Ransomware – Die Geißel ihrer Daten

„Gestern Abend ging noch alles!“ klagt ein guter Freund von mir, welcher leider Opfer einer Ransomware Attacke wurde. Sein Firmennetzwerk, welches 20 Rechner und 2 Server beinhaltete, gaben nur noch die Aufforderung, eine bestimmte Summe in Bitcoins zu begleichen. „Ich kann nicht auf die Buchhaltung und Kundendaten zugreifen, was soll ich machen? Soll ich bezahlen? Bekomme ich dann wieder die Kontrolle über meine Daten?“.
Kommt ihnen das bekannt vor? Falls ja, wissen sie bereits wie ärgerlich solch ein Zwischenfall ist. Im schlimmsten Fall sind auch keine Backups vorhanden, oder diese sind ebenfalls verschlüsselt. Nun lassen sie uns diesen Fall Analytisch sezieren und auf eine Prävention und Lösung hinarbeiten.

Was ist Ransomware?

Ransomware (auch Erpressungs und Kryptotrojaner genannt), ist eine spezielle Art der Malware. In „harmlosen“ Varianten startet sich mit dem hochfahren des Computers eine bildschirmfüllende Nachricht, in der sie Aufgefordert werden eine Summe mittels anonymer Zahlungsdienste, zu entrichten, da sie ansonsten den Rechner nicht benutzen können. Inwiefern ist dies harmlos? Nun, der Taskmanager lässt sich nicht starten, sie können das Fenster nicht schließen, und die Maus hat ein Eigenleben entwickelt. Ihre Daten sind zu diesem Zeitpunkt unverändert. Eine einfache Reinigung mit einem Live Antiviren-System ist die Lösung.

 

Was ist aber wenn sie folgende Bildschirmausgabe sehen?

 

bild-maktub-locker

[Quelle: bbc.com]
Nun, in diesem Fall sind ihre Daten verschlüsselt. Wie sie sehen ist der Urheber der Nachricht höchste Anonymität aus, da dieser sich nur über das DeepWeb ( auch Darknet gennant) kontaktieren lässt. Was können sie tun um ihre Daten zu retten? Wir haben eine Liste aufgearbeitet nach der sie Vorgehen können, um in solch einen Fall das richtige zu tun:
1. Trennen sie sofort den Rechner vom Netz. Solange die Malware Möglichkeiten hat sich in ihrem Heim oder Firmennetzwerk zu verbreiten, wird sie dies auch tun.
2. Machen sie eine Kopie der verschlüsselten Daten
3. Gehen sie nicht auf die Zahlung ein. Das BSI rät davon ab, da eine Entschlüsselung ihrer Daten seitens der Betreiber dieser Malware äußerst gering ist.

 

 

Ich brauche meine Daten wieder?!

Inzwischen gibt es eine Initiative die von mehreren Institutionen unterstützt wird, und kostenlos versucht zu helfen: https://www.nomoreransom.org/

bild-crypto-sheriff

Bei diesem Webangebot können sie 2 verschiedene verschlüsselte Dateien hochladen (oder die Textnachricht des Bildschirms) hochladen. Der „Crypto Sheriff“ überprüft anhand der einzigartigen Struktur der Verschlüsselung ob bereits ein Entschlüsselungstool für ihren Fall vorhanden ist. Und sollte dies der Fall sein, können sie ihre Daten komplett wiederherstellen.