-Adressen können jedoch manchmal auf Ransomware-Händler im Nahen Osten hinweisen.

Wie Sie bereits feststellen k√∂nnen, ist die Zahlung des L√∂segelds gleichbedeutend mit der Teilnahme an den illegalen Aktivit√§ten. Nat√ľrlich wird Ihnen niemand die Terrorismusfinanzierung vorwerfen. Aber es ist nichts Angenehmes zu verstehen, dass das Geld, das man f√ľr faire Arbeit bekommt, f√ľr Terrorismus oder Drogen ausgegeben wird. Oft zahlen sogar gro√üe Konzerne, die mit der Drohung erpresst werden, einige interne Daten zu ver√∂ffentlichen, keinen Cent an diese Gauner.

Wie kann ich meinen Computer vor Ransomware sch√ľtzen?

Normalerweise aktualisieren Anti-Malware-Programme ihre Erkennungsdatenbanken t√§glich. GridinSoft Anti-Malware kann Ihnen st√ľndliche Updates anbieten, wodurch die Wahrscheinlichkeit verringert wird, dass eine v√∂llig neue Ransomware-Probe Ihr System infiltriert. Der Einsatz von Anti-Malware-Software ist jedoch kein Allheilmittel. Es w√§re am besten, wenn Sie an allen riskanten Stellen vorsichtig sind. Das sind:

  • E-Mail-Nachrichten. Die meisten Ransomware-F√§lle, unabh√§ngig von der Familie, stehen im Zusammenhang mit b√∂sartigen E-Mail-Nachrichten. Fr√ľher vertrauten die Leute allen per E-Mail gesendeten Nachrichten und glaubten nicht, dass sich in der angeh√§ngten Datei etwas B√∂sartiges befinden k√∂nnte. In der Zwischenzeit nutzen Cyber-Einbrecher diese Schwachstelle und k√∂dern Menschen, Makros in Microsoft Office-Dateien zu aktivieren. Makros sind eine spezielle Anwendung, die es erm√∂glicht, die Interaktion mit dem Dokument zu verbessern. Sie k√∂nnen alles in Visual Basic konstruieren und es dem Dokument als Makros hinzuf√ľgen. Gauner f√ľgen ohne weiteres Nachdenken Ransomware-Code hinzu.
  • Dubiose Dienstprogramme und nicht vertrauensw√ľrdige Programme. Beim Surfen im Internet werden Ihnen m√∂glicherweise verschiedene Ratschl√§ge angezeigt. Online-Foren, soziale Netzwerke und Seeding-Netzwerke ‚Äď diese Orte sind als Quellen f√ľr verschiedene spezifische Tools bekannt. Und an solcher Software ist nichts Schlechtes - manchmal brauchen Menschen die Funktionen, die f√ľr die Unternehmensproduktion nicht gefordert (oder akzeptiert) werden. Solche Tools sind sogenannte Keygens f√ľr verschiedene Apps, Lizenzschl√ľssel-Aktivatoren (KMS Activator ist einer der bekanntesten) und Dienstprogramme zum Anpassen von Systemelementen. Die meisten Anti-Malware-Engines erkennen diese Anwendungen als b√∂sartig, sodass Sie wahrscheinlich das Antivirenprogramm deaktivieren oder die App zur Whitelist hinzuf√ľgen werden. In der Zwischenzeit kann dieses Dienstprogramm sowohl frei als auch mit Trojanern oder Ransomware infiziert sein.

Eine Zeitleiste der größten Ransomware-Angriffe: