Ransomware Cerber, Locky & Co

9. August 2016

Cerber Ransomware-as-a-Service

Aufgrund der ansteigenden Verbreitung von Ransomware, siehe Grafik, ist eine Unterscheidung der sich schnell entwickelnden Varianten schwierig geworden.Grafi MC Afee

Alle Varianten haben jedoch gemeinsam die Tatsache, dass Ransomware ein äußerst lukratives Geschäft für Cyber-Kriminelle geworden ist.

Locky hat derzeit täglich 90.000 Systeme infiziert und fordert in etwa jedes Mal 400 US-Dollar Lösegeld.

Die drei aktuellen Ransomware-Varianten, die Sie zu Präventions- und Abwehrzwecken auf dem Radar haben sollten:

  • Cerber – Ransomware-as-a-Service verschlüsselt unzählige Dateitypen
  • Samas – verschlüsselt das gesamte Netzwerk von Unternehmen
  • Surprise – infizierte Rechner, auf denen TeamViewer v10.0.47484 installiert war

Ransomware Cerber

Damit sich ihre Ransomware nicht so leicht von Antivirus-Software entdecken lässt, verändert sich der Schädling alle 15 Sekunden. Dadurch erkennen ihn Schutzprogramme nicht mit herkömmlichen Signaturen. Durch ein sehr authentisch wirkendes Bewerbungsmail mit ZIP-Anhang, und mit präpariertem Word-Dokument, welche die Makro-Funktion ausnutzt, gelangt die Ransomware zum Ziel.

Cerber, der sprechende Erpresser-Trojaner

Cerber versucht Ihre Daten zu verschlüsseln, welche Sie höchstens nach heftiger Lösegeldzahlung wiederbekommen. Neu ist aber, dass Cerber nach der sehr „sicheren“ AES-Verschlüsselung Ihrer Daten die Windows-Sprachausgabe nutzt.

Nach getaner Arbeit erhalten Sie drei Dateien, die Sie darüber in Kenntnis setzen (.txt, .html und .vbs).  So spricht die Software aus den PC-Lautsprechern zum Opfer: „Achtung, all deine Daten wurden verschlüsselt“. Danach zeigt die Erpresser-Software Bilder mit Anleitungen an, wie man seinen persönlichen Schlüssel wiederbekommt. Dazu muss man sich ins Tor-Netzwerk begeben um Bitcoins Digitalwährung zu erwerben um das entsprechende Lösegeld zu bezahlen.

Erpresser immer professioneller

Die Software soll so weitgehend konfigurierbar sein, dass sie an andere Kriminelle vermietet werden könne. Diesen Verleih bezeichnen die Sicherheitsforscher als „Ransomware-as-Service“ (RAAS), also Erpresser-Software als Dienstleistung. Auch für legale Softwarefirmen ist „Software as a Service“ ein wichtiger Wachstumsmarkt.

Verschlüsselte Daten sind meistens verloren

Wie bei Ransomware üblich, gibt es keinerlei Garantie, dass die Erpresser nach der Lösegeldzahlung tatsächlich alles wieder entschlüsseln. Den besten Schutz gewähren Sicherheitskopien wichtiger Dateien auf nicht angeschlossenen Datenträgern, damit kann verhindert werden, dass Cerber auch das Backup verschlüsselt.

Und am besten wäre natürlich, sich keine Ransomware erst einzufangen. Cerber verbreitet sich angeblich in der Regel über gefälschte E-Mails, bei denen Anwender unbedachterweise den infizierten Anhang öffnen. Also Vorsicht bei ungeschütztem Datenverkehr!

Vorbeugend gibt es ein paar Dinge, die Sie tun können:

  • Erstens sollten Sie in kurzen Abständen Backups Ihrer Daten erstellen, mehr als 3-5 Generationen zurück.
  • Öffnen Sie keine E-Mails oder Anhänge von nicht verifizierten oder unbekannten Sender.
  • Aktualisieren Sie Browser sowie Betriebssystem. Ein aktueller, zuverlässiger Virenschutz sollte installiert sein und immer wieder auf seine Aktualität geprüft werden.
  • Im Microsoft Office sollte der Makro-Code erst nach Rückfrage ausgeführt werden.

Des Weiteren empfiehlt die DECOM-Netzwerktechnik als aktuellen Virenschutz:

Kaspersky Endpoint Security for Business | Select | Advanced | Total Endpoint-Schutz, Endpoint-Kontrolle und mobile Sicherheit als Virenscanner

  • Noch mehr Sicherheit für Workstations und File-Server
  • Mehrschichtige mobile Sicherheit und Verwaltung
  • Programm-, Geräte- und Web-Kontrolle
  • Zentralisierte Verwaltungskonsole für alle Funktionen
  • Proaktiver Anti Virus Cryptolocker ermöglicht die Wiederherstellung von infizierten Dateien

Weitere Infos zum Produkt: Kaspersky Produktinfo. pdf oder kontaktieren Sie das DECOM Netzwerktechnik.