Malware-Autoren kochen auch nur mit Wasser

Ransomware – Mittlerweile ist uns das Prinzip dieser Malware bestens bekannt, so werden Dateien wie Bilder, Texte und andere Dateien auf dem Rechner verschlüsselt und zudem der Zugang zum Desktop verwehrt. Für die Entschlüsselung und Aufhebung der Blockade werden in der Regel Lösegelder in verschiedenen Höhen von den betroffenen Opfern verlangt.

Bildschirmfoto 2014-09-05 um 14.00.23

Dateien vor-und nach dem Verschlüsseln (enc.rtf)

Experten von Check Point haben die Ransomware Dircrypt unter die Lupe genommen. Dabei fanden Sie heraus, dass die Malware-Autoren die Dateien nach den Algorithmus der Stromverschlüsselung RC4 Verfahren verschlüsselt haben. Vergleiche zeigten, das die Cyberkriminellen immer den selben Schlüssel zum Verschlüsseln der Dateien benutzt haben. Das würde theoretisch heißen, wenn man eine verschlüsselte Datei rekonstruiert, alle weiteren Dateien auf dem System mit dem selben Schlüssel wiederherzustellen sind. In diesem Fall war es aber noch einfacher, denn der Schlüssel wurde gar nicht erst aufwendig versteckt, sondern einfach an die Datei gehangen.

Bildschirmfoto 2014-09-05 um 13.59.09

Auslesen der Textinhalte einer Datei

So schön und einfach wie sich das anhört, gibt es dennoch einen Wermutstropfen, denn die ersten 1024 Bit der verschlüsselten Datei wurde mit RSA Verschlüsselt, also mit einem anderen Algorithmus, dessen Schlüssel nicht bekannt ist!

“Jetzt heißt es entweder zahlen oder raten!”

Nein, laut Experten kann man dennoch viele Dateiformate komplett wiederherstellen. Es handelt sich hier um den ersten Block an Informationen einer Datei, die entweder bekannt oder erraten werden können. So konnten die Experten von Check Point z.B. eine Word-Dateien erfolgreich im vollen Umfang wieder herstellen.

Beugen Sie vor und schützen Sie ihren Rechner:

  1. Kommen Sie niemals diesen Lösegeldforderungen nach!
  2. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  3. Ob Ihr Browser aktuell ist, oder Sie schon Teil eines Botnetzes sind erfahren Sie auf unserem kostenfreien Online-Check.
  4. Nehmen Sie an der Cyber-Impfung teil. Diese Software unterstützt Ihr bestehendes Anti-Virus-Programm. Dieser Impfstoff agiert wie eine Alarm-Anlage und warnt Sie umgehend, falls verdächtige Aktivitäten oder Änderungen in der Registry entdeckt werden.
  5. Erstellen Sie regelmäßig Sicherungskopien ihrer Dateien, damit Sie von einer evtl. Lösegeldforderung nicht abhängig sind.
  6. Betreiben Sie eine Internetseite? Dann melden Sie sich kostenfrei unter www.initiative-s.de an und lassen Sie Ihren Webauftritt regelmäßig durch uns auf Schadsoftware untersuchen!

Haben Sie Probleme oder brauchen Hilfe bei der Entfernung von Infektionen auf dem Computer? Melden Sie sich kostenfrei in unserem Forum an und erstellen Sie einen Beitrag mit dem Problem, die Experten helfen Schritt für Schritt bei der Behebung und geben Ihnen Tipps bei der Absicherung des Rechners.