Neuartige Ransomware stiehlt auch Passwörter Lösegeld allein reicht nicht

12. August 2016

Ransomware ist aktiv wie eh und je. Und die Schadsoftware hat sogar noch dazu gelernt: Ging es früher in erster Linie um das einmalige Verschlüsseln der Daten und die Zahlung von Lösegeld, kann man sich mittlerweile dauerhaft mit dem Schädling infizieren. Experten des Security-Spezialist Sophos zeigen die Entwicklung bis zum heutigen Tage, beschreiben, wie der Ransomware-Befall stattfinden kann, geben konkrete Beispiele wie das kriminelle Prozedere aussieht und empfehlen Maßnahmen zum Schutz.

Verbreitung

Quelle: Sophos

Ransomware, wie jede Art von Malware, kann auf viele verschiedene Arten in eine Organisation eindringen: als E-Mail-Anhang, über infizierte Websites oder USB-Geräte, durch Exploit-Kits und gelegentlich sogar als Teil eines sich selbst verbreitenden Netzwerk-Wurms. E-Mail-Anhänge scheinen für die Internetbetrüger am besten zu funktionieren. Die Mails werden glaubhaft gestaltet und dann mit angeblichen Rechnungen, Gerichtsunterlagen oder sonstigen Dokumenten versehen, die Verbraucher erschrecken oder neugierig machen und vor allem eine Handlungsaufforderung in sich bergen.

In 2015 wurde die meiste Ransomware über Makros verbreitet. Dabei handelt es sich um Skript-Programme, die in Dokumente eingebettet werden können und deren Inhalte sich in Echtzeit anpassen. Sie sind in vielen Unternehmen Teil des Workflows, etwa in der Buchhaltung. Das Problem mit Makros aber ist, dass sie nicht nur auf die Anpassung und Modifizierung des Dokuments beschränkt sind, in dem sie sich befinden. Vielmehr können sie vollständige, eigenständige Programme sein. Sie können nicht nur Dokumente auf lokalen Laufwerken lesen und schreiben,  sondern auch Dateien aus dem Internet laden und aktivieren.

Mit anderen Worten: Sobald Nutzer die Autorisierung geben, ein Makro auszuführen, können sie damit auch unabsichtlich die Genehmigung zum Download einer anderen Software geben, die dann ohne weitere Warnungen Malware mit sich führen kann. Glücklicherweise sind Makros standardmäßig in den allermeisten Fällen deaktiviert, so dass Kriminelle die Benutzer zuerst überzeugen müssen, sie zu aktivieren.

Anfang 2016 begannen viele Internetkriminelle ihre Strategie zur Malware-Verbreitung zu modifizieren. Die Gefährlichkeit von Makros hatte sich herumgesprochen und neue Vertriebswege mussten her. Derzeit beobachten die Sophos Labs, dass die Verbreitung über JavaScript-Anhänge erfolgt. Eine gute Idee denn:

• Windows zeigt Dateierweiterungen nicht standardmäßig an. Eine Datei namens Rechnung.txt.js taucht also als Rechnung.txt auf.
• Windows verwendet mehrdeutige Bilder für .js-Dateien. Skripts erscheinen mit einem Symbol, das wie eine Pergamentrolle aussieht. Dadurch wirken sie auf den ersten Blick wie Dokumente.

Paul Ducklin, Sicherheitsexperte bei Sophos, erklärt: „Eigentlich sollte es völlig ungefährlich sein, ein Dokument zu öffnen. Deshalb tun die Verbraucher es auch einfach immer wieder. Woher soll man sonst wissen, ob man ein Dokument getrost ignorieren kann? Aber da immer mehr Menschen bei unerwarteten Dokumenten misstrauisch wurden, sind die Cyberkriminellen nun auf JavaScript-Dateien umgestiegen.“

Doch dann stellt sich die Frage: Warum aber sollte ein Verbraucher ein JavaScript-Dokument öffnen? „Das merkt er nicht“, erklärt Ducklin. „Windows zeigt normalerweise die .JS-Endung gar nicht an und nutzt ein Icon, das wie eine Papierrolle aussieht – genau wie die guten alten Dokumente. Der Verbraucher glaubt, auf ein .txt-Dokument zu klicken – und wähnt sich in Sicherheit.“

Normalerweise verbindet sich das bösartige JavaScript mit einem Download-Server, holt sich die Ransomware in Form eines Windows-Programms (einer .exe-Datei) und startet es um die Infektion zu vervollständigen.

Problemfeld: JavaScript

Bei JS / Ransom-DDL lädt die Malware die Ransomware nicht herunter, es ist bereits die Ransomware. Dies ist aus mehreren Gründen möglich:

• JavaScript ist eine Allzweck-Programmiersprache. Sie kann für alles eingesetzt werden, von einem kleinen Skript bis hin zu einer ausgewachsenen Anwendung.
• Unter Windows läuft JavaScript außerhalb des Browsers in Windows Script Host (WSH). Dies beschränkt oder "Sandboxed" den Skript-Code nicht, so dass die Anwendung alles auslösen kann.
• Die Gauner verwendeten frei verfügbaren Verschlüsselungs-Quellcode in der Malware. Dies machte die Implementierung wesentlich einfacher, weil die Programmierung bereits erfolgt ist.

Weitere Software ist nun nicht mehr nötig: Sobald die JS / Ransom-DDL Malware-Datei im Netzwerk residiert, beginnt sie mit der Verschlüsselung der Daten und ein Pop-up übermittelt nach erfolgter Aktion die Lösegeldforderung. Üblicherweise erscheint dann ein Lockvogel-Dokument mit einem sinngemäßen Inhalt:

„Dieses Dokument wurde in einer neueren Version von MS Word erstellt und kann nicht mit Ihrer Version von WordPad geöffnet werden. Kontaktieren Sie den Ersteller der Datei, oder öffnen Sie die Datei mit MS Word 2013. Einige Teile dieser Inhalte können nicht richtig angezeigt werden.“

Die Köder-Datei enthält eine gefälschte Fehlermeldung um den Anwender zu überzeugen, dass die Datei wirklich ein Dokument war, um die Aufmerksamkeit abzulenken und mit der Verschlüsselung fortzufahren.

Ransomware ist nicht vollständig in sich geschlossen. Bevor sie funktioniert, muss Kontakt mit einem Server der Betrüger aufgenommen werden, um einen Verschlüsselungs-Key zu erwerben. Der Server antwortet mit einem einzigartigen Key und einem zufällig erstellten AES-Key, so dass die Opfer die Dekodierungsschlüssel nicht miteinander teilen können.

Sind die Daten gesperrt, muss die eindeutige Kennung eingegeben werden, um dann mit dem passenden AES-Key die Daten zu entschlüsseln. Der AES-Key, der durch das JavaScript heruntergeladen wurde, bleibt nur im Speicher. Ist die Verschlüsselung abgeschlossen ist und das JavaScript-Programm beendet, haben die Kriminellen die einzige verbleibende Kopie des Schlüssels. Anschließend informiert eine Readme-Seite, wie es weiter geht. Die Bezahlseiten sind in aller Regel gleich und fordern sinngemäß:

*** ACHTUNG ***
Ihre Dateien wurden von der RAA Malware mit dem AES-256-Algorithmus verschlüsselt. Dieser wird auch verwendet, zum Staatsgeheimnisse zu schützen. Eine Datenwiederherstellung ist nur möglich, wenn Sie den Schlüssel von uns kaufen. den Schlüssel zu kaufen, ist die einfachste Lösung.

Ein Anwender braucht keine Fremdsprache zu können, um zu verstehen, dass der Preis 0,39 Bitcoins, also etwa 250 Dollar beträgt. Die Gauner bieten unter Umständen sogar an, einige Daten zu entschlüsseln, so dass die Benutzer die Gewissheit haben, dass es auch funktioniert. Wie die Testfiles mit einem verschlüsselten Rechner übertragen werden sollen, steht da allerdings in der Regel nicht.

Und noch das Kennwort

Die meisten Ransomware-Angriffe der letzten Jahre haben damit begonnen, Daten zu verschlüsseln und endeten, sobald die Zahlung erfolgte, mit der Entschlüsselung. Die kriminelle Komponente bestand aus der Zahlung des Lösegelds, danach war alles wieder beim Alten. Aktuell hinterlassen die Cyberkriminellen jedoch eine weitere Form der Malware auf dem Computer: einen Password-Stealer. Sophos blockiert ihn unter dem Namen als Troj / Fareit-AWR. Ohne entsprechende Software entwenden die Kriminellen nach erfolgter Zahlung noch die Online-Zugangsdaten der Opfer, um sie für kriminelle Zwecke zu missbrauchen. Auch diese Malware wird nicht heruntergeladen, sie ist ein Teil der base64-Programmierung und damit bereits auf dem Rechner vorhanden.

Der Programmcode, der die Fareit-Datei auf die Festplatte legt und startet, ist absichtlich durch eine AES-Verschlüsselung geschützt. Der Key befindet sich üblicherweise innerhalb der Malware. Die Fareit Malware befindet sich zum Beispiel unter „Meine Dokumente“ und trägt den Namen st.exe.

Als bester Schutz gegen diese Bedrohungsart empfiehlt es sich, dass sich die Anwender generell über Ransomware informieren. Des Weiteren sollte man sein Windows-System so konfigurieren, dass Dateierweiterungen angezeigt werden. Dies gibt einem eine bessere Chance, verschleierte Dateien zu erkennen. Zudem sollte man es ich überlegen, ob man JavaScript-Dateien in Windows auch mit Notepad anzeigen sollte und nicht dazu den WSH (Windows Scripting Host) bemühen muss. Denn Notepad zeigt .js-Dateien harmlos als Text, anstatt sie als Programme auszuführen. Ebenso empfiehlt sich die Installation einer Schutzsoftware – falls das noch nicht geschehen ist.

Auch der Einsatz eines Recovery-Tools wie Hitman Pro Alert gilt als eine gute Empfehlung. Denn ein derartiges Programm kann erkennen, wenn Malware (auch JS / Ransom-DDL) seine Arbeit beginnt. Es beendet den Prozess und setzt nicht autorisierte Änderungen zurück.

Und eines darf man nach einem Ransomware-Befall nicht vergessen: Auch wenn ein Anwender für die Entschlüsselung seines Computers bezahlt hat, sollten er sich nicht in Sicherheit wiegen. Wahrscheinlicher ist es, dass die „bösen Jungs“, da sie nun schon einmal Zutritt zu den Daten hatten, diesen auch künftig nicht ungenutzt lassen. (rhh)

Hier geht es zum Ransomware-White Paper von Sophos

Lesen Sie auch