Hütet euch vor Ransomware

Hütet euch vor Ransomware

8. Dezember 2006 - Bisher hielten sich die Schäden durch Ransomware in Grenzen, weil die AV-Hersteller rasch reagieren konnten. Das dürfte sich bald ändern.
Artikel erschienen in IT Magazine 2006/22

Das noch relativ junge Phänomen der Ransomware (von englisch «ransom», Lösegeld) hat bisher bei den meisten Firmen und Privatanwendern ein eher unbeachtetes Dasein gefristet. Das hat vor allem zwei Gründe: Erstens wurden bisher nur einige wenige Ransom-Trojaner beobachtet. Und zweitens konnten diese nur geringe Schäden verursachen, weil die Hersteller von Antivirensoftware in allen bekannten Fällen schnell zu reagieren vermochten. Beides dürfte sich allerdings in Zukunft ändern, wie zahlreiche Experten vermuten.


Software verlangt Lösegeld

Bei Ransomware handelt es sich um Malware, die auf der Festplatte des befallenen Systems beliebig Daten verschlüsselt. Für die Entschlüsselung verlangt der Autor der Malware ein Lösegeld – im Gegenzug zu dessen Bezahlung verspricht der Autor die Zusendung des zur Dechiffrierung nötigen Schlüssels.
Ransomware schwimmt damit den aktuellen Trends im Security-Bereich entgegen, wonach die meiste Malware eher unauffällig agiert und ganz gezielt für Spionage oder Datendiebstahl eingesetzt wird. Nichtsdestotrotz handelt es sich bei Ransomware um effektiven und potentiell höchst gefährlichen Schadcode.


Laut Informationen von Kaspersky Lab wurde Ransomware erstmals Ende 2004 mit dem berühmt-berüchtigten GpCode beobachtet. Seither haben sich die Zahl und die Verbreitung dieser Schädlinge ebenso wie die Qualität der Programmierung und des Chiffrier-Algorithmus kontinuierlich gesteigert, bis im Jahr 2006 der vorläufige Höhepunkt erreicht wurde. Zu Beginn der Geschichte haben sich die Autoren dabei auf primitive Verschlüsselungsalgorithmen (GpCode) gestützt oder einfach die Systemregistrierung beschädigt (Krotten).


In diesem Jahr nun wurden die Methoden verfeinert: So ist beispielsweise im Januar erstmals eine GpCode-Variante mit einer RSA-Verschlüsselung und einer (schwachen) Schlüsselstärke von 56 Bit aufgetaucht. Im März kam Cryzip (auch Zippo-A), der Office-Dokumente und Datenbanken in ein Zip-Archiv verschob und dieses mit einem Passwort schützte, das aus über 30 Symbolen bestand. Das Lösegeld betrug in diesem Fall 300 Dollar. Im April wurde Ransom-A entdeckt: Dieser Trojaner drohte damit, alle 30 Minuten eine Datei in einen unsichtbaren Ordner zu verschieben.


Für Details, wie man wieder an seine Daten gelangt, verlangte der Autor knapp elf Dollar, die per Western Union zu überweisen waren. Im Mai folgte MayArchive (auch MayAlert oder Arhiveus-A), der mit einer ähnlichen Routine wie GpCode arbeitete und für das Passwort zur Entschlüsselung der Daten den Kauf von typischen Spam-Medikamenten auf drei Webseiten verlangte. Im Juni schliesslich kulminierte die Entwicklung mit dem Erscheinen von neuen Versionen von GpCode, die mit dem RSA-Algorithmus und Schlüsseln von zunächst 260 Bit, danach sogar mit solchen von 330 und 660 Bit Länge arbeiteten. Ende August meldete Panda Software einen Anstieg von Ransomware im ersten Halbjahr 2006 um rund 30 Prozent.

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER