Sicherheitsexperte hat Ransomware-Notfallkit für IT-Profis herausgebracht

CyberkriminalitätSicherheit
Android-Variante der Erpresser-Malware Cryptolocker ist aufgetaucht.

Es richtet sich auch an Systemadministratoren. Der Bausatz umfasst mehrere bereits verfügbare Tools von Sicherheitsunternehmen. Im Idealfall lassen sich damit CryptoLocker, FBIRansomWare, CoinVault sowie die CyptoLocker-Variante TeslaCrypt beseitigen.

Der Sicherheitsforscher Jada Cyrus hat ein Ransomware Response Kit für Betroffene von Schadsoftware zusammengestellt, die durch Verschlüsselung persönlicher Dateien ein Lösegeld zu erpressen versucht. Es richtet sich in erster Linie an Systemadministratoren und IT-Profis.

cryptolocker-bitcoin-f-secure (Screenshot: F-Secure)
Cryptolocker verlangt lediglich 0,5 Bitcoin für die Freigabe des Bildschirms und der Daten (Screenshot: F-Secure).

Vor jedem Löschversuch empfiehlt Cyrus, nach Möglichkeit eine Kopie für spätere Auswertungen zu erstellen. Die Erpressersoftware kann dann entfernt werden, wenn ihre Identität ermittelt wurde. Das Kit enthält Löschwerkzeuge verschiedener Hersteller, darunter finden sich zwei für CryptoLocker und je eines für FBIRansomWare, CoinVault sowie die CyptoLocker-Variante TeslaCrypt. Hinzu kommt das universell ausgelegte TrendMicro Ransomware Removal Tool.

Für Entschlüsselungsversuche ist es entscheidend, die Identität der Malware festzustellen, da Dateien andernfalls unbrauchbar gemacht werden könnten. Alternativ sollte geprüft werden, ob Backups für die Wiederherstellung eines Zustandes vor der Infektion existieren.

Generell rät Cyrus dazu, kein Lösegeld zu zahlen. Das würde die kriminellen Hintermänner nur ermutigen, ihre Angriffe weiterhin durchzuführen. Ohnehin scheinen die von derartigen Programmen verlangten Lösegelder kontinuierlich zu steigen. Ein von Symantec vor Kurzem ermitteltes Exemplar, das vorwiegend in Australien im Umlauf ist, forderte eine Summe von rund 700 Euro. Demgegenüber gab sich eine für Android konzipierte Ransomware im Sommer 2014 noch mit 16 Euro zufrieden.

Mitte April hatte Kaspersky eine Anfälligkeit in der Erpressersoftware Scraper festgestellt: Aufgrund einer fehlerhaften Implementierung der Verschlüsselungsalgorithmen AES-256 und RSA-2048 lässt sie eine Dechiffrierung auch ohne den korrekten Schlüssel zu. Ein Tool von Kaspersky entschlüsselt die Dateien des Anwenders in rund 70 Prozent aller Fälle. Es entfernt überdies die Dateien der Schadsoftware.

Ransomware ist ein immer häufiger von Kriminellen genutzter Weg, an das Geld argloser Anwender zu gelangen. Sie setzen dabei bereits bei der Installation auf die Ängste der Nutzer: Oftmals täuscht eine Phishing-Mail vor, von der Polizei zu stammen. Das Opfer habe illegal Inhalte heruntergeladen. Der vermeintlich von Behörden kommende Dateianhang beinhaltet schließlich die Malware.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen