Trend Micro - Securing Your Journey to the Cloud

one site fits all
Ransomware

Ransomware

Ransomware Past, Present, and FutureLesen Sie mehr

Ransomware ist ein Typus von Schadsoftware, der Nutzer daran hindert/einschränkt, auf ihr System zuzugreifen, indem die Malware den Bildschirm des Systems oder die Dateien des Nutzers sperrt, bis ein Lösegeld gezahlt wird. Moderne Ransomware-Familien, unter dem Begriff Krypto-Ransomware bekannt, verschlüsseln bestimmte Dateitypen auf infizierten Systemen und zwingen Nutzer, über festgelegte Online-Zahlmethoden ein Lösegeld zu zahlen, um einen Decryption-Schlüssel zu bekommen.

Preise und Zahlen des Lösegelds

Die Höhe des Lösegelds hängt von der Ransomware-Variante sowie dem Preis und den Wechselkursen digitaler Währungen ab. Aufgrund der Anonymität, die Kryptowährungen gewähren, geben die Akteure hinter der Erpressersoftware üblicherweise die Lösegeldforderung in Bitcoins an. Jüngste Ransomware-Varianten haben zusätzlich auch andere Zahlungsoptionen wie iTunes oder Amazon-Geschenkkarten auf ihrer Liste. Es sollte jedem klar sein, dass die Zahlung des Lösegelds keine Garantie dafür bietet, dass das Opfer den Decryption-Schlüssel oder das Tool zum Entsperren auch tatsächlich bekommt, um erneuten Zugang zu dem infizierte System oder den Dateien zu erhalten.

Ransomware-Infektion und Verhalten

Es gibt eine Vielfalt von Mitteln, um Nutzer zu infizieren.  Ransomware kann von einem unwissenden User beim Besuch von bösartigen oder kompromittierten Websites auf das System heruntergeladen werden. Sie kann aber auch als Payload von anderer Malware entweder abgelegt oder heruntergeladen werden. Einige Varianten lassen sich als Anhang von Spam-Mails ausliefern und werden über Malvertisments von bösartigen Seiten heruntergeladen oder von Exploit Kits auf angreifbaren Systemen abgelegt.

Sobald die Ransomware im System ausgeführt wird, kann sie entweder den Computerbildschirm sperren oder im Fall von Krypto-Ransomware vorher festgelegte Dateien verschlüsseln. Im ersten Fall erscheint ein Bild oder eine Nachricht auf dem Schirm des infizierten Systems, und das Opfer kann sein System nicht mehr nutzen. Hier werden auch die Anweisungen zur Zahlung des Lösegelds angezeigt. Im zweiten Fall, hindert die Schadsoftware den Nutzer daran, auf möglicherweise wichtige Dateien wie Dokumente oder Spreadsheets zuzugreifen.

Ransomware wird als so genannte „Scareware" betrachtet, weil sie Nutzer über Einschüchterung dazu zwingt, eine Gebühr (Lösegeld) zu zahlen. Damit ähnelt sie FAKEAV Malware. Doch anstatt das infizierte System oder die verschlüsselten Dateien zu kapern, zeigt FAKEAV gefälschte Antimalware-Scanergebnisse, um dem Nutzer Angst einzujagen, sodass er betrügerische Antimalware-Software kauft.

Erfahren sie, wie sich Grossunternehmen, Kleinunternehmen und Privatanwender vor Ransomware schützen können:

Die neuesten Ransomware-Nachrichten


Geschichte und Entwicklung von Ransomware

Die frühen Jahre

Zwischen 2005 und 2006 gab es in Russland die ersten Fälle von Ransomware-Infektionen. Trend Micro veröffentlichte einen Bericht zu einem Fall aus dem Jahr 2006 im Zusammenhang mit einer Ransomware-Variante (als TROJ_CRYZIP.A erkannt), die bestimmte Dateitypen in ein zip-Archiv packt, bevor die Originaldateien überschrieben werden. Auf dem System des Nutzers bleiben lediglich die Passwort-geschützten zip-Dateien übrig. Die Software erstellte auch eine Textdatei als Lösegeldnachricht, in der die Nutzer darüber informiert wurden, dass sie ihre Dateien gegen die Zahlung von 300 $ wieder bekommen können.

In den frühen Jahren verschlüsselte Ransomware typischerweise bestimmte Dateiypen wie .DOC, .XLS, .JPG, .ZIP, .PDF und andere häufig eingesetzte.

2011 veröffentlichte Trend Micro einen Report über SMS Ransomware die Nutzer auf infizierten Systemen aufforderte, Bezahl-SMS-Nummern zu wählen. TROJ_RANSOM.QOWA zeigte Nutzern wiederholt eine Ransomware-Seite, bis diese das Lösegeld zahlten, indem sie bestimmte Nummern wählten.

Ein anderer Bericht beschrieb einen Ransomware-Typus, der den Master Boot Record (MBR) eines angreifbaren Systems infizierte, sodass das Betriebssystem nicht geladen werden konnte. Zu diesem Zweck kopiert die Malware den ursprünglichen MBR und überschreibt ihn mit bösartigem Code. Dann zwingt sie das System zum Neustart, sodass die Infektion greift, und bringt die Nachricht (in Russisch) auf den Bildschirm, sobald das System neu startet.

Ransomware 101 Sehen Sie die Infografik: Ransomware 101 - Was, wie & warum

Ransomware verbreitet sich außerhalb Russlands

Ransomware-Infektionen beschränkten sich ursprünglich auf Russland. Doch aufgrund der Beliebtheit und des profitablen Geschäftsmodells fand die Erpressersoftware bald den Weg in andere  europäische Länder.. Im März 2012 beobachtete Trend Micro eine kontinuierliche Ausbreitung von Ransomware-Infektionen quer durch Europa und Nordamerika. Ähnlich wie TROJ_RANSOM.BOV, zeigte diese neue Welle von Ransomware statt der typischen Lösegeldnachricht eine Nachrichtseite an, die vorgeblich von der örtlichen Polizei des Opfers kam (siehe unten Reveton, Polizei-Ransomware).

In dieser Zeit nutzten die Akteure verschiedene Taktiken, um Ransomware zu verbreiten. In einem Fall 2012 wurde die Shop-Website einer bekannten französischen Zuckerbäckerei mit TROJ_RANSOM.BOV kompromittiert. Die Watering Hole-Taktik führte zu weiteren Infektionen in Frankreich und in Japan, wo es viele Fans dieser Konditorwaren gab. Statt der üblichen Lösegeldnachricht, zeigte TROJ_RANSOM.BOV eine gefälschte Nachricht von der Gendarmerie Nationale an.

Reveton und Polizei-Ransomware

Reveton ist ein Ransomware-Typus, der sich als Polizeibehörde ausgibt. Bekannt als Polizei-Ransomware oder –Trojaner, zeigt die Malware Opfern eine Benachrichtigung an, die vorgibt, von einer lokalen Polizeibehörde zu kommen und dem Empfänger illegale oder bösartige Online-Aktivitäten vorwirft.

Um festzustellen, welche lokale Behörde für einen Nutzer zuständig ist, tracken Reveton-Varianten den geografischen Standort (PDF/engl.) ihrer Opfer. Das bedeutet, dass Nutzer in den USA vorgeblich vom FBI eine Benachrichtigung erhalten und französische von der Gendarmerie Nationale.

Reveton-Varianten verwenden auch eine andere Zahlmethode als frühere Ransomware-Angriffe. Sobald ein System mit Reveton infiziert ist, werden die Nutzer aufgefordert, über UKash, PaySafeCard oder MoneyPak zu zahlen. Diese Methoden wahren die Anonymität der Akteure, denn sowohl Ukash als auch PaySafeCard hinterlassen nur schwache Spuren (PDF/engl.).

2012 gab es verschiedene Typen der Reveton-Varianten mit neuen Techniken. Während der zweiten Jahreshälfte berichtete Trend Micro über Varianten, die eine Audioaufzeichnung in der Muttersprache des Opfers enthielten und eine andere Variante mit einem gefälschten digitalen Zertifikat.

Die Entwicklung zu CryptoLocker und Krypto-Ransomware  

Ende 2013 tauchte ein neuer Ransomware-Typus auf, der neben dem Sperren des Systems Dateien verschlüsselte. Diese Verschlüsselung stellte sicher, dass die Opfer auch dann das Lösegeld zahlen, wenn die Schadsoftware selbst gelöscht wird. Wegen dieses Verhaltens wurde sie als CryptoLocker bezeichnet. Wie schon die früheren Ransomware-Typen, verlangte Krypto-Ransomware Lösegeld für einen Decryption-Schlüssel für die Dateien.  

CryptoLocker message

CryptoLocker scan
Obwohl die Lösegeldnachricht in CryptoLocker nur „RSA-2048“ als Verschlüsselungsmethode angibt, zeigt die Analyse, dass die Schadsoftware AES + RSA-Verschlüsselung nutzt.

RSA ist eine asymmetrische Kryptographiemethode, das heißt, sie nutzt zwei Schlüssel. Einer wird für die Verschlüsselung der Daten eingesetzt, der andere für die Entschlüsselung (der eine wird öffentlicher Schlüssel genannt und öffentlich zur Verfügung gestellt, den anderen, den privaten Schlüssel, behält der Nutzer). AES verwendet symmetrische Schlüssel, das heißt, derselbe Schlüssel kommt für die Ver- und Entschlüsselung zum Einsatz.

Die Schadsoftware verwendet einen AES-Schlüssel für die Verschlüsselung der Dateien. Der AES-Schlüssel für die Entschlüsselung ist in die von der Malware verschlüsselte Datei mit eingebaut. Dieser Schlüssel ist aber mit einem RSA öffentlichen Schlüssel verschlüsselt, der in die Malware eingebettet ist. Deshalb bedarf es eines privaten Schlüssels für die Entschlüsselung.

Weitere Forschung ergab, dass eine Spam Kampagne hinter den CryptoLocker-Infektionen stand. Die Spam-Nachrichten enthielten bösartige Anhänge mit TROJ_UPATRE, einer Schadsoftware-Familie, für die kleine Dateien und einfache Download-Funktionalität kennzeichnend sind. Sie lädt eine ZBOT-Variante herunter, die dann wiederum die CryptoLocker-Schadsoftware herunter lädt.

Gegen Ende 2013 tauchte neue Variante von CryptoLocker auf mit Routinen zur Verbreitung. Die als WORM_CRILOCK.A erkannte Variante verbreitet sich über Wechselmedien, eine bis dahin in anderen CRILOCK-Varianten unbekannte Routine. Damit kann sich die Schadsoftware im Vergleich zu anderen Varianten einfach ausbreiten. Sie baut nicht auf Downloader wie CRILOCK, um Systeme zu infizieren, sondern gibt vor, ein Activator für Software zu sein, die in Peer-to-Peer (P2P) File Sharing Sites genutzt wird. Technische Unterschiede ließen manche Forscher annehmen, die Malware sei von einem Trittbrettfahrer produziert worden.

Bald kam ein weiterer Ransomware-Typus auf, der ebenfalls Dateien verschlüsselte. CryptoDefense oder Cryptorbit (TROJ_CRYPTRBIT.H) verschlüsselt Datenbank-, Web-, Office-, Video-, Bild-, Script-, Text und andere nichtbinäre Dateien, löscht Backup-Dateien, um die Wiederherstellung von verschlüsselten Dateien zu verhindern und fordert ein Lösegeld für die Entschlüsselung der verschlüsselten Dateien.

Exkurs zum Kryptowährungs-Diebstahl

Ransomware schloss bald ein weiteres Element mit ein: Diebstahl von Kryptowährung (z.B. Bitcoin). 2014 beobachtete Trend Micro zwei Varianten einer neuen Schadsoftware namens BitCrypt. Die erste,  TROJ_CRIBIT.A hängt „.bitcrypt” an jede verschlüsselte Datei an und zeigt eine Nachricht auf Englisch an. Die zweite, TROJ_CRIBIT.B,  hängt an den Dateinamen „bitcrypt 2″ an und nutzt Lösegeldforderungen in 10 Sprachen. CRIBIT-Varianten verwenden den Verschlüsselungsalgorithmus RSA(426)-AES und RSA(1024)-AES für die Verschlüsselung der Dateien und fordern als Zahlmittel Bitcoins.

Die Forscher fanden auch heraus, dass eine Variante der FAREIT-Malware für den InformationsdiebstahlTSPY_FAREIT.BB, TROJ_CRIBIT.B herunter lädt. Diese Variante kann Informationen aus verschiedenen Kryptowährungs-Wallets stehlen, einschließlich wallet.dat (Bitcoin), electrum.dat (Electrum) und .wallet (MultiBit). Diese Dateien enthalten wichtige Informationen wie Transaktions-Records, Nutzereinstellungen und Konten.

Das Angler Exploit Kit

2015 war das Angler Exploit Kit eines der beliebtesten für die Verbreitung von Ransomware und wurde vor allem in einer Reihe von Malvertisment-Angriffen über beliebte Medien wie Nachrichten-Sites und lokalisierte Sites eingesetzt. Angler wurde permanent aktualisiert und mit einigen Flash Exploits versehen. Bekannt wurde Angler auch durch den Einsatz in Kampagnen wie dem Leak des Hacking Team und Pawn Storm. Aufgrund der einfachen Integration bleibt Angler eine häufige Wahl als Mittel zur Verbreitung von Ransomware.

POSHCODER: Missbrauch der Power Shell

Eine neue Ransomware-Variante und CryptoLocker nutzten Windows PowerShell-Fähigkeiten, um Dateien zu verschlüsseln. Trend Micro erkennt dies als TROJ_POSHCODER.A. Windows PowerShell ist eine in Windows 7 und höher eingebettete Funktionalität. Cyberkriminelle nutzen diese Fähigkeit häufig aus, um die Entdeckung ihrer Bedrohungen auf dem System oder im Netzwerk zu verhindern.  

POSHCODER nutzt AES-Verschlüsselung und einen RSA 4096 öffentlichen Schlüssel, um besagten AES-Schlüssel zu verschlüsseln. Sobald alle Dateien auf dem infizierten System verschlüsselt sind, zeigt die Malware folgendes Bild an:

Ransomware infiziert kritische Dateien

Die Tatsache, dass Cyberkriminelle sehr gern auf Krypto-Ransomware zurückgriffen, bedeutet jedoch nicht, dass andere Typen der Erpressersoftware verschwanden. Polizei-Ransomware wurde immer wieder entdeckt. Sie sperrte Bildschirme auf infizierten Computern und zeigte folgendes Bild:

Diese bestimmte Ransomware unterschied sich von anderer Polizei-Erpressersoftware, weil sie auf gepatchte Schadsoftware für die Infektion von Systemen setzt. Gepatchte Malware ist jede legitime Datei, die mit bösartigem Code modifiziert wurde (über Hinzufügen oder Injection). Ändern einer legitimen Datei kann für Cyberkriminelle sehr vorteilhaft sein, denn die Anzahl der Ausführungen des bösartigen Codes hängt von der Häufigkeit der Nutzung der infizierten Datei ab.

Diese Ransomware ist auch deshalb so bekannt, weil sie die kritische Datei user32.DLL infiziert. Das Infizieren einer kritischen Datei kann als Vermeidungstechnik gesehen werden, weil sie dazu beträgt, dank Whitelisting die Entdeckung über Verhaltensmonitoring-Tools zu verhindern. Außerdem erfordert das Säubern von kritischen Dateien wie user32.DLL besondere Sorgfalt, denn ein Fehler kann zum Absturz des Systems führen.

Die infizierte user32.DLL führt eine Kette von Routinen aus, die schließlich zum Laden der Ransomware führt. Sie sperrt auch den Bildschirm des infizierten Computers und bringt ein „Ransom”-Bild, ähnlich den früheren Polizei-Nachrichten.

Innerhalb nur weniger Jahre hat sich Ransomware von einer Bedrohung für russische Ziele zu einem Angriff auf mehrere europäische und nordamerikanische Länder entwickelt. Aufgrund des profitablen Geschäftsmodells und einem Bezahlmodell, das den Betreibern Anonymität gewährt, kann man davon ausgehen, dass sich die Weiterentwicklung der Erpressersoftware noch beschleunigen wird. Deshalb ist es für Nutzer von großer Bedeutung zu wissen, wie Ransomware funktioniert und wie sie sich am besten davor schützen können.

Zu verschlüsselnde Dateien

Frühere Krypto-Ransomware-Arten zielten auf .DOC, .XLS, .JPG, .ZIP, .PDF und andere häufig genutzte Dateien. Dann aber schlossen die Cyberkriminellen eine Reihe weiterer für Unternehmen kritische Dateitypen mit ein: Datenbank-, Website-, SQL-, steuerbezogene, CAD- und virtuelle Desktop-Dateien.   

Ransomware hat sich weiter entwickelt: moderne Ransomware

Nach dem Wechsel zu Krypto-Ransomware hat sich die Malware weiter entwickelt, und es sind Merkmale hinzugekommen. wie Countdown Timer, höhere Lösegeldforderungen sowie Infektionsroutinen, die die Verbreitung in Netzwerken und über Server hinweg ermöglichen. Die jüngsten Entwicklungen zeigen, wie Bedrohungsakteure mit neuen Merkmalen experimentieren, etwa dem Angebot alternativer Zahlplattformen, um die Zahlung des Lösegelds zu vereinfachen, Routinen, die drohen, nicht zahlungswilligen Opfern erheblichen Schaden zuzufügen sowie neue Verteilmethoden.

Zu den bekanntesten Krypto-Ransomware-Familien 2016 gehören folgende:

 

 

LOCKY (RANSOM_LOCKY.A) – wurde im Februar 2016 entdeckt und war für die Verbreitungsmethoden berüchtigt. Zuerst wurde Locky als Makro in einem Word-Dokument entdeckt, dann über Adobe Flash und Windows Kernel Exploits. Es ist eine der am aktivsten aktualiserten Ransomware-Familien, und sie ist bekannt dafür, die Schattenkopien der Dateien zu löschen, sodass lokale Backups nutzlos sind. Auch erlangte die Schadsoftware fragwürdige Berühmtheit durch die breitangelegten Angriffe auf Gesundheitseinrichtungen.

PETYA (RANSOM_PETYA.D)– wurde zuerst im März 2016 beobachtet, überschreibt den Master Boot Record (MBR) des infizierten Systems und wird über legitime Cloud-Speicherdienste wie Dropbox ausgeliefert.

CERBER (RANSOM_CERBER.A) – wurde zuerst Anfang März 2016 beobachtet. CERBER stach durch eine Stimmfunktion hervor, die die Lösegeldforderung vorlas. Auch hatte die Schadsoftware eine anpassbare Konfigurationsdatei, die den Distributoren die Modifizierung der Komponenten ermöglichte – ein Feature, das aus den Angeboten in den Untergrundmärkten bekannt ist. CERBER wurde in einem Angriff genutzt, der möglicherweise Millionen Microsoft Office 365 -Nutzer dem Infektionsrisiko aussetzte. 

SAMSAM (RANSOM_CRYPSAM.B) – wurde zuerst im März 2016 beobachtet. SAMSAM wird installiert, nachdem die Angreifer Sicherheitslücken in nicht gepatchten Servern ausnutzen – anstatt des Verschickens der üblichen bösartigen URLs und Spam-Mails. Die Exploits werden für die Kompromittierung weiterer Maschinen eingesetzt.

JIGSAW (RANSOM_JIGSAW.I) – tauchte im April 2016 auf und mischte effizient Einschüchterungstaktiken mit einer innovativen Routine. Sie verwendet Bildmotive aus dem Film-Franchise von Saw, und die Lösegeldnachricht umfasst einen Countdown Timer als zusätzliches Druckmittel auf das Opfer. Es wird damit gedroht, bei Weigerung zu zahlen, Teile der verschlüsselten Dateien zu löschen und gleichzeitig die Forderung zu erhöhen, jedesmal wenn der Countdown ausläuft. Neuere Jigsaw-Varianten umfassten auch einen Chat Support als Möglichkeit, die Kriminellen zu kontaktieren. 

Der bislang umfangreichste Angriff

Auch wenn diese Routinen nicht ganz neu sind, so funktionieren sie noch und werden von Ransomware-Akteuren eingesetzt. Ein typisches Beispiel dafür ist die Ransomware-Variante WannaCry/WCRY, die sich ursprünglich über bösartige Dropbox-URLs in Spam eingebettet verbreitete. Sie unternahm im Mai eine unerwartete Wendung. Sie begann eine kürzlich gepatchte Sicherheitslücke in SMB Server auszunutzen, und es folgte der bislang größte Ransomware-Angriff.

Auch schon bevor WannaCry ihr Unwesen trieb, hatten Unternehmen und Einzelpersonen unter den bösen Folgen dieser Art von Bedrohung zu leiden. Der Report “Ransomware: Früher, jetzt und künftig“ fasst alle Einzelheiten dazu zusammen. Nach nur einem Jahr stieg die Anzahl der Ransomware-Familien um 752%.

Die Zukunft von Ransomware

Ransomware wird sich wahrscheinlich in den nächsten paar Jahren verändern. Sie könnte Fähigkeiten entwickeln, um ganze Infrastrukuren (nicht nur die eines Unternehmens sondern einer ganzen Stadt oder gar Landes) zu blockieren, bis Lösegeld gezahlt wird. Cyberkriminelle könnten bald Ansätze wie Angriffe auf Industrial Control Systems (ICS) und andere kritische Infrastrukturen erwägen, um nicht nur Netzwerke sondern ganze Ökosysteme zu lähmen. Ein Schlüsselbereich könnte ein noch größeres Ziel für Cyberkriminelle werden: Zahlsysteme. So gesehen beim Angriff auf Bay Area Transit 2016, wobei die Kassenhäuschen des Service Providers von Ransomware attackiert wurden.

Ransomware-Akteure haben Krankenhäuser und Transportdienstleister angegriffen. Was sollte sie davon abhalten, größere Ziele wie Industrieroboter in der Fertigung oder Infrastrukturen in der Smart City zu attackieren? Online-Erpressung ist dabei, von Computern und Server-Geiselnahmen hin auf jegliche ungenügend geschützte vernetzte Geräte zu wechseln, einschließlich Smart Devices oder kritische Infrastrukturen. Der Return on Investment (ROI) und die einfache Handhabung garantieren, dass Cyberkriminelle auch künftig ihren Profit aus diesen Angriffen ziehen werden.

Die Bitcoin Connection

Mit Ausnahme weniger Ransomware-Familien, die hohe Lösegeldsummen verlangen, fordern die meisten 0.5−5 Bitcoins (2016) als Gegenleistung für den Decryption-Schlüssel. Dies ist aus zwei Gründen wichtig – einige Varianten erhöhen die Forderung je länger nicht gezahlt wird, und außerdem ist der Bitcoin-Wechselkurs im Steigen. Im Januar 2016 war 1 BTC 431 $ wert. Der Wert von Bitcoin ist seither enorm gestiegen und erreichte Ende März 2017 einenSpitzenwert von 1.082 $.

Ransomware-Verteidigung, Verhinderung und Säuberung

Ransomware-Verteidigung

Es gibt keine Allzweckwaffe, um Ransomware zu stoppen, doch hindert ein mehrschichtiger Ansatz die Schadsoftware daran, Netzwerke und Systeme zu erreichen. Es ist die beste Möglichkeit, das Risiko zu minimieren.

Für Unternehmen: Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht — physische, virtuelle oder solche in der Cloud.

Für kleine Unternehmen: bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um Ransomware zu erkennen und zu blocken.

Privatanwender: schließlich können sich über Trend Micro Security 10 schützen. Die Lösung bietet hohen Schutz vor Ransomware, denn bösartige Websites, Mails und Dateien im Zusammenhang mit dieser Bedrohung werden blockiert.

Ransomware-Verhinderung:

  • Vermeiden Sie nicht verfizierte Mails zu öffnen oder auf darin eingebettete Links zu klicken.
  • Sichern Sie wichtige Dateien nach der 3-2-1 Regel— Erstellen von 3 Backup-Kopien auf 2 unterschiedlichen Medien mit 1 Backup an einem separaten Standort.
  • Spielen Sie regelmäßig Update auf Ihre Software, Programme und Applikationen auf, um sie vor den neuesten Schwachstellen zu schützen.

Anti-Ransomware Tools und Lösungen

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Jüngste bekannte Ransomware

Trend Micro Detection Notable Features Month-Year discovered
RANSOM_MILICRY.A
  • Uses Imgur photo upload service for its C&C routine
09 2016
RANSOM_POGOTEAR.A
  • Uses Pokemon Go as social engineering
08 2016
RANSOM_CRYPBEE.A
  • Also known as R980 ransomware
  • Resembles RANSOM_MADLOCKER
08 2016
RANSOM_JSRAA.D
  • Written in Jscript
  • Arrives via .LNK file
  • Opens a fake Russian error message
07 2016
RANSOM_CRYPMIC.A
  • Distributed by Neutrino exploit kit
  • Shares similarities with WALTRIX/CRYPTXXX
07 2016
RANSOM_STAMPADO.A
  • Has similarities with JIGSAW
  • Threatens to delete encrypted files after certain hours of non-payment
  • Sold in the underground
07 2016
RANSOM_MIRCOP.A
  • Arrives as fake Thai customs form
  • Asks for 40 bitcoins, one of the highest ransom demands, as payment
06 2016
RANSOM_JOKOZY.A
  • Employs RSA 2048 asymmetric encryption
06 2016
RANSOM_JSRAA.A
  • Uses Jscript for relatively easy execution in Internet Explorer
06 2016
RANSOM_ZCRYPT.A
  • Capable of spreading via USB
  • Runs on Windows 64-bit operating systems
  • Increases ransom when not paid during a certain time period
05 2016

Visit the Threat Encyclopedia for the latest notable ransomware

Liste der bekannten Ransomware-Familien

Family Name Aliases Description
ACCDFISA Anti Cyber Crime Department of Federal Internet Security Agency Ransom First spotted early 2012; Encrypts files into a password-protected; Cybercriminals behind this ransomware asks payment thru Moneypak, Paysafe, or Ukash to restore the files and unlock the screen; Known as a multi-component malware packaged as a self-extracting (SFX) archive; May come bundled with third party applications such as Sdelete and WinRAR
ANDROIDOS_LOCKER   First mobile ransomware spotted; Uses Tor, a legitimate service that allows anonymous server connections; Users with mobile devices affected by this malware may find the files stored in their mobile device rendered useless and held for ransom
CRIBIT BitCrypt Similar to CRILOCK with its use of RSA-AES encryption for target files; Version 1 uses RSA-426; Version 2 uses RSA-1024; Appends the string bitcryp1 (for version 1) and bitcrypt2 (for version 2) to the extension name of the files it encrypts
CRILOCK CryptoLocker Employs Domain Generation Algorithm (DGA) for its C&C server connection; October 2013 - UPATRE was found to be the part of the spam mail that downloads ZBOT, which further downloads CRILOCK
CRITOLOCK Cryptographic locker Uses advanced encryption standard (AES-128) cryptosystem; The word Cryptolocker is written in the wallpaper it uses to change an affected computer's wallpaper
CRYPAURA PayCrypt Encrypts files and appends the corresponding email address contact for file decryption; PayCrypt version appends .id-{victim ID}-paycrypt@aol.com to files it encrypts
CRYPCTB Critroni, CTB Locker, Curve-Tor-Bitcoin Locker Encrypts data files; Ensures there is no recovery of encrypted files by deleting its shadow copies; Arrives via spam mail that contains an attachment, actually a downloader of this ransomware; Uses social engineering to lure users to open the attachment; Uses Tor to mask its C&C communications
CRYPDEF CryptoDefense To decrypt files, it asks users to pay ransom money in bitcoin currency
CRYPTCOIN CoinVault Encrypts files and demands users to pay in bitcoin to decrypt files; Offers a one-time free test to decrypt one file
CRYPTFILE   Uses unique public key generated RSA-2048 for file encryption and also asks users to pay 1 bitcoin to obtain private key for decrypting the files
CRYPWALL CryptoWall, CryptWall, CryptoWall 3.0, Cryptowall 4.0 Reported to be the updated version of CRYPTODEFENSE; Uses bitcoin currency as mode of payment; Uses Tor network for anonymity purposes; Arrives via spam mail, following UPATRE-ZBOT-RANSOM infection chain; CryptoWall 3.0 comes bundled with FAREIT spyware; Cryptowall 4.0 encrypts file name of files it encrypts and follows an updated ransom note, it also comes from spam as a JavaScript attachment, and may be downloaded by TROJ_KASIDET variants
CRYPTROLF   Shows troll face image after file encryption
CRYPTTOR   Changes the wallpaper to picture of walls and asks users to pay the ransom
CRYPTOR batch file ransomware Arrives thru DOWNCRYPT; A batch file ransomware capable of encrypting user files using GNU Privacy Guard application
DOWNCRYPT batch file ransomware Arrives via spam email; Downloads BAT_CRYPTOR and its components such as a decoy document
VIRLOCK VirLock, VirRansom Infects document files, archives, and media files such as images
PGPCODER   Discovered in 2005; first ransomware seen
KOLLAH   One of the first ransomware that encrypts files using certain extension names; Target files include Microsoft Office documents, PDF files, and other files deemed information-rich and relevant to most users; Adds the string GLAMOUR to files it encrypts
KOVTER   Payload of the attack related to YouTube ads that lead to the Sweet Orange exploit kit
MATSNU   Backdoor that has screen locking capabilities; Asks for ransom
RANSOM   Generic detection for applications that restrict the users from fully accessing the system or encrypts some files and demands a ransom in order to decrypt or unlock the infected machine
REVETON Police Ransom Locks screen using a bogus display that warns the user that they have violated federal law; Message further declares the user's IP address has been identified by the Federal Bureau of Investigation (FBI) as visiting websites that feature illegal content
VBUZKY   64-bit ransomware; Attempts to use Shell_TrayWnd injection; Enables TESTSIGNING option of Windows 7
CRYPTOP Ransomware archiver Downloads GULCRYPT and its components
GULCRYPT Ransomware archiver Archives files with specific extensions; Leaves a ransom text file containing the instructions on who to contact and how to unpack the archives containing user's files
CRYPWEB PHP ransomware Encrypts the databases in the web server making the website unavailable; Uses HTTPS to communicate with the C&C server; Decrypt key is only available in the C&C server
CRYPDIRT Dirty Decrypt First seen in 2013 before the emergence of Cryptolocker
CRYPTORBIT   Detection for images, text, and HTML files which contain ransom notes that are indicators of compromised (IOC)
CRYPTLOCK TorrentLocker Poses as CryptoLocker; newer variants display crypt0l0cker on the affected computer; uses a list of file extensions that it avoids encrypting, compared to usual ransomware that uses a list of file extensions to encrypt - this allows CRYPTLOCK to encrypt more files while making sure the affected computer still runs, ensuring users know that their files are encrypted and access to the Internet to pay the ransom is still present
CRYPFORT CryptoFortress Mimics TorrentLocker/CRYPTLOCK user interface; Uses wildcards to search for file extensions; encrypts files in shared folders
CRYPTESLA TeslaCrypt User interface is similar to CryptoLocker; encrypts game-related files; Versions 2.1 and 2.2 appends encrypted files with .vvv and .ccc; Version 3.0 has an improved encryption algorithm and appends .xxx, .ttt, and .mp3 to files it encrypts
CRYPVAULT VaultCrypt Uses GnuPG encryption tool; downloads hacking tool to steal credentials stored in web browsers; uses sDelete 16 times to prevent/hinder recovery of files; has a customer support portal; is a batch script crypto-ransomware
CRYPSHED Troldesh First seen in Russia; added English translation to its ransom note to target other countries; aside from appending .xtbl to the file name of the encrypted files, it also encodes the file name, causing affected users to lose track of what files are lost
SYNOLOCK SynoLocker Exploits Synology NAS devices' operating system (DSM 4.3-3810 or earlier) to encrypt files stored in that device; has a customer support portal
KRYPTOVOR Kriptovor Part of a multi-component infection; aside from its crypto-ransomware component, it has an information stealing component that steals certain files, processes list, and captures desktop screenshot; uses an open source Delphi library called LockBox 3 to encrypt files
CRYPFINI CryptInfinite, DecryptorMax Arrives via spam with macro attachment, the spam mail usually pretends to be a job application linked to a Craigslist post; Appends .crinf files
CRYPFIRAGO   Uses Bitmessage for communication with its creators; Appends .1999 or .bleep to files it encrypts
CRYPRADAM Radamant May arrive via exploit kits; Appends .rdm to files it encrypts
CRYPTRITU Ransom32 Known as the JavaScript ransomware
CRYPBOSS CrypBoss Appends .crypt to files it encrypts
CRYPZUQUIT Zuquitache, Fakben Known as the ransomware-as-a-service (RaaS) malware
CRYPDAP PadCrypt Has live chat support for affected users; Arrives via spam
CRYPHYDRA HydraCrypt Based on leaked source code of CrypBoss; Arrives via spam
LOCKY Locky Renames encrypted files to hex values; Appends .locky to files it encrypts; Arrives via spam with macro-embedded .DOC attachment, similar to the arrival of DRIDEX malware
CERBER Cerber Encrypts the file name and appends it with .cerber; Drops a .VBS file that makes the computer speak to the victim
CRYPSAM SAMSAM Uses exploits on JexBoss open source server application and other Java-based application platforms to install itself in targeted Web application servers
PETYA Petya Causes blue screen and displays its ransom note at system startup
WALTRIX CRYPTXXX, WALTRIX, Exxroute Arrives as a .DLL file; Distributed by the Angler Exploit Kit; Locks screens and encrypts all files; Appends the extension .crypt
CRYPSALAM Salam Encrypts files and drops a ransom note formatted as {month}-{day}-{year}-INFECTION.TXT; Asks the users to contact the ransomware creator via email to decrypt the files
JIGSAW Jigsaw Deletes files and increases ransom amount each hour; Some variants have live chat support for its victims; Some use porn-related ransom messages
MIRCOP Mircop Arrives as spam with an attached macro-enabled document abusing Windows PowerShell to execute; Ransom note diplays hooded figure wearing a Guy Fawkes mask
JSRAA RAA Written in JScript, which is designed for Windows Scripting Host engine in Internet Explorer; does not run in Microsoft Edge browser
GOOPIC Goopic Arrives via Rig Exploit Kit; Uses a professionally-designed interface
APOCALYPSE Apocalypse Appends the .encrypted extension to encrypted files; Requires the victim to email the hacker for ransom instructions
JOKOZY KozyJozy Appends to encrypted files a random extension name selected from an array using the pattern .31392E30362E32303136_(0-20)_LSBJ1
CRYPMIC   Has similar routines with WALTRIX
STAMPADO Stampado Has similarities to JIGSAW ransom notes, reportedly sold in underground markets with a lifetime license