Ransomware: Beispiele & Trends in 2024

Ransomware ist Malware, die die Dateien auf dem PC des Opfers verschlüsselt und dann die Zahlung von Lösegeld verlangt. Ransomware-Injektion ist eine der gefährlichsten Formen von Cyber-Angriffen.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

Was ist Ransomware? Ransomware-Beispiele und -Trends in 2024 | Gridinsoft

Was ist Ransomware?

November 08, 2022

Es ist wahrscheinlich der schlimmste Albtraum zu entdecken, dass Dateien auf Ihrem PC verschlüsselt sind. Sie haben Ihr Postfach überprüft und auf die angehängten Dateien geklickt, um zu sehen, was sie enthalten. Die seltsame Datei, die nur angeboten hatte, Makros zu aktivieren, sah nicht verdächtig aus. Aber plötzlich, weniger als 15 Minuten nachdem Sie dieses Dokument geöffnet haben, sehen Sie, dass alle Dateien auf Ihrem PC seltsame Erweiterungen haben und sich mindestens eine readme.txt-Datei in jedem Ordner befindet. Wie ist es passiert?

Die kurze Definition von Ransomware verbirgt sich im Namen, genau wie bei vielen anderen Viren. „Lösegeldsoftware“ ist ein Programm, das sich in Ihren Computer einschleust, Ihre Dateien verschlüsselt und Sie dann auffordert, das Lösegeld zu zahlen, um Ihre Dateien zurückzubekommen. Einige Beispiele für Ransomware können ihren Opfern drohen, dass sie Ihre Dateien löschen oder einige Ihrer sensiblen Daten veröffentlichen, wenn Sie das Lösegeld nicht zahlen. Während die erste Gefahr eine 100%ige Lüge ist, kann die zweite These real sein, da Ransomware oft mit Spyware oder Stealern verbreitet wird.

Verschiedene Ransomware-Beispiele verwenden unterschiedliche Verschlüsselungsmethoden. In den meisten Fällen werden die Verschlüsselungsprinzipien AES-256 und RSA-1024 verwendet, aber manchmal können Sie die Standards mit RSA-2048 erfüllen. Die Zahl am Ende bedeutet in erster Linie den Grad, den man mitbringen muss, um die Anzahl der möglichen Schlüssel zu erhalten. Selbst bei AES-256 ist die Anzahl der Schlüssel eine 78-stellige Zahl. Kannst du es brutal erzwingen? Vielleicht, wenn du 2 Millionen Jahre Zeit hast. Oder ein Quanten-PC mit viel besserer Leistung als alle derzeit existierenden. ~ Gridinsoft-Team

Ransomware generiert für jedes Opfer einen eindeutigen Online-Schlüssel. Dieser Schlüssel wird auf dem von Cyberkriminellen verwalteten Server gespeichert. Wenn der Virus keine Verbindung zu diesem Server herstellen kann, verschlüsselt er die Dateien mit dem Offline-Schlüssel, der lokal auf dem verschlüsselten Computer gespeichert ist. Die Anzahl der Offline-Schlüssel ist begrenzt. Daher haben Sie einen gemeinsamen Entschlüsselungsschlüssel mit mehreren anderen Opfern.

Leider gibt es keine 100-prozentige Garantie, dass Sie Ihre Dateien zurückerhalten. Wenn Sie Glück haben und Ransomware den Offline-Schlüssel verwendet, können Sie Ihre Daten viel schneller entschlüsseln. Trotzdem dauert die Beschaffung der Schlüssel ziemlich lang und Sie müssen möglicherweise mehrere Wochen warten. Die Entschlüsselungs-App, die zur Entschlüsselung von Dateien verwendet werden soll, erhält das Update mit dem passenden Schlüssel, sobald Analysten ihn finden.

Online-Schlüssel sind viel schwieriger zu lösen. Da jeder dieser Schlüssel einzigartig ist, können Sie monatelang warten. Ransomware-Distributoren werden wahrscheinlich erwischt und gezwungen, alle Schlüssel aufzudecken, die sie auf den Servern haben. Ein weiterer Fall, in dem alle Schlüssel für die Öffentlichkeit freigegeben werden, ist, wenn Ersteller von Ransomware beschließen, ihre bösartigen Aktivitäten einzustellen. Eine solche Situation gab es nur einmal – im Jahr 2018, als die GandCrab-Entwickler behaupteten, sie hätten 2 Milliarden Dollar verdient und ihre Aktivitäten eingestellt.

Ransomware-Angriffsphasen

Die meisten Analysten definieren sechs Hauptphasen eines Ransomware-Angriffs. Sie können an einem einzigen Tag und innerhalb eines Monats auftreten. Die Reihenfolge sowie der Sinn dieser Schritte bleibt jedoch immer gleich.

Kompromiss. Es wird manchmal auch als anfängliche Injektion bezeichnet. An diesem Punkt injizieren Angreifer die Malware in das Netzwerk (oder das Gerät, wenn es sich um einen Angriff auf den einzelnen Benutzer handelt). Die Kompromittierung erfolgt normalerweise durch RDP-Verletzungen, E-Mail-Spamming oder die Verwendung nicht lizenzierter Software.

Infektion. In diesem Stadium nutzen Gauner die anfängliche Präsenz im Netzwerk, die sie erlangt haben, um die bösartige Payload einzuschleusen. Sie verwenden selten direkte Downloads – mit Sicherheitslösungen ist dies einfach zu erkennen und zu verhindern. Aus diesem Grund beruht das Herunterladen von Malware normalerweise auf der Ausnutzung von Fehlern in Windows- und Anwendungssoftware. Es kann jedoch sogar den direkten Download bevorzugen, wenn es auf das ungeschützte Netzwerk oder einen einzelnen Benutzer trifft.

Eskalation. Alle Malware muss mit Administratorrechten ausgeführt werden. Diese Eigenschaft ermöglicht es, die Malware-Gefahr zu verringern, indem das Konto mit Benutzerrechten verwendet wird. Aber auch in diesem Fall können Cyberkriminelle einen Weg finden. Die meisten Eskalationsstufen in Unternehmensnetzwerken erfolgen durch die Ausnutzung von Sicherheitslücken – insbesondere solche, die Berechtigungen eskalieren.

Scannen. Dieser Schritt setzt voraus, dass die infizierten Computer gescannt werden, um alle Dateien zu erkennen, die Ransomware verschlüsseln kann. Normalerweise nimmt Ransomware die sensibelsten Datenformate – solche, die zu MS Office-Dateien, Bildern und Musik gehören. Einige verhalten sich jedoch anders und verschlüsseln alles, was sie erreichen, trotz der Dateien, die die Funktionalität des Programms beeinträchtigen können.

Verschlüsseln. Die Verschlüsselung kann Minuten oder Stunden dauern, abhängig von der Anzahl der Dateien auf den angegriffenen Computern und der Qualität der Verschlüsselungssoftware. Die LockBit-Gruppe ist zum Beispiel dafür bekannt, die schnellste Verschlüsselung zu haben – es dauert nur 5 Minuten, um 100 GB Daten zu verschlüsseln.

Pay Day. Wenn die Verschlüsselung beendet ist, benachrichtigt Malware das Opfer über den Angriff. Es generiert normalerweise eine Lösegeldforderungsdatei auf dem Desktop und in jedem Ordner mit verschlüsselten Dateien. Optional kann es auch das Desktop-Hintergrundbild in die Lösegeldforderung ändern. In den extremsten Fällen (wie Petya-Ransomware) infiziert Malware den Bootloader und zeigt Ihnen das Lösegeldbanner, wenn Sie den Netzschalter drücken, anstatt das Betriebssystem zu laden.

Ransomware-Angriffsphasen
Ransomware-Angriffsphasen

Arten von Ransomware

Es gibt derzeit mehrere Arten von Ransomware. Alle Benutzer in der Cybersecurity-Community sind an die Art von Ransomware namens Crypto gewöhnt. Das ist genau der Virus, über den Sie oben lesen können. Eine andere Art von Ransomware war schon viel früher aktiv, vor 2014. Sie hieß Locker-Ransomware. Wie Sie seinem Namen entnehmen können, sperrte dieser Virus Ihr System und forderte ein Lösegeld für die Entsperrung des Desktops. Lassen Sie mich Ihnen den entscheidenden Unterschied zwischen Locker und Krypto-Ransomware zeigen:

Locker-Ransomware:


  • Blockiert Ihren Desktop;
  • Bedeckt den Desktop mit einem Lösegeldbanner;
  • Ändert die Registrierungsschlüssel, die für die Arbeit von Windows Explorer verantwortlich sind;
  • Unterbricht den Prozess explorer.exe;
  • Blockiert die meisten Systemkombinationen (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Einige Versionen können das BIOS infizieren, wodurch es unmöglich wird, das System zu laden;
  • Lassen sich manchmal nach kniffligen Manipulationen mit Systemfunktionen leicht entfernen;
  • Sie bitten, ein Lösegeld als Aufladung der Handynummer sowie über das Online-Zahlungssystem (PayPal, WebMoney, Qiwi usw.) zu zahlen;

Krypto-Ransomware:


  • Verschlüsselt die Dateien mit den gängigsten Erweiterungen (.docx, .png, .jpeg, .gif, .xslx) und fügt ihnen ihre spezifische Erweiterung hinzu;
  • Ändert Registrierungsschlüssel, die für das Starten von Netzwerk- und Startprogrammen verantwortlich sind;
  • Fügt jedem Ordner, in dem sich verschlüsselte Dateien befinden, eine .txt-Datei mit den Lösegeldzahlungsanweisungen hinzu;
  • Kann den Zugriff auf einige der Websites blockieren;
  • Verhindert das Starten der Installationsdateien von Anti-Malware-Software;
  • Können Ihre Hintergrundbilder gegen eine Lösegeldforderung ändern;
  • Lösegeldzahlungen werden nur noch mit Kryptowährungen, hauptsächlich Bitcoin, geleistet.

Neueste Ransomware-Angriffe

Liste der Ransomware-Familien, aktuell für March, 2024:

  • Avaddon-Ransomware zeigte ein kurzes, aber ziemlich aktives Leben: Ihre Entwickler beschlossen, ihre Aktivitäten im Mai 2021 einzustellen
  • STOP Djvu Ransomware ist eine der am weitesten verbreiteten Ransomware-Familien. Die erste Aktivität dieses Virustyps wurde 2018 festgestellt, und seine Aktivität ist immer noch sehr hoch. Da diese Ransomware hauptsächlich auf einfache Benutzer abzielt, kann sie ein perfektes Beispiel für eine „klassische“ Ransomware sein
  • Conti-Ransomware. Diese kriminelle Gruppierung greift Organisationen an, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Krankenhäuser, Notrufzentralen, Rettungsdienste und Strafverfolgungsbehörden
  • Matrix-Ransomware ist ein Oldtimer der Ransomware-Branche und erschien im Dezember 2016
  • MedusaLocker Ransomware erschien im September 2019 und nahm einen sehr schnellen Start mit Angriffen auf Unternehmen aus der ganzen Welt
  • Snatch-Ransomware nutzt den Trick mit dem abgesicherten Modus von Windows und dem privilegierten Dienst
  • Die
  • VoidCrypt-Ransomware verwendet mehrere Funktionen, die eher für Unternehmensviren typisch sind
  • Xorist-Ransomware verwendet einen Krypto-Konstruktor, der sich selbst so stark verändern kann, dass er schwer zu erkennen ist
  • Dharma-Ransomware erschien um 2016, diese Ransomware-Familie zielt auf ein kleines Unternehmen ab. Fast 77 % aller Dharma-Fälle stehen im Zusammenhang mit der Ausnutzung von RDP-Schwachstellen
  • Egregor-Ransomware hat große Unternehmen auf der ganzen Welt angegriffen
  • HiddenTear – Ursprünglich für Bildungszwecke erstellt
  • LockBit eine extrem schnelle Ransomware
  • Magniber-Ransomware, die versucht, eine bekannte PrintNightmare-Schwachstelle auszunutzen, um Opfer zu kompromittieren
  • Makop bleibt nicht bei einem einzigen Verschlüsselungsalgorithmus
  • Ryuk ist ein Oldtimer, der möglicherweise mit nordkoreanischen Hackern in Verbindung steht

Ist es eine Lösung, das Lösegeld zu zahlen?

Der Großteil der Einnahmen, die Ransomware-Entwickler erhalten, wird verwendet, um verschiedene illegale Aktivitäten wie Terrorismus, andere Malware-Verteilungskampagnen, Drogenhandel usw. zu finanzieren. Da alle Lösegeldzahlungen in Kryptowährungen erfolgen, gibt es keine Möglichkeit, die Persönlichkeit von Gaunern aufzudecken. E-Mail-Adressen können jedoch manchmal auf Ransomware-Händler im Nahen Osten hinweisen.

Wie Sie bereits feststellen können, ist die Zahlung des Lösegelds gleichbedeutend mit der Teilnahme an den illegalen Aktivitäten. Natürlich wird Ihnen niemand die Terrorismusfinanzierung vorwerfen. Aber es ist nichts Angenehmes zu verstehen, dass das Geld, das man für faire Arbeit bekommt, für Terrorismus oder Drogen ausgegeben wird. Oft zahlen sogar große Konzerne, die mit der Drohung erpresst werden, einige interne Daten zu veröffentlichen, keinen Cent an diese Gauner.

Wie kann ich meinen Computer vor Ransomware schützen?

Normalerweise aktualisieren Anti-Malware-Programme ihre Erkennungsdatenbanken täglich. GridinSoft Anti-Malware kann Ihnen stündliche Updates anbieten, wodurch die Wahrscheinlichkeit verringert wird, dass eine völlig neue Ransomware-Probe Ihr System infiltriert. Der Einsatz von Anti-Malware-Software ist jedoch kein Allheilmittel. Es wäre am besten, wenn Sie an allen riskanten Stellen vorsichtig sind. Das sind:

  • E-Mail-Nachrichten. Die meisten Ransomware-Fälle, unabhängig von der Familie, stehen im Zusammenhang mit bösartigen E-Mail-Nachrichten. Früher vertrauten die Leute allen per E-Mail gesendeten Nachrichten und glaubten nicht, dass sich in der angehängten Datei etwas Bösartiges befinden könnte. In der Zwischenzeit nutzen Cyber-Einbrecher diese Schwachstelle und ködern Menschen, Makros in Microsoft Office-Dateien zu aktivieren. Makros sind eine spezielle Anwendung, die es ermöglicht, die Interaktion mit dem Dokument zu verbessern. Sie können alles in Visual Basic konstruieren und es dem Dokument als Makros hinzufügen. Gauner fügen ohne weiteres Nachdenken Ransomware-Code hinzu.
  • Dubiose Dienstprogramme und nicht vertrauenswürdige Programme. Beim Surfen im Internet werden Ihnen möglicherweise verschiedene Ratschläge angezeigt. Online-Foren, soziale Netzwerke und Seeding-Netzwerke – diese Orte sind als Quellen für verschiedene spezifische Tools bekannt. Und an solcher Software ist nichts Schlechtes - manchmal brauchen Menschen die Funktionen, die für die Unternehmensproduktion nicht gefordert (oder akzeptiert) werden. Solche Tools sind sogenannte Keygens für verschiedene Apps, Lizenzschlüssel-Aktivatoren (KMS Activator ist einer der bekanntesten) und Dienstprogramme zum Anpassen von Systemelementen. Die meisten Anti-Malware-Engines erkennen diese Anwendungen als bösartig, sodass Sie wahrscheinlich das Antivirenprogramm deaktivieren oder die App zur Whitelist hinzufügen werden. In der Zwischenzeit kann dieses Dienstprogramm sowohl frei als auch mit Trojanern oder Ransomware infiziert sein.

Eine Zeitleiste der größten Ransomware-Angriffe: