Blog Details

• 2022-11-03
• Ransomware

Die Definition von Ransomware

Malware fällt in die Kategorie Ransomware, wenn sie Benutzer daran hindert, auf ihr System zuzugreifen. Dies kann erreicht werden, indem der Bildschirm des Systems oder die Dateien der Benutzer gesperrt werden, bis ein Lösegeld gezahlt wird. Neuere Ransomware-Familien, die gemeinsam als Krypto-Ransomware bezeichnet werden, verschlüsseln bestimmte Dateitypen auf infizierten Systemen und verlangen von den Benutzern eine Lösegeldzahlung mit einer von mehreren spezifischen Online-Zahlungsmethoden, um den Entschlüsselungsschlüssel zu erhalten.

Wie verbreitet sich Ransomware?

Benutzer haben mehrere potenzielle Einstiegspunkte, um dieser Gefahr zum Opfer zu fallen. Wenn ahnungslose Benutzer Websites besuchen, die kompromittiert wurden oder selbst kompromittiert wurden, kann Ransomware auf ihre Systeme heruntergeladen werden. Es ist auch möglich, dass es als Nutzlast ankommt, die von anderen Formen bösartiger Software abgelegt oder heruntergeladen wird. Malvertisements, bösartige Websites und Exploit-Kits sind gängige Vektoren, über die Ransomware verbreitet werden kann. Manche Ransomware wird über infizierte Anhänge in Spam-E-Mails verbreitet, während andere von bösartigen Websites heruntergeladen werden.

Einmal im System installiert, sperrt Ransomware entweder den Bildschirm des Computers oder verschlüsselt im Falle von Krypto-Ransomware zuvor ausgewählte Dateien. Ein Opfer kann seinen Computer im ersten Szenario nicht verwenden, weil ein Bild oder eine Benachrichtigung, die den gesamten Bildschirm eines infizierten Systems einnimmt, auf dem Bildschirm des Computers angezeigt wird. Außerdem Anleitung. Wie ein Benutzer das Lösegeld zahlen kann, wurde in diese Benachrichtigung aufgenommen. Im zweiten Szenario hindert Ransomware Benutzer daran, Zugriff auf Dateien zu erhalten, die äußerst wichtig oder wertvoll sein könnten, wie z. B. Dokumente und Tabellenkalkulationen.

Scareware ist ein anderer Name für Ransomware, die so genannt wird, weil sie Benutzer dazu zwingt, eine Gebühr (oder ein Lösegeld) zu zahlen, indem sie sie bedroht oder erschreckt. In dieser Hinsicht ist es mit der als FakeAV bekannten Malware vergleichbar; Anstatt jedoch die Kontrolle über das infizierte System zu übernehmen oder Dateien zu verschlüsseln, zeigt FakeAV gefälschte Antimalware-Scanergebnisse an, um Benutzer zum Kauf gefälschter Antimalware-Software zu verleiten.

So schützen Sie sich vor Angriffen durch Ransomware

Um sich und Ihr System vor Ransomware zu schützen, wird empfohlen, dass Sie die folgenden Schritte ausführen:

Öffnen Sie am besten keine E-Mails von unbekannten Absendern und klicken Sie nicht auf möglicherweise darin eingebettete Links.

Befolgen Sie die Regel 3-2-1, um wichtige Dateien zu sichern: Erstellen Sie drei Kopien der Sicherung und speichern Sie zwei davon auf verschiedenen Medien, wobei die dritte Kopie an einem anderen Ort aufbewahrt wird.

Aktualisieren Sie Ihre Software, Programme und Anwendungen regelmäßig, um sie vor neu entdeckten Schwachstellen zu schützen.

Entwickeln Sie eine sicherheitsbewusste Kultur und schulen Sie Ihre Mitarbeiter ausreichend zu Ransomware und anderen Arten von Angriffen, bei denen Phishing und nicht ausreichend geschützte Online-Konten zum Einsatz kommen.

Um Benutzer daran zu hindern, bestimmte Programme zu öffnen, die Ransomware-Varianten verwenden können, sollte das Prinzip der geringsten Rechte durchgesetzt werden.

Einschränkung des Zugriffs auf freigegebene oder Netzlaufwerke sowie das Abschalten der Dateifreigabe. Die Wahrscheinlichkeit, dass sich eine Ransomware-Infektion auf andere Geräte ausbreitet, wird durch diese Aktion verringert.

Organisationen können auch die Auswirkungen der öffentlichen Demütigung verringern, die sich aus den Bedingungen des doppelten Erpressungsschemas der Ransomware ergeben können, indem sie verantwortungsvoll handeln und die unten beschriebenen Schritte unternehmen:

Benachrichtigen Sie die Strafverfolgungsbehörden über den Angriff und das Ausmaß der Datenschutzverletzung, die sie erlebt haben.

Beachten Sie die Protokolle zur Datenregulierung, wie z. B. die Datenschutz-Grundverordnung (DSGVO), und stellen Sie die erforderlichen Offenlegungen und Benachrichtigungen bereit.

Ergreifen Sie Maßnahmen, um die Sicherheitslücken zu beheben, die von dem Angriff ausgenutzt werden, damit zukünftige Angriffe wie dieser nicht erfolgreich sein werden.

Die Entwicklung von Reveton und anderen Arten von Ransomware

Eine als Reveton bekannte Art von Ransomware gibt vor, eine Strafverfolgungsbehörde zu sein, um Daten zu stehlen. Diese Arten von Malware werden als „Polizei-Ransomware“ oder „Polizei-Trojaner“ bezeichnet und zeichnen sich dadurch aus, dass sie eine Benachrichtigungsseite anzeigen, die vorgibt, von der örtlichen Strafverfolgungsbehörde des Opfers zu stammen. Sie werden auf dieser Seite darüber informiert, dass sie bei einer rechtswidrigen oder böswilligen Aktivität bei der Nutzung des Internets erwischt wurden.

Reveton-Varianten verfolgen den geografischen Standort ihrer Opfer, damit sie bestimmen können, welche lokale Strafverfolgungsbehörde für die Durchsetzung des Gesetzes in ihrem Gebiet zuständig ist. Folglich erhalten betroffene Benutzer, die sich in den Vereinigten Staaten befinden, eine Benachrichtigung des FBI, während betroffene Benutzer, die sich in Frankreich befinden, eine Benachrichtigung der Gendarmerie National erhalten.

Im Vergleich zu früheren Formen von Ransomware verwenden Varianten von Reveton eine besondere Methode der Finanztransaktion. Benutzer werden aufgefordert, mit UKash, PaySafeCard oder MoneyPak zu bezahlen, nachdem ein System mit einer Reveton-Variante infiziert und kompromittiert wurde. Ransomware-Angreifer können ihre Anonymität wahren, indem sie diese Zahlungsmethoden verwenden, da PaySafeCard und Ukash nur eine Papierspur ihrer Finanztransaktionen hinterlassen.

Im Jahr 2012 wurden zahlreiche Reveton-Varianten verschiedener Typen beobachtet, die neu entwickelte Strategien demonstrieren. In der zweiten Hälfte desselben Jahres berichtete Trend Micro über Varianten der Malware, die eine Audioaufnahme in der Muttersprache des Opfers abspielten, und über eine weitere Variante, die ein gefälschtes digitales Zertifikat verwendete. Beide Arten von Varianten wurden im gleichen Zeitraum entdeckt.