Ransomware – Teil 4, Ransomware-Varianten, wer ist betroffen und was kann man tun

Ransomware – Ein Leitfaden in vier Teilen.

• Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben
• Teil 2, Die wichtigsten Typen von Ransomware und welche Art von Verschlüsselung sie benutzen
• Teil 3, Was tun, wenn es bereits passiert ist
• Teil 4, Ransomware-Varianten, wer ist betroffen und was kann man tun

Im Folgenden listen wir einige typische Ransomware-Varianten und die dazugehörigen Eigenschaften auf. Die Liste entspricht dem Stand vom Dezember 2015/Februar 2016, ein Update ist in Arbeit. Von CryptoLocker bis Locky.

CryptoLocker – erstmals im September 2013 veröffentlicht, betrifft alle Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8.¹

• Betroffene Dateitypen sind: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.²
• Verschlüsselungsalgorithmus: AES zur Verschlüsselung der Dateien, RSA für den AES-Schlüssel³
• Entschlüsselungstool verfügbar? Ja⁴
• Infektionsweg: Anhang in einer Phishing-Nachricht⁵
• Werden die Dateien bei Bezahlung entschlüsselt? Ja, allerdings kann das 3 bis 4 Stunden dauern; es wurde allerdings berichtet, dass während des Entschlüsselungsprozesses Fehler auftreten, verbunden mit der Meldung, dass der Entschlüsselungsprozess nicht weiter fortgeführt werden könne. Die Dateien werden aber trotzdem entschlüsselt. ⁶
• Weitere Informationen finden Sie hier

CryptoWall – wurde im April 2014 veröffentlicht und richtet sich ebenfalls gegen sämtliche Windows-Versionen inklusive von Windows XP, Windows Vista, Windows 7 und Windows 8.⁷

• Betroffene Dateitypen sind: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt⁸
• Verschlüsselungsalgorithmus: RSA für die Dateiverschlüsselung⁹
• Entschlüsselungstool verfügbar? Bis jetzt noch nicht
• Infektionsweg: typischerweise über E-Mails mit einem Malware-verseuchten Anhang, über den der Virus weiter verbreitet wird.¹⁰
• Werden die Dateien nach der Zahlung entschlüsselt? Das ja, aber der Prozess nimmt einige Zeit in Anspruch.
• Weitere Informationen finden Sie hier

OphionLocker – erstmals im Dezember 2014 aufgetreten. ¹¹

• Infektionsweg: man nimmt an, dass sich der Virus über Online-Werbekampagnen verbreitet. Klickt der Nutzer auf einen bestimmten Bereich der betroffenen Webseite, erlangt er Angreifer die Kontrolle über den jeweiligen Rechner.¹²
• Wie wird die Entdeckung verhindert: benutzt das Tor-Netzwerk für die Kommunikation zwischen dem betroffenen Rechner und den Command-and-Control-Servern.
• Betroffene Dateien sind: *.3fr, *.accdb, *.arw, *.bay, *.cdr, *. cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mp3, *.mp4, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rwl, *.srf, *.srw, *.txt, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
• Entschlüsselungstool verfügbar? Derzeit nicht
• Verschlüsselungsalgorithmus: ECC
• Ransom/Lösegeld: Von Land zu Land verschieden. Auf den meisten Seiten werden 1 BTC verlangt.
• Hier können Sie sehen, was bei einer Infektion passiert
• Werden Dateien gelöscht? Löscht Dateien und Shadow-Volume-Kopien nicht vollständig.

CTB Locker (Curve-Tor-Bitcoin Locker): Auch unter den Namen Critroni oder Onion bekannt. Erstmals im Juli 2014 veröffentlicht, richtet sich gegen sämtliche Windows-Versionen inklusive von Windows XP, Windows Vista, Windows 7 und Windows 8.¹³

• Verschlüsselungsalgorithmus: ECC
• Entschlüsselungstool verfügbar? Derzeit nicht
• Ransom/Lösegeldsumme: 3 BTC (entspricht zirka 630 Dollar)
• Infektionsweg: Verbreitet sich über E-Mails. Öffnet der Benutzer den Dateianhang aktivieren sich die in der Malware enthaltenen Verschlüsselungsroutinen und verschlüsseln sämtliche Dateien, die sich auf dem betroffenen Rechner befinden.
• Weitere Informationen finden Sie hier und hier

VaultCrypt – Ist ungefähr im Februar 2015 erstmals aufgetreten. Die Ransomware benutzt Windows Batch-Dateien und die Open Source GnuPG Privacy Software für eine äußerst effektiv arbeitende Verschlüsselungstechnik.¹⁴

• Betroffene Dateitypen sind: .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc¹⁵
• Entschlüsselungstool verfügbar? Derzeit nicht
• Verschlüsselungsalgorithmus: RSA-1024-Schlüsselpaar aus öffentlichem und privatem Schlüssel, um die Dateien zu verschlüsseln.¹⁶
• Weitere Informationen finden Sie hier und hier

TeslaCrypt – richtet sich gegen Windows-Versionen inklusive Windows XP, Windows Vista, Windows 7 und Windows 8. TeslaCrypt wurde erstmals im Februar 2015 veröffentlicht.¹⁷

• Von TeslaCrypt betroffene Dateitypen: .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
• Entschlüsselungstool vorhanden? Ja, weitere Informationen finden Sie beispielsweise unter Cisco’s Talos Teslacrypt tool
• Verschlüsselungsalgorithmus: AES
• Klicken Sie hier für weitere Informationen

Alphacrypt: Sieht aus wie TeslaCrypt, verhält sich wie CryptoWall.¹⁸

• Betroffene Dateitypen sind: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
• Verschlüsselungsalgorithmus: AES
• Entschlüsselungstool vorhanden? Bisher nicht
• Klicken Sie hier für mehr Informationen

LowLevel04 – erstmals im Oktober 2015 beobachtet

• Infektionsweg: Brute-Force-Attacken auf Rechner, bei denen Remote Desktop oder Terminal Services installiert oder die nur über schwache Passwörter gesichert sind.¹⁹
• Betroffene Dateitypen: .3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay, .bck, .bkp, .bcp, .cdr, .mid, .nef, .nrw, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, .pst, .ppt, .rtf, .rw2, .odt, .ods, .pem, .sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer, .crw, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, .p12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, .msi, .ie5, .ie6, .ie7, .ie8, .ie9, .ini, .inf, .lnk, .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
• Verschlüsselungsalgorithmus: AES32 und RSA-2048²⁰
• Ransom/Lösegeldforderung: Der geforderte Betrag ist mit 4 Bitcoins etwa doppelt so noch wie der „normalerweise“ geforderte von etwa 500 Dollar.²¹
• Entschlüsselungstool verfügbar? Derzeit noch nicht
• Dateien wiederherstellen: Der einzige Weg die Dateien wiederherzustellen ist von einem Backup oder indem man versucht auf Shadow-Volume-Kopien zuzugreifen. Ansonsten bleibt nur der Weg, das geforderte Lösegeld zu bezahlen. Man vermutet, dass die Ransomware zu einer Familie gehört, die die E-Mails routinemäßig verändert, die üblicherweise mit Ransom-Notes assoziiert werden. ²²

Chimera – Chimera wurde erstmals im November des letzten Jahres beobachtet. Auch sie verschlüsselt Dateien und fordert eine entsprechende Summe Lösegeldes für den Schlüssel, der die Dateien wieder zugänglich macht. Allerdings kommt hier noch ein weiterer Aspekt hinzu: Zahlt man den geforderten Betrag nicht, wird damit gedroht, die Dateien im Internet zu veröffentlichen.²³ Allerdings gibt es laut dem Anti Botnet Advisory Center zumindest bisher keine Anzeichen, dass derartige Informationen tatsächlich veröffentlicht worden sind.²⁴

• Betroffene Dateitypen: .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf
• Entschlüsselungstool verfügbar? Bis jetzt nicht
• Ransom/Lösegeld: 4 Bitcoins (umgerechnet etwa 865 Dollar)²⁵
• Vorgehensweise: Chimera bedient sich Bitmessage, einer Peer-to-Peer Messaging-App um zwischen dem Rechner des Opfers und dem Command-und-Control-Server des Malware-Entwicklers zu kommunizieren. So entsteht ein Entschlüsselungsdienst, der leicht zu portieren und dabei sehr sicher ist. Und es würde immens schwierig bis unmöglich sein, aller in diesem Peer-to-Peer-Netzwerk verbundenen Rechner Herr zu werden. Umgekehrt ist aber jeder einzelne von ihnen in der Lage die entsprechenden Schlüssel zu verteilen….²⁶
• Klicken Sie hier und hier für weitere Informationen

Torrentlocker – wurde gegen Ende August 2014 veröffentlicht und richtet sich gegen sämtliche Windows-Versionen, darunter Windows XP, Windows Vista, Windows 7 und Windows 8.²⁷

• Betroffene Dateitypen: *.wb2, *.psd, *.p7c, *.p7b, *.p12, *.pfx, *.pem, *.crt, *.cer, *.der, *.pl, *.py, *.lua, *.css, *.js, *.asp, *.php, *.incpas, *.asm, *.hpp, *.h, *.cpp, *.c, *.7z, *.zip, *.rar, *.drf, *.blend, *.apj, *.3ds, *.dwg, *.sda, *.ps, *.pat, *.fxg, *.fhd, *.fh, *.dxb, *.drw, *.design, *.ddrw, *.ddoc, *.dcs, *.csl, *.csh, *.cpi, *.cgm, *.cdx, *.cdrw, *.cdr6, *.cdr5, *.cdr4, *.cdr3, *.cdr, *.awg, *.ait, *.ai, *.agd1, *.ycbcra, *.x3f, *.stx, *.st8, *.st7, *.st6, *.st5, *.st4, *.srw, *.srf, *.sr2, *.sd1, *.sd0, *.rwz, *.rwl, *.rw2, *.raw, *.raf, *.ra2, *.ptx, *.pef, *.pcd, *.orf, *.nwb, *.nrw, *.nop, *.nef, *.ndd, *.mrw, *.mos, *.mfw, *.mef, *.mdc, *.kdc, *.kc2, *.iiq, *.gry, *.grey, *.gray, *.fpx, *.fff, *.exf, *.erf, *.dng, *.dcr, *.dc2, *.crw, *.craw, *.cr2, *.cmt, *.cib, *.ce2, *.ce1, *.arw, *.3pr, *.3fr, *.mpg, *.jpeg, *.jpg, *.mdb, *.sqlitedb, *.sqlite3, *.sqlite, *.sql, *.sdf, *.sav, *.sas7bdat, *.s3db, *.rdb, *.psafe3, *.nyf, *.nx2, *.nx1, *.nsh, *.nsg, *.nsf, *.nsd, *.ns4, *.ns3, *.ns2, *.myd, *.kpdx, *.kdbx, *.idx, *.ibz, *.ibd, *.fdb, *.erbsql, *.db3, *.dbf, *.db-journal, *.db, *.cls, *.bdb, *.al, *.adb, *.backupdb, *.bik, *.backup, *.bak, *.bkp, *.moneywell, *.mmw, *.ibank, *.hbk, *.ffd, *.dgc, *.ddd, *.dac, *.cfp, *.cdf, *.bpw, *.bgt, *.acr, *.ac2, *.ab4, *.djvu, *.pdf, *.sxm, *.odf, *.std, *.sxd, *.otg, *.sti, *.sxi, *.otp, *.odg, *.odp, *.stc, *.sxc, *.ots, *.ods, *.sxg, *.stw, *.sxw, *.odm, *.oth, *.ott, *.odt, *.odb, *.csv, *.rtf, *.accdr, *.accdt, *.accde, *.accdb, *.sldm, *.sldx, *.ppsm, *.ppsx, *.ppam, *.potm, *.potx, *.pptm, *.pptx, *.pps, *.pot, *.ppt, *.xlw, *.xll, *.xlam, *.xla, *.xlsb, *.xltm, *.xltx, *.xlsm, *.xlsx, *.xlm, *.xlt, *.xls, *.xml, *.dotm, *.dotx, *.docm, *.docx, *.dot, *.doc, *.txt
• Wie verläuft der Infektionsweg? Über E-Mail. Beobachtet wurden insbesondere E-Mail-Nachrichten, die vorgeblich Lieferungen ankündigen, aber auch E-Mails, die sich auf ein angebliches Verkehrsdelikt oder eine Geschwindigkeitsübertretung beziehen sowie alle Arten angeblicher Unternehmens- oder Behördenkommunikation.
• Ransom/Lösegeld: beginnt bei umgerechnet etwa 550 Dollar – zahlbar in Bitcoins, die verschlüsselten Dateien werden in einem Zeitraum von etwa drei Tagen wiederhergestellt.
• Verschlüsselungsalgorithmus: AES um die Dateien des Opfers zu verschlüsseln und asymmetrische Cipher-RSA für den AES-Schlüssel.
• Entschlüsselungstools verfügbar? Bisher nicht
• Kicken Sie hier für weitere Informationen

Und dann ist da noch der Verschlüsselungstrojaner „Locky“, der besonders in Deutschland ziemlich erfolgreich ist. Spiegel Online berichtet von 17.000 infizierten deutschen Rechnern pro Tag und zahlreiche Medien beschäftigen sich mit dem mittlerweile auch deutsch sprechenden Erpressungstrojaner. Die US-amerikanische Ausgabe des SC Magazine veröffentlichte Zahlen, dass per 16. Februar 2016 rund 446.000 Sessions registriert worden sind, wovon etwa 54 % sich gegen die USA richteten. Locky verschlüsselt dabei sowohl Daten auf lokalen Geräten wie auf nicht gemappten Netzwerkfreigaben und nutzt dabei den AES-Verschlüsselungsalgorithmus. Für eine Entschlüsselung werden 0,5 Bitcoin verlangt. Die generelle Warnung muss also sein: Sobald Sie eine E.Mail erhalten, die einen Microsoft-Anhang enthält, ihn keinesfalls zu öffnen.

Microsoft MVP Lawrence Abrams (der Gründer von Bleeping Computer) schreibt: „Das entsprechende Word-Dokument tarnt sich als Rechnung. Der Text lautet in etwa: „Sollten Sie den Text nicht einwandfrei zu lesen sein, aktivieren Sie bitte die Makros“. Sobald das Opfer genau das tut, wird eine ausführbare Datei vom Remote-Server heruntergeladen und ausgeführt. Dazu wird die über ein Makro heruntergeladene Datei im %Temp%-Ordner gespeichert und wie beschrieben ausgeführt. Und das ist dann auch die Locky-Ransomware, die sofort damit beginnt die Dateien auf dem Rechner des Opfers zu verschlüsseln.“

Ähnlich wie es CryptoWall tut verändert auch Locky die Namen der verschlüsselten Dateien. Für den Betroffenen wird es dadurch noch schwieriger zu ermitteln, welche Dateien wiederhergestellt werden müssen.

Im Moment sind diese Dateitypen betroffen: .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Was tun? Zur Prävention greifen die altbewährten Ratschläge nicht auf Links und Anhänge zu klicken, die über E-Mails von unbekannten Absendern in der Inbox landen. Und natürlich sollte man vor allem von den Dateien, die vertrauliche Daten enthalten, regelmäßig BackUps anlegen.

Varonis-Kunden sollte im Produkt DatAlert eine entsprechende Regel anlegen, die massenhaft vorkommende Namensänderungen bei Dateien überwacht. Diese Dateien werden unter dem Namen .locky oder bei einzelnen Dateien unter LIKE (in _Locky_recover_instructions) gespeichert sind. Weitere Informationen finden Varonis-Kunden in der Connect-Community.

Verwendete Quellen:
¹ http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
² http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
³ http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
⁴ http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
⁵ http://www.computerworld.com/article/2485214/microsoft-windows/cryptolocker-how-to-avoid-getting-infected-and-what-to-do-if-you-are.html
⁶ http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
⁷ http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#CryptoWall
⁸ https://malwaretips.com/blogs/remove-cryptowall-4-0-virus/
⁹ http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
¹⁰ http://www.techrepublic.com/article/cryptowall-what-it-is-and-how-to-protect-your-systems/
¹¹ http://www.bleepingcomputer.com/forums/t/559343/ophionlocker-ransomware-encrypts-your-files-with-elliptical-curve-cryptography/
¹² https://securityintelligence.com/news/ophionlocker-ransomware-uses-advanced-encryption-to-hold-data-hostage/
¹³ http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
¹⁴ http://www.bleepingcomputer.com/forums/t/570390/vaultcrypt-uses-batch-files-and-open-source-gnupg-to-hold-your-files-hostage/
¹⁵ https://blogs.mcafee.com/mcafee-labs/vaultcrypt-ransomware-hides-its-traces-while-stealing-web-credentials/
¹⁶ https://blogs.mcafee.com/mcafee-labs/vaultcrypt-ransomware-hides-its-traces-while-stealing-web-credentials/
^{17</sup >http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information
18 http://news.softpedia.com/news/AlphaCrypt-Crypto-Malware-Looks-Like-TeslaCrypt-Behaves-Like-CryptoWall-480575.shtml
19 https://blog.knowbe4.com/ransomware-spreads-using-remote-desktop-and-terminal-services-attacks
20 http://www.bleepingcomputer.com/news/security/help-recover-files-txt-ransomware-installed-by-targeted-terminal-services-attacks/
21 https://blog.knowbe4.com/ransomware-spreads-using-remote-desktop-and-terminal-services-attacks
22 http://tbyd.ca/alert-new-ransomware-infection-lowlevel04-coming-soon-to-a-computer-near-you/
23 http://www.bleepingcomputer.com/news/security/help-recover-files-txt-ransomware-installed-by-targeted-terminal-services-attacks/
24 http://blog.varonis.com/chimera-changes-the-ransomware-game/
25 http://www.ibtimes.com/chimera-ransomware-tries-turn-malware-victims-cybercriminals-2211638
26 http://www.bleepingcomputer.com/news/security/chimera-ransomware-uses-a-peer-to-peer-decryption-service/
27 http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information}