Ransomware: Beispiele & Trends in 2022

Ransomware ist Malware, die die Dateien auf dem PC des Opfers verschlĂŒsselt und dann die Zahlung von Lösegeld verlangt. Ransomware-Injektion ist eine der gefĂ€hrlichsten Formen von Cyber-Angriffen.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Was ist Ransomware? Ransomware-Beispiele und -Trends in 2022 | Gridinsoft

Was ist Ransomware?

November 08, 2022

Es ist wahrscheinlich der schlimmste Albtraum zu entdecken, dass Dateien auf Ihrem PC verschlĂŒsselt sind. Sie haben Ihr Postfach ĂŒberprĂŒft und auf die angehĂ€ngten Dateien geklickt, um zu sehen, was sie enthalten. Die seltsame Datei, die nur angeboten hatte, Makros zu aktivieren, sah nicht verdĂ€chtig aus. Aber plötzlich, weniger als 15 Minuten nachdem Sie dieses Dokument geöffnet haben, sehen Sie, dass alle Dateien auf Ihrem PC seltsame Erweiterungen haben und sich mindestens eine readme.txt-Datei in jedem Ordner befindet. Wie ist es passiert?

Die kurze Definition von Ransomware verbirgt sich im Namen, genau wie bei vielen anderen Viren. „Lösegeldsoftware“ ist ein Programm, das sich in Ihren Computer einschleust, Ihre Dateien verschlĂŒsselt und Sie dann auffordert, das Lösegeld zu zahlen, um Ihre Dateien zurĂŒckzubekommen. Einige Beispiele fĂŒr Ransomware können ihren Opfern drohen, dass sie Ihre Dateien löschen oder einige Ihrer sensiblen Daten veröffentlichen, wenn Sie das Lösegeld nicht zahlen. WĂ€hrend die erste Gefahr eine 100%ige LĂŒge ist, kann die zweite These real sein, da Ransomware oft mit Spyware oder Stealern verbreitet wird.

Verschiedene Ransomware-Beispiele verwenden unterschiedliche VerschlĂŒsselungsmethoden. In den meisten FĂ€llen werden die VerschlĂŒsselungsprinzipien AES-256 und RSA-1024 verwendet, aber manchmal können Sie die Standards mit RSA-2048 erfĂŒllen. Die Zahl am Ende bedeutet in erster Linie den Grad, den man mitbringen muss, um die Anzahl der möglichen SchlĂŒssel zu erhalten. Selbst bei AES-256 ist die Anzahl der SchlĂŒssel eine 78-stellige Zahl. Kannst du es brutal erzwingen? Vielleicht, wenn du 2 Millionen Jahre Zeit hast. Oder ein Quanten-PC mit viel besserer Leistung als alle derzeit existierenden. ~ Gridinsoft-Team

Ransomware generiert fĂŒr jedes Opfer einen eindeutigen Online-SchlĂŒssel. Dieser SchlĂŒssel wird auf dem von Cyberkriminellen verwalteten Server gespeichert. Wenn der Virus keine Verbindung zu diesem Server herstellen kann, verschlĂŒsselt er die Dateien mit dem Offline-SchlĂŒssel, der lokal auf dem verschlĂŒsselten Computer gespeichert ist. Die Anzahl der Offline-SchlĂŒssel ist begrenzt. Daher haben Sie einen gemeinsamen EntschlĂŒsselungsschlĂŒssel mit mehreren anderen Opfern.

Leider gibt es keine 100-prozentige Garantie, dass Sie Ihre Dateien zurĂŒckerhalten. Wenn Sie GlĂŒck haben und Ransomware den Offline-SchlĂŒssel verwendet, können Sie Ihre Daten viel schneller entschlĂŒsseln. Trotzdem dauert die Beschaffung der SchlĂŒssel ziemlich lang und Sie mĂŒssen möglicherweise mehrere Wochen warten. Die EntschlĂŒsselungs-App, die zur EntschlĂŒsselung von Dateien verwendet werden soll, erhĂ€lt das Update mit dem passenden SchlĂŒssel, sobald Analysten ihn finden.

Online-SchlĂŒssel sind viel schwieriger zu lösen. Da jeder dieser SchlĂŒssel einzigartig ist, können Sie monatelang warten. Ransomware-Distributoren werden wahrscheinlich erwischt und gezwungen, alle SchlĂŒssel aufzudecken, die sie auf den Servern haben. Ein weiterer Fall, in dem alle SchlĂŒssel fĂŒr die Öffentlichkeit freigegeben werden, ist, wenn Ersteller von Ransomware beschließen, ihre bösartigen AktivitĂ€ten einzustellen. Eine solche Situation gab es nur einmal – im Jahr 2018, als die GandCrab-Entwickler behaupteten, sie hĂ€tten 2 Milliarden Dollar verdient und ihre AktivitĂ€ten eingestellt.

Ransomware-Angriffsphasen

Die meisten Analysten definieren sechs Hauptphasen eines Ransomware-Angriffs. Sie können an einem einzigen Tag und innerhalb eines Monats auftreten. Die Reihenfolge sowie der Sinn dieser Schritte bleibt jedoch immer gleich.

Kompromiss. Es wird manchmal auch als anfÀngliche Injektion bezeichnet. An diesem Punkt injizieren Angreifer die Malware in das Netzwerk (oder das GerÀt, wenn es sich um einen Angriff auf den einzelnen Benutzer handelt). Die Kompromittierung erfolgt normalerweise durch RDP-Verletzungen, E-Mail-Spamming oder die Verwendung nicht lizenzierter Software.

Infektion. In diesem Stadium nutzen Gauner die anfĂ€ngliche PrĂ€senz im Netzwerk, die sie erlangt haben, um die bösartige Payload einzuschleusen. Sie verwenden selten direkte Downloads – mit Sicherheitslösungen ist dies einfach zu erkennen und zu verhindern. Aus diesem Grund beruht das Herunterladen von Malware normalerweise auf der Ausnutzung von Fehlern in Windows- und Anwendungssoftware. Es kann jedoch sogar den direkten Download bevorzugen, wenn es auf das ungeschĂŒtzte Netzwerk oder einen einzelnen Benutzer trifft.

Eskalation. Alle Malware muss mit Administratorrechten ausgefĂŒhrt werden. Diese Eigenschaft ermöglicht es, die Malware-Gefahr zu verringern, indem das Konto mit Benutzerrechten verwendet wird. Aber auch in diesem Fall können Cyberkriminelle einen Weg finden. Die meisten Eskalationsstufen in Unternehmensnetzwerken erfolgen durch die Ausnutzung von SicherheitslĂŒcken – insbesondere solche, die Berechtigungen eskalieren.

Scannen. Dieser Schritt setzt voraus, dass die infizierten Computer gescannt werden, um alle Dateien zu erkennen, die Ransomware verschlĂŒsseln kann. Normalerweise nimmt Ransomware die sensibelsten Datenformate – solche, die zu MS Office-Dateien, Bildern und Musik gehören. Einige verhalten sich jedoch anders und verschlĂŒsseln alles, was sie erreichen, trotz der Dateien, die die FunktionalitĂ€t des Programms beeintrĂ€chtigen können.

VerschlĂŒsseln. Die VerschlĂŒsselung kann Minuten oder Stunden dauern, abhĂ€ngig von der Anzahl der Dateien auf den angegriffenen Computern und der QualitĂ€t der VerschlĂŒsselungssoftware. Die LockBit-Gruppe ist zum Beispiel dafĂŒr bekannt, die schnellste VerschlĂŒsselung zu haben – es dauert nur 5 Minuten, um 100 GB Daten zu verschlĂŒsseln.

Pay Day. Wenn die VerschlĂŒsselung beendet ist, benachrichtigt Malware das Opfer ĂŒber den Angriff. Es generiert normalerweise eine Lösegeldforderungsdatei auf dem Desktop und in jedem Ordner mit verschlĂŒsselten Dateien. Optional kann es auch das Desktop-Hintergrundbild in die Lösegeldforderung Ă€ndern. In den extremsten FĂ€llen (wie Petya-Ransomware) infiziert Malware den Bootloader und zeigt Ihnen das Lösegeldbanner, wenn Sie den Netzschalter drĂŒcken, anstatt das Betriebssystem zu laden.

Ransomware-Angriffsphasen
Ransomware-Angriffsphasen

Arten von Ransomware

Es gibt derzeit mehrere Arten von Ransomware. Alle Benutzer in der Cybersecurity-Community sind an die Art von Ransomware namens Crypto gewöhnt. Das ist genau der Virus, ĂŒber den Sie oben lesen können. Eine andere Art von Ransomware war schon viel frĂŒher aktiv, vor 2014. Sie hieß Locker-Ransomware. Wie Sie seinem Namen entnehmen können, sperrte dieser Virus Ihr System und forderte ein Lösegeld fĂŒr die Entsperrung des Desktops. Lassen Sie mich Ihnen den entscheidenden Unterschied zwischen Locker und Krypto-Ransomware zeigen:

Locker-Ransomware:


  • Blockiert Ihren Desktop;
  • Bedeckt den Desktop mit einem Lösegeldbanner;
  • Ändert die RegistrierungsschlĂŒssel, die fĂŒr die Arbeit von Windows Explorer verantwortlich sind;
  • Unterbricht den Prozess explorer.exe;
  • Blockiert die meisten Systemkombinationen (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Einige Versionen können das BIOS infizieren, wodurch es unmöglich wird, das System zu laden;
  • Lassen sich manchmal nach kniffligen Manipulationen mit Systemfunktionen leicht entfernen;
  • Sie bitten, ein Lösegeld als Aufladung der Handynummer sowie ĂŒber das Online-Zahlungssystem (PayPal, WebMoney, Qiwi usw.) zu zahlen;

Krypto-Ransomware:


  • VerschlĂŒsselt die Dateien mit den gĂ€ngigsten Erweiterungen (.docx, .png, .jpeg, .gif, .xslx) und fĂŒgt ihnen ihre spezifische Erweiterung hinzu;
  • Ändert RegistrierungsschlĂŒssel, die fĂŒr das Starten von Netzwerk- und Startprogrammen verantwortlich sind;
  • FĂŒgt jedem Ordner, in dem sich verschlĂŒsselte Dateien befinden, eine .txt-Datei mit den Lösegeldzahlungsanweisungen hinzu;
  • Kann den Zugriff auf einige der Websites blockieren;
  • Verhindert das Starten der Installationsdateien von Anti-Malware-Software;
  • Können Ihre Hintergrundbilder gegen eine Lösegeldforderung Ă€ndern;
  • Lösegeldzahlungen werden nur noch mit KryptowĂ€hrungen, hauptsĂ€chlich Bitcoin, geleistet.

Neueste Ransomware-Angriffe

Liste der Ransomware-Familien, aktuell fĂŒr December, 2022:

  • Avaddon-Ransomware zeigte ein kurzes, aber ziemlich aktives Leben: Ihre Entwickler beschlossen, ihre AktivitĂ€ten im Mai 2021 einzustellen
  • STOP Djvu Ransomware ist eine der am weitesten verbreiteten Ransomware-Familien. Die erste AktivitĂ€t dieses Virustyps wurde 2018 festgestellt, und seine AktivitĂ€t ist immer noch sehr hoch. Da diese Ransomware hauptsĂ€chlich auf einfache Benutzer abzielt, kann sie ein perfektes Beispiel fĂŒr eine „klassische“ Ransomware sein
  • Conti-Ransomware. Diese kriminelle Gruppierung greift Organisationen an, bei denen IT-AusfĂ€lle lebensbedrohliche Folgen haben können: KrankenhĂ€user, Notrufzentralen, Rettungsdienste und Strafverfolgungsbehörden
  • Matrix-Ransomware ist ein Oldtimer der Ransomware-Branche und erschien im Dezember 2016
  • MedusaLocker Ransomware erschien im September 2019 und nahm einen sehr schnellen Start mit Angriffen auf Unternehmen aus der ganzen Welt
  • Snatch-Ransomware nutzt den Trick mit dem abgesicherten Modus von Windows und dem privilegierten Dienst
  • Die
  • VoidCrypt-Ransomware verwendet mehrere Funktionen, die eher fĂŒr Unternehmensviren typisch sind
  • Xorist-Ransomware verwendet einen Krypto-Konstruktor, der sich selbst so stark verĂ€ndern kann, dass er schwer zu erkennen ist
  • Dharma-Ransomware erschien um 2016, diese Ransomware-Familie zielt auf ein kleines Unternehmen ab. Fast 77 % aller Dharma-FĂ€lle stehen im Zusammenhang mit der Ausnutzung von RDP-Schwachstellen
  • Egregor-Ransomware hat große Unternehmen auf der ganzen Welt angegriffen
  • HiddenTear – UrsprĂŒnglich fĂŒr Bildungszwecke erstellt
  • LockBit eine extrem schnelle Ransomware
  • Magniber-Ransomware, die versucht, eine bekannte PrintNightmare-Schwachstelle auszunutzen, um Opfer zu kompromittieren
  • Makop bleibt nicht bei einem einzigen VerschlĂŒsselungsalgorithmus
  • Ryuk ist ein Oldtimer, der möglicherweise mit nordkoreanischen Hackern in Verbindung steht

Ist es eine Lösung, das Lösegeld zu zahlen?

Der Großteil der Einnahmen, die Ransomware-Entwickler erhalten, wird verwendet, um verschiedene illegale AktivitĂ€ten wie Terrorismus, andere Malware-Verteilungskampagnen, Drogenhandel usw. zu finanzieren. Da alle Lösegeldzahlungen in KryptowĂ€hrungen erfolgen, gibt es keine Möglichkeit, die Persönlichkeit von Gaunern aufzudecken. E-Mail-Adressen können jedoch manchmal auf Ransomware-HĂ€ndler im Nahen Osten hinweisen.

Wie Sie bereits feststellen können, ist die Zahlung des Lösegelds gleichbedeutend mit der Teilnahme an den illegalen AktivitĂ€ten. NatĂŒrlich wird Ihnen niemand die Terrorismusfinanzierung vorwerfen. Aber es ist nichts Angenehmes zu verstehen, dass das Geld, das man fĂŒr faire Arbeit bekommt, fĂŒr Terrorismus oder Drogen ausgegeben wird. Oft zahlen sogar große Konzerne, die mit der Drohung erpresst werden, einige interne Daten zu veröffentlichen, keinen Cent an diese Gauner.

Wie kann ich meinen Computer vor Ransomware schĂŒtzen?

Normalerweise aktualisieren Anti-Malware-Programme ihre Erkennungsdatenbanken tĂ€glich. GridinSoft Anti-Malware kann Ihnen stĂŒndliche Updates anbieten, wodurch die Wahrscheinlichkeit verringert wird, dass eine völlig neue Ransomware-Probe Ihr System infiltriert. Der Einsatz von Anti-Malware-Software ist jedoch kein Allheilmittel. Es wĂ€re am besten, wenn Sie an allen riskanten Stellen vorsichtig sind. Das sind:

  • E-Mail-Nachrichten. Die meisten Ransomware-FĂ€lle, unabhĂ€ngig von der Familie, stehen im Zusammenhang mit bösartigen E-Mail-Nachrichten. FrĂŒher vertrauten die Leute allen per E-Mail gesendeten Nachrichten und glaubten nicht, dass sich in der angehĂ€ngten Datei etwas Bösartiges befinden könnte. In der Zwischenzeit nutzen Cyber-Einbrecher diese Schwachstelle und ködern Menschen, Makros in Microsoft Office-Dateien zu aktivieren. Makros sind eine spezielle Anwendung, die es ermöglicht, die Interaktion mit dem Dokument zu verbessern. Sie können alles in Visual Basic konstruieren und es dem Dokument als Makros hinzufĂŒgen. Gauner fĂŒgen ohne weiteres Nachdenken Ransomware-Code hinzu.
  • Dubiose Dienstprogramme und nicht vertrauenswĂŒrdige Programme. Beim Surfen im Internet werden Ihnen möglicherweise verschiedene RatschlĂ€ge angezeigt. Online-Foren, soziale Netzwerke und Seeding-Netzwerke – diese Orte sind als Quellen fĂŒr verschiedene spezifische Tools bekannt. Und an solcher Software ist nichts Schlechtes - manchmal brauchen Menschen die Funktionen, die fĂŒr die Unternehmensproduktion nicht gefordert (oder akzeptiert) werden. Solche Tools sind sogenannte Keygens fĂŒr verschiedene Apps, LizenzschlĂŒssel-Aktivatoren (KMS Activator ist einer der bekanntesten) und Dienstprogramme zum Anpassen von Systemelementen. Die meisten Anti-Malware-Engines erkennen diese Anwendungen als bösartig, sodass Sie wahrscheinlich das Antivirenprogramm deaktivieren oder die App zur Whitelist hinzufĂŒgen werden. In der Zwischenzeit kann dieses Dienstprogramm sowohl frei als auch mit Trojanern oder Ransomware infiziert sein.

Eine Zeitleiste der grĂ¶ĂŸten Ransomware-Angriffe: