Schlecht programmierte Ransomware "vergisst" den Krypto-Key

Als Ransomware bezeichnet man einen Computer-Schädling, der die persönlichen Daten auf einem Rechner verschlüsselt und den Nutzer in weiterer Folge erpresst. Dieser soll dann einen bestimmten Betrag bezahlen, um die Daten wiederzubekommen, indem sie ... mehr... Schadcode, Schadsoftware, Ransomware, Schadprogramme Schadcode, Schadsoftware, Ransomware, Schadprogramme Schadcode, Schadsoftware, Ransomware, Schadprogramme

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich formuliere mal wie Nelson: HaHa
 
Einmal mit Profis...
 
@Fallen][Angel: Ach wo, man folgt doch nur dem Trend der Bananensoftware, diese reift nun mal beim Kunden.
 
@Antimon: Ohne Day 1 Patch installier mir das jedenfalls nicht.
 
@Antimon: Zitat: "Bananensoftware, diese reift nun mal beim Kunden."

Hab ich heute zum ersten mal gehört und mich amtlich beeumelt.

Vielen Dank !!
 
Ich frag mich sowieso wieso einer den key dazu wirklich zurück gibt.
 
Weil es schlecht fürs Geschäft wäre wenn bekannt würde dass das Zahlen des Lösegelds nichts bringt. Schließlich werden viele Betroffene nur dann bereit sein zu zahlen wenn man auch davon ausgehen kann dass man tatsächlich wieder Zugang zu seinen Daten erhält.
 
@Garbage Collector: Dann gibt es wohl bald eine Rangliste mit Bewertungen (wie bei Amazon), welche die "gute" und die "schlechte" Ransomware auflistet. Grundsätzlich sollte niemand auf diese Art von Erpressung eingehen, dann verschwindet dieses "Geschäftsmodell" sehr sehr schnell.
 
"A++++ zuverlässiger Anbieter, schnelle Entschlüsselung, jederzeit gerne wieder!"
 
@Garbage Collector: A+++ hat irgendwie was von Börse und sehr positiven Bewertungen durch große Rating Agenturen.
Bist du sicher, das es sich dabei nicht doch weit eher um etwas auf oder sogar unter Ramschniveau handelt ? *fg
 
@xerex.exe: weil er das "Geschäftsmodell" möglichst lange melken will. Denn im Normalfall wirst du ja mal recherchieren, was du dir da eingefangen hast. Wenn du dann aber schnell draufkommst, dass Bezahlen eh sinnlos ist, dann wirst du auch nichts an der Ransomware "verdienen"
 
@witek: Es müsste aber doch ausreichen einer "guten" Ransomware die eine sehr viel höhere Verbreitungsrate hat sehr ähnlich zu sehen.
Denke nicht, dass das viele als Geschäftsmodell für ihr Leben sehen und wenn man ein paar k€ verdient und nebenbei seinen Konkurrenten das Geschäftsmodell vermießt wird den meisten Malwarecodern doch noch eher ein Lächeln ins Gesicht zaubern oder nicht?
 
Einfach auf einen Patch warten.
 
@MOSkorpion: Der kann den vergessenen Key auch nicht wieder herbringen.
 
Wer generell zahlt, hat in jedem Fall verloren. Mich wundert es ja, dass man angeblich wieder Zugang zu seinen Daten bekommt, wenn man zahlen tut. Das ist doch lächerlich. Wie viele User waren dumm und hatten bezahlt und es tat sich trotzdem nix getan?

Ich für meinen Teil kann leider nur sagen "selbst Schuld!"

Ein Grund mehr, seine Daten regelmäßig zu sichern, sich nicht auf dubiose Seiten aufhalten, Antiviren Programm aktiv halten, mit Bedarf surfen und auch ganz wichtig: Windows Update regelmäßig fahren! Mit diesen einfachen Mitteln dämpft man diese Pest ein!

Auch ein DAU sollte irgendwann einmal dazu lernen!!!
 
Ich kenne die Währung BitCoin und das Zahlverfahren undso nicht daher mal eine Frage; Ist es wirklich nicht möglich an der Stelle wo das Geld auf das Konto zum Verbracher fließt festzustellen wer dahinter steckt und diesen Strafrechtlich zu verfolgen? Das so etwas in der heutigen Zeit möglich ist. Auf virtuellen Wege Geld zu transferieren ohne jegliche Spuren...
 
@Driv3r: Es mag Dir unvorstellbar sein, aber es gibt Länder (auch in Europa!) da bekommen die Behörden einen netten Anteil und alle (außer das Opfer) sind zufrieden.
 
@Driv3r: https://bitcoin.org/de/das-sollten-sie-wissen
Für den Empfang der Gelder ist eine eigene ID erstellt worden, somit kann man zwar sehen wie viele Bitcoins diese ID erhalten hat, wer Zugang zu diesem Wallet hat kann man aber nicht schlussfolgern.
 
kann mir mal jemand grob erklären wieso ich zb meien Festplatte vorher verschlüsseln muss damit die daten vor 3ten sicher sind und der virus das alles in bruchteil einer minute im nachinein kann? Danke
 
@rush: Die Software werkelt einige Zeit unbemerkt im Hintergrund um nach- und nach deine Dateien zu verschlüsseln und bei Bedarf auch zu entschlüsseln (on the fly im RAM wie das auch eine normale Verschlüsselungssoftware macht) und wenn sie der Meinung ist, dass sie alle relevanten Daten verschlüsselt hat, dann überträgt sie den Schlüssel auf einen externen Server und löscht ihn lokal. Ich glaube der Rest ist dir dann klar.
Wenn man Backups macht werden die mitunter mitverschlüsselt, aber beim Betrachten der Backups von einem nichtkompromitierten System aus fällt dann die Verschlüsselung auf wodurch man Gegenmaßnahmen ergreifen kann. (Schlüssel extrahieren solange er noch nicht lokal gelöscht ist.)

PS: Einige Versionen haben auch nur ein paar keys die dann nach getaner Arbeit nur lokal gelöscht, aber nicht in Richtung Cloud übertragen werden müssen, da der externe Server sowieso alle keys kennt. Das hat den Vorteil, dass der Vorgang Offline abgeschlossen werden kann und der PC trotzdem durch Zahlen der Lösegeldsumme Online wieder entschlüsselt werden kann. Von diesen Versionen werden ab- und zu die keys bekannt wodurch man dann mit dem in o8 genannten Kaspersky-Tool ohne Geld an seine Daten kommt.

PPS: Meist werden auch nicht alle Daten verschlüsselt, sondern nur die die der Virus für wichtig hält. (z.Bsp. oft verwendete Dateien, Dokumente, Dateien unter "Meine Dateien".)
 
@andy01q: Warum so kompliziert? :D Regelmäßig EXTERNE Backups machen. Also auf ner USB Platte zB. Wenn das System dann im Falle eines Falles infiziert wurde, Festplatte formatieren und dann das Backup wieder einspielen, sich danach freuen und in Zukunft besser aufpassen. :)

Außerdem sollte man seine Backups eh extern sichern und nicht auf der gleichen Platte, wo das BS drauf ist. Sollte auch klar sein. ;)
 
@oOTrAnCe4LiFeOo: Manche Versionen des Viruses machen keinen Unterschied zwischen internerm-, USB- und Netzwerklaufwerk und speichern bei Dateiübertragung die verschlüsselte Version, das weiß man vorher nicht.
Deswegen sollte man sicherheitshalber Backups gelegentlich auf einem unabhängigem System überprüfen.
Hab irgendwo mal von jemandem gelesen, der seiner Infektion auf die Schliche gekommen ist, weil er sich gewundert hat warum seine Dropbox-Dateien vom Mobilgerät aus nicht lesbar sind. (Ja, der Virus hat den Ordner an sich sowie für die Dropbox wichtige Dateien nicht angefasst, sondern nur die Bilder und Dokumente verschlüsselt.)
 
Wer sich so einen Virus eingefangen hat (den Rechner voller .vault-Dateien hat) sollte es mal mit dem Ransomware Decryptor von Kaspersky versuchen bevor er irgendwas an irgendwen zahlt.

https://noransom.kaspersky.com/
 
Hallo
Ich kenne mich damit nicht so aus und vielleicht kann es mir jemand erklären?

Wie kommt so etwas zu stande? Wenn man sich auf unseriösen Boards rum treibt? oder was runtergeladen hat? Kann ich mir sowas auch einfangen wenn ich mich zb auf Winfuture herumtreibe ?
 
@BigBallmer: Theoretisch, aber eher unwahrscheinlich, kann dir das auch auf WF passieren. Du musst nicht immer selber etwas herunter laden. Es lässt sich leider auch durch Werbung (Flash), Java und Co. einspeisen... aber das wird hier eher gut geprüft denke ich (der Schaden für WF wäre enorm, wenn das bekannt würde). Der Klassiker ist aber der Download. Da die Ransomware ein Trojaner ist, kommt der meist Huckepack in anderen Dateien, von Bildern über PDFs bis hin zu Executables (.exe).
Bisherige Tests zweigen, das hier vor allem die kostenpflichtigen AV Tools wie Kaspersky, Symantec und GData und Co. vorbeugen, aber auch diese bieten keinen 100%igen Schutz. Kostenlose AV Tools wie Avira Free oder der MS Defender lassen gerade hier noch zu viel durch.

Am besten Schützt daher eine Mischung aus Brain.exe (Gehirn einschalten beim Surfen) und einem guten AV Tool (30-40 Euro im Jahr sind billiger, als 2 Bitcoins ;) )
 
@Scaver: Danke
 
@BigBallmer: Die meisten Viren werden über soziale Netzwerke verteilt (Facebook und Co) danach kommt Filesharing (kino.to war da relativ böse) und danach andere Websiten (teilweise lieferten schon die Websiten von seriösen Banken über Werbeeinblendungen Trojaner aus.) meist über Werbung und davon meist über Flash. Pornos sind inzwischen nur unmessbar riskanter als durchschnittliche Newsseiten und von dem was ich über blöd.de hörte ist da das Risiko sogar wesentlich höher als bei vergleichsweise youporn.
3-mal meist, Resultat: Geh auf Websiten von sozialen Netzwerken Flashwerbung aus dem Weg.^^
Vieles geht auch immernoch über altbekannte Sicherheitslücken, so kann es z.Bsp. passieren dass jemand auf seinem schlecht gesicherten FTP-Server irgendwelche .pdfs anbietet und jemand andres diese .pdfs dann mit nem Trojaner infiziert der das System infiziert wenn man sie mit einem nicht aktuellen pdf-reader öffnet. (Das ist dann der von re:1 genannte Klassiker)
Automatische Update-Mechanismen sind auch beliebte Ziele, da man so in sehr kurzer Zeit sehr viele Ziele infizieren kann (und nach Infektion natürlich den Update-Mechanismus schließt um eine gewisse Resistenz aufzubauen). Im Schnitt ist man mit Update-Mechanismen trotzdem sicherer.
Da Ransomware sich oft gegen Firmen richtet (die Zahlungswilliger sind) wird hier auch schonmal manuell Hand angelegt, d.h. man sucht gezielt nach Lücken in die man den Virus aktiv einschleusen kann; bei den aktuellen Java-Lücken via Open-Collection bietet sich so ein Vorgehen an.
PS: WF nutzt u.a. Google Adservice (doubleclick) welches eine vorausgreifende Kontrolle seitens WF kategorisch ausschließt und selbst schon mehrfach als Virenverteiler aufgetreten ist. (Der Websitenbetreiber darf Werbung die negativ auffällt im Nachhinein ausschließen, nachdem sie mindestens einmal geladen wurde. Eine Vorausgreifende Einsichtnahme in ausgelieferte Werbung ist nicht vorgesehen.)
Das man hier relativ sicher sein kann liegt dann eher daran, dass Virenhersteller die Google Adsense verwenden sich ihre Ziele schon ein Stück weit aussuchen können und wollen und dann eher nicht bei technikaffinen Nutzern das Häckchen setzen. Mit ausgeschaltetem Werbeblocker meldet Fx, dass WF nichtmal ohne Flash auskommt, von daher...
Wenn man einen Virus über Werbung verteilen möchte braucht man auch eine Lücke und User die die Lücke noch nicht gepatcht haben, allein deswegen wäre hier das Kosten-Nutzen-Verhältnis gering.
Was die manuellen Downloads angeht (Service-Packs etc.) stimme ich zu, dass WF hier sehr wahrscheinlich relativ gut prüft was sie da anbieten.
 
Haette er mal besser zuerst auf seinem eigenen Rechner getestet.
 
@JanKrohn: er machts halt wie die Profis und läßt die "Kunden" beta-testen. ;-)
 
@JanKrohn: Macht für Ihn doch keinen Unterschied, Hauptsache es wurde gezahlt.
 
Wer wird wohl der Erste sein und seine Malware mit regelmäßigen Sicherheits-Updates versorgen?^^
 
Ich habe schon beim vorherigen Bericht, über diese Verschlüsselungs-Viren, mir an den Kopf gefasst. Ransomware zu gut: FBI rät Erpressungsopfern, einfach zu zahlen, ja geht`s denn noch??
Fangen, die Typen, F*nger brechen (dann schreiben die erst mal nix mehr) und einlochen.
Meine Güte, Überweisen, Spenden und vielleicht noch einen Dankesbrief schicken??
 
Also ist doch wirklich kein Problem.
Noch ca. 2000 weitere Bitcoins und der Ransomware-Anbieter mietet mal eine Serverfarm an, um den Schlüssel mittels Bruteforce zu knacken.

Nee - nochmals meine Meinung dazu: Wer diesen Erpressern auch nur einen Cent gibt,
hat sie nicht mehr alle.
 
Spielt das noch jemand?
Wegduck....
 
hilft dagegen in windows (ab 7) nur mit benutzerrechten angemeldet zu sein? mehr oder weniger ?
 
Nur bedingt, denn alles auf das der Useraccount mit normalen Rechten Schreibzugriff hat kann die Malware prinzipiell auch verschlüsseln. Auch ein mit Schreibrechten gemounteter Netzwerkshare oder der Dropbox-Ordner ist also davor nicht sicher.

Was hilft sind regelmäßig durchgeführte Backups. Natürlich nur wenn diese auch sicher gelagert werden, und nicht etwa auf einer ständig angeschlossenen USB-Platte.
 
@Garbage Collector: sry a bisserl spät, aber Danke für Antwort. lg/ymce
 
Sorry - aber wer kriminellen Erpressern vertraut und Geld überweist ohne sicher zu sein, dass man die Daten wieder erhält, ist selbst Schuld. Ich weiß auf jeden Fall, dass ich das nicht tun würde - so sehr ich meine Daten wiederhaben wollen würde. Deswegen Backups und Backups von Backups usw.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles