WannaCry: Geringe Zahlungsbereitschaft

Nur etwa 0,1% aller WannaCry-Opfer haben tatsächlich Lösegeld an ihre Erpresser gezahlt. Dies zeigt die Auswertung des Bitcoins-Wallets, den Keith Collins über einen eigenen Twitter-Account (@actual_ransom) publik macht. Damit zeigt sich auch langsam der Erfolg der Aufklärungsarbeit von Initiativen wie NoMoreRansom, Polizei-Behörden oder IT-Security Experten, die seit dem Ausbrechen der Locky-Welle regelmäßig mahnen, kein Lösegeld an Kriminelle zu zahlen. Auch wir bei Botfrei schließen uns dieser Empfehlung an.

Laut Analyse des Forschers haben bisher nur 297 Opfer Lösegeld bezahlt, die Summe der Erlöse der Kriminellen betrug damit bloß knapp 100.000 EUR. Es ist allerdings zu beachten, dass die Zahlen nicht zwingend vollständig ist. Dieser zwar immer noch recht hohe Betrag ist jedoch weit von den Erlösen der Locky oder Cerber-Erpresser im vergangenen Jahr entfernt.

Das Unternehmen PhishMe hat die Summe des erpressten Schutzgelds durch Ransomware-Infektionen im Jahr 2016 mit einer Milliarde US-Dollar beziffert. Die Enttäuschung der Erpresser zeigt sich auch darin, dass Sie vergangene Woche per Update des Sperrbildschirms einen fast verzeifelten Appell an Ihre Opfer gerichtet haben, doch bitte zu zahlen. Man könne garantieren, dass jeder ehrliche Lösegeld-Zahler einen Entschlüsselungs-Key erhalten würde.

Genützt hat dies allem Anschein nach nichts, zudem wurde am Tag nach dem Appell von IT-Security Experten ein Decryptor veröffentlicht, der die Zahlung unter bestimmten Voraussetzungen obsolet macht (das Gerät durfte nach der Infektion nicht neu gestartet werden).

Programmierfehler

Die geringe Zahlungsbereitschaft der Opfer lässt sich jedoch auch damit erklären, dass den Kriminellen bei der Programmierung der Ransomware ein Fehler unterlaufen ist. Sie mussten nämlich jeden Entschlüsselungs-Key manuell freischalten. Bei geschätzt über 200.000 infizierten Geräten ein logistisch schwieriges Unterfangen. Dies hat sich zudem auch sehr schnell unter den Opfern herumgesprochen – die Zahlung von Lösegeld führt nämlich nicht automatisch zum Erhalt eines Entschlüsselungs-Keys.

Lösegeld-Zahlung führt nicht mehr zum Erfolg

Das ist auch eine wichtige Erkenntnis des vergangenen Jahres. Konnte man sich bei den ersten großen Ransomware-Wellen im Jahr 2016 (Locky, KeRanger, Petya, usw.) fast sicher sein, dass man nach Zahlung eines Lösegelds seine Daten wieder erhielt, ruinierten Trittbrettfahrer in der Folgezeit die hart erarbeitete “Reputation” der Erpresser. Etliche neue Ransomware-Varianten waren keine Ransomware im “klassischen” Sinn; es war auf Schaden und Zerstörung ausgerichtete Malware, die zwar einen der typischen Sperrbildschirme zeigte, jedoch nie im Sinn hatte, trotz Zahlung einen Entschlüsselungs-Key bereitzustellen.

Windows 7 Nutzer sind die Hauptopfer

Eine Auswertung von Symantec hat gezeigt, dass vor allem Windows 7 Nutzer (98,35%) Opfer von WannaCry geworden sind. Hier haben es die Nutzer schlicht versäumt, rechtzeitig die seit 2 Monaten bereitstehenden Sicherheitsupdates zu installieren. Generell zeigen Ransomware-Attacken wie WannaCry auf, wie wichtig zeitnahes Updaten ist. Ein weiteres Indiz für die geringe Zahlungsbereitschaft bei WannaCry könnte jedoch auch sein, dass viele Nutzer inzwischen verstanden haben, dass der einzige effektive Schutz vor Verschlüsselungs-Trojanern das Anlegen und spätere Einspielen von Backups ist. Auch das würde bedeuten, dass die Aufklärungskampagnen zu Ransomware einen nachhaltigen Erfolg aufweisen können.

Weitere Infos: