Folgt nun der „Rexit“? Läutet Ranscam das Ende von Ransomware ein?

Ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro, zur Erpressersoftware Ranscam

Tags: #cryptoransomware #erpressersoftware #verschlüsselung #av #trendmicro #bedrohung #datensicherung #ranscam #backup #löschen #cloudspeicher #sicherheitssoftware #whitelisting #news #nachrichten #crypto-ransomware-file-decryptor #trendmicro-anti-ransomware #screenlock #bildschirmsperre #rexit

Hallbergmoos, 15. Juli 2016. Das Thema Ransomware und insbesondere Crypto-Ransomware beherrscht die Schlagzeilen. Alle rechnen damit, dass es noch schlimmer wird. Mittlerweile gehen Firmen sogar dazu über, Geld zurückzustellen, um die Cyberkriminellen, die ihre Dateien verschlüsseln, zu bezahlen und dadurch wieder an ihre Informationen – die Grundlage ihres Geschäfts – zu kommen. Doch jetzt ist eine Variante der Erpressersoftware aufgetaucht, die sich merkwürdig verhält: „Ranscam“ entschlüsselt Dateien auch nach Bezahlung des „Lösegelds“ nicht. Damit dürfte die Bereitschaft der Opfer sinken, auf die Forderungen der Online-Gangster einzugehen. Ist das der Anfang vom Ende von Ransomware, folgtr nun gewissermaßen der Rexit?

Statt Dateien zu verschlüsseln, werden sie von „Ranscam“ gelöscht. Auf den ersten Blick sieht das nach typischer Trittbrettfahrerei aus. Anstatt Zeit und Ressourcen zur Entwicklung einer „richtigen“ Ransomware zu investieren, hofft man auf Opfer, die einfach zahlen. Gedanken um die Wiederherstellung der Daten braucht sich der Schreiber von „Ranscam“ nicht zu machen. Diese neue Masche hat allerdings Auswirkungen auf das gesamte Ökosystem der Ransomware-Hintermänner.

Steckt ein Nestbeschmutzer dahinter?
Sollte „Ranscam“ im größeren Maßstab (negative) Bekanntheit erlangen, sinkt natürlich bei Opfern generell die Bereitschaft zu zahlen – auch bei Infektionen mit „normaler“ Erpressersoftware. Denn die Botschaft lautet: Es lohnt sich nicht zu zahlen, da die Daten ohnehin weg sind. Und das ist dem Geschäftsmodell natürlich nicht förderlich. Welche persönlichen oder gar gesundheitlichen Konsequenzen das jetzt für die Hintermänner von Ranscam hat, die damit unter Umständen ein florierendes Geschäftsmodell osteuropäischer Cyberkrimineller mit guten Verbindungen zur organisierten Kriminalität zerstören, sei dahingestellt.

Aus unseren Forschungen wissen wir, dass unseriöse Anbieter oder Käufer von Untergrundprodukten oder Dienstleistungen durchaus an den virtuellen Pranger gestellt werden. Beim sogenannten „Doxing“ werden alle erreichbaren Daten des Betroffenen, teilweise inkl. aller persönlichen Daten wie Wohnadresse, Familienstand, Hobbies etc. gesammelt und in Foren veröffentlicht. Der Schritt in die reale Welt, bei der dann ein unfreundlicher Zeitgenosse auf einmal vor der Haustüre steht oder beim Kindergarten wartet, ist dann nur noch ein kleiner. Und in diesen Fällen geht es „nur“ um unseriöse Transaktionen. Bei Ranscam sprechen wir aber von der Gefährdung eines ganzen Untergrund-Wirtschaftszweigs. Da kommen auf einmal ganz andere Größenordnungen zum Tragen – evtl. auch mit ganz anderen Konsequenzen für den Delinquenten.

Noch einmal ordentlich Kasse machen?
Der zeitlich damit zusammenfallende massive Anstieg von Angriffen mit der Locky-Ransomware lässt sich vor diesem Hintergrund auf mehrere Arten deuten: Vielleicht ist die Brisanz von „Ranscam“ doch nicht so hoch wie von den Hintermännern „normaler“ Ransomware befürchtet (oder potentiellen Opfern erhofft). Oder aber sie stellt einen Versuch dar, jetzt noch einmal ordentlich Kasse zu machen, bevor das Erpressersoftware-Geschäftsmodell in sich zusammenbricht. Natürlich besteht auch die Möglichkeit, dass der „Ranscam-Effekt“ schlichtweg verpufft.

Nicht zahlen, Vorsorge treffen!
Was für Privatanwender mit viel Zeit und Mühe verbunden ist, kann für Unternehmen existenzbedrohend sein. Firmen, die auf ihre Daten nicht mehr zugreifen können, müssen unter Umständen ihren Geschäftsbetrieb einstellen. Der bereits erwähnte Ansatz, auf die Bedrohung durch Erpressersoftware durch rein finanzielle Vorsorge zu reagieren, entpuppt sich spätestens mit „Ranscam“ als falsch.

Denn auch vor „Ranscam“ gab es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.

Nein zu Ransomware
Als erste Hilfe im Fall einer Infektion mit „normaler“ Erpressersoftware hilft Trend Micro mit zwei kostenlos abrufbaren Tools: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:

1. Backups anlegen
Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

2. Mehrschichtige Sicherheitslösungen helfen
Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor Bedrohungen durch Erpressersoftware schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes „Whitelisting“).

Weitere Informationen
Weitere Details zu „Ranscam“ sind auf dem deutschen Trend-Micro-Blog abrufbar.


Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.