8 Feb 2017

No More Ransom schreitet zur Rettung

Malware Sicherheit

An einem Tag im Mai 2016 loggte sich Marion, eine Computernutzerin aus Deutschland, in ihren Heimcomputer ein. Sie hatte keine Ahnung, was dort auf sie warten würde.

Das erste schlechte Zeichen war, dass ihr Computer nicht normal hochfuhr und sie nicht zu ihrem Desktop gelangen konnte. Selbst nach einem Neustart änderte sich nichts. Dann entdeckte sie die Lösegeldforderung auf dem Bildschirm. Sie wusste nicht, wie sie sich infiziert hatte. Sie hatte nichts Verdächtiges bemerkt, als sie oder ein Familienmitglied den Computer nutzte.

Aber da stand es:

Der Anstieg von Ransomware

Ransomware ist in den vergangenen Jahren ein zunehmendes Problem geworden und nichts spricht dafür, dass es weniger werden würde. Wir alle wissen, dass es wichtig ist, regelmäßige Backups zu erstellen, keine verdächtigen E-Mails zu öffnen, die beste Sicherheits-Software zu verwenden usw. Aber dennoch ist nichts unmöglich: Plötzlich können Sie nicht mehr auf die Daten auf Ihrem PC, in Netzwerken und auf angeschlossenen Festplatten zugreifen.

Sie können Ihren PC nicht 100 % sichern, es sei denn Sie entfernen ihn aus jedem Netzwerk, entfernen das CD-Laufwerk, die USB-Verbindungen usw. Das ist in der heutigen vernetzten Welt selten praktisch. Also ist es Zeit, sich mit Risikobewältigung auseinanderzusetzen: Finden Sie Ihre persönliche Balance zwischen Komfort, Sicherheit und Privatsphäre.

Und sollten Sie zum Opfer eines Ransomware-Angriffs werden, müssen Sie wissen, dass Ihre Entscheidung kein einfaches Binärprogramm ist – zahlen oder nicht zahlen. Sie haben neben diesen noch mehr Optionen.

Es könnte sich schwieriger gestalten, Ihre Daten wiederzuerhalten, als es einst der Fall war. Angreifer korrigieren die „Bugs“, durch die Unternehmen wie Kaspersky Lab und seine Partner generische Tools entwickeln, um durch verschiedene Ransomware-Bedrohungen verschlüsselte Dateien zu entschlüsseln. Heute existieren noch mehr Varianten von immer komplexerer Ransomware und oft werden zum Wiedererhalt der Daten private Schlüssel der Kriminellen benötigt.

Daten zurückgewinnen

Da ihr Tag immer schlimmer wurde, schaltete Marion ihren Computer aus und fragte die IT-Abteilung ihrer Arbeitsstätte um Hilfe. Sie konnten alle relevanten Daten erfassen: die Lösegeldforderung, zugehörige Dateien auf der Festplatte und selbst einige Aufnahmen und PDFs, die aus der Zeit vor und nach dem Angriff stammten. Sie versuchten die Dateien mit allen ihnen zur Verfügung stehenden Tools zu entschlüsseln, aber keins davon half.

Zu diesem Zeitpunkt wurde Marion das volle Ausmaß von dem bewusst, was mit ihrem PC geschehen war. Ihre Festplatte enthielt Archive mit Familienfotos aus mehreren Jahrzehnten: Jahre besonderer Ereignisse, in Ordner sortiert und nach Datum geordnet. Sie verlor den Zugriff aus all diese Erinnerungen.

Marion besaß keine externe Sicherungskopie, aber sie war sich einem sicher: Sie würde den Kriminellen kein Geld zahlen.

Marion setzte sich mit Personen in Kontakt, mit denen sie ihre Bilder geteilt hatte und fragte sie, ob sie ihr die Fotos zurückschicken könnten. So erhielt sie einige von ihnen zurück. Aber die Mehrheit blieb verloren.

Mit Hilfe der IT-Abteilung ihres Arbeitgebers suchte sie online, aber konnte die Lösung nicht finden. Sie wendete sich dann an ihre Freunde. Letztendlich postete sie als letztes Mittel einen Beitrag auf Facebook, in dem sie um Hilfe bat und 500 € demjenigen bot, der ihr dabei helfen könnte, Ihre Dateien zurückzuerhalten, ohne die Kriminellen bezahlen zu müssen!

Über 20 Personen antworteten auf ihren Beitrag und versuchten ihr zu helfen. Jedoch hatte keiner von ihnen Erfolg.

Zeit für No More Ransom

Da kam ich ins Spiel. Ein ehemaliger Klassenkamerad sah Marions Post und da er wusste, dass ich beim GReAT-Team von Kaspersky Lab arbeitet, fügte er mich zur Unterhaltung hinzu.

Ich kam mit Marion in Kontakt und sie stellte mir alle relevanten Informationen bereit, wodurch ich nach Tools suchen konnte, um ihre Dateien zu entschlüsseln. Aber ich konnte nichts für die besondere Variante finden, die sie erwischt hatte.

Mit den Informationen, die mir Marion gegeben hatte, fragte ich unsere Ransomware-Spezialisten um Hilfe. Sie bestätigten schnell, dass es sich um eine neue Variante von CryptXXX V3 handelte und dass die spezifischen Tools zur Entschlüsselung ihrer Dateien noch nicht zur Verfügung stünden. Ich überbrachte Marion die schlechten Nachrichten und riet ihr davon ab, Lösegeld zu zahlen — da Angreifer neue Ransomware erstellen, arbeiten wir mit dem Gesetzesvollzug und anderen Partnern daran, Entschlüsselungstools zu entwickeln oder private Schlüssel zu beziehen, die Kriminelle auf ihren Command-and-Control-Servern speichern.

Das alles geschieht im Rahmen des Projekts No More Ransom. Im Sommer 2016 starteten Europol, Kaspersky Lab und Intel das Portal NoMoreRansom.org, um Opfern von Ransomware dabei zu helfen, ihre Dateien zurückzuerhalten, und beim Stören des lukrativen Geschäftsmodells zu helfen, durch das Cyberkriminelle an immer mehr Geld gelangen wollen. Heute beteiligen sich an dem Projekt mehr als 40 Partner.

Am 20. Dezember fügten wir der Seite No More Ransom einen neuen Entschlüsseler für CryptXXX V3 hinzu. Wir bieten dies, wie alle anderen Ransomware-Tools, die Sie dort finden können, kostenlos an.

Ich hatte noch immer Marions Fall im Kopf, also kontaktierte ich sie über Facebook und verwies sie auf das Tool. Ein paar Tage später kam sie auf mich zurück und erzählte mir, dass sie alle verschlüsselten Dateien zurückerhalten konnte! (Natürlich würde ich die Belohnung nicht annehmen.)

Lektion gelernt

Ich fragte Marion, was sie von diesem Vorfall gelernt hatte.

Neben regelmäßigen Backups ihrer Daten auf unterschiedliche externe Festplatten ist sie beim Surfen durch das Web noch vorsichtiger geworden und vergewissert sich stets, dass sie die neusten Patches installiert hat. Und jetzt erlaubt sie auch keinem anderen mehr, ihren PC zu benutzen.

Dadurch kommen wir zurück zur Notwendigkeit, unser eigener Risikobeauftragter zu sein, Letztendlich ist es Ihre Aufgabe, sich um Ihren PC, Netzwerk, Privatsphäre und privaten Besitz zu kümmern. Aber wenn etwas schiefgeht, denken Sie daran, dass Sie mehr Optionen haben als zu zahlen oder nicht zu zahlen. NoMoreRansom.org sollte dabei ganz oben auf Ihrer Liste stehen – sie könnten Ihre Dateien zurückerhalten, ohne einen einzigen Cent zahlen zu müssen. Selbst wenn die Lösung für Sie noch nicht existieren sollte, beweisen Sie etwas Geduld und zahlen Sie den Kriminellen nichts.

Marion ist nur eine von vielen Personen, denen das Projekt No More Ransom geholfen hat, das bis heute sieben kostenlose Entschlüsselungstools veröffentlicht hat. Fünfttausend User haben ihre Dateien entschlüsseln und mit unserer Hilfe mehr als 1,5 Millionen Euro sparen können.