Ransomware Hilfe und Wiederherstellung

Die dunkle Seite der Verschlüsselung: Ransomware

Im Jahr 2016 hat Locky für Presse gesorgt. In meinem Bericht erkläre ich, wie du dich vor Ransomware schützen kannst und bei einem Befall korrekt verhältst. Die Idee, dass eine Virenart fremde Daten verschlüsselt und erst nach Zahlung eines nicht rückverfolgbaren Betrages die Daten wieder entschlüsselt geht auf einen frühen Diskettenvirus aus dem Jahr 1989 zurück. Heute knapp 30(!) Jahre später gibt es tausende vergleichbare Viren der Gattung „Ransomware“ die Daten in den Besitz nehmen und zur Lösegeldzahlung auffordern.

Wie funktioniert Ransomware technisch?

Mit der Erfindung der asymmetrischen Verschlüsselung war der perfekte Weg für Ransomware geöffnet. Asymmetrische Verschlüsselung verwendet ein kryptographisch verwandtes Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel, das vom Angreifer erzeugt wird. Die Verschlüsselung erfolgt nur mit dem öffentlichen Schlüssel, hingegen wird für die Entschlüsselung der private Schlüssel benötigt.

Genau hier liegt der Ansatz von Ransomware. Die Software infiziert den Computer des Opfers in Form eines Virus über offene Sicherheitslücken, oder der Anwender installiert die Schadsoftware ungewollt mit einer infizierten Software aus dem Internet oder E-Mai-Anhang. Datenverschlüsselung beliebiger Daten ist heute sehr einfach. Es gibt unzählige Bibliotheken oder Code-Beispiele, wie man eine Datei mit einem Schlüssel codiert. Die Ransomware jedoch beinhaltet nur den öffentlichen Schlüssel, der ggfls. sogar pro Opfer noch variiert wird.

Nach der Infektion beginnt die Ransomware möglichst langsam und unauffällig einzelne Dateien im Dateisystem und an verbundenen Netzwerklaufwerken zu verschlüsseln. Hierbei werden primär typische Benutzerdaten wie Office-Dateien anhand der Dateiendung ausgewählt. Der Virus hingegen verschont Systemdateien, da sonst das Betriebssystem in kürze Fehlermeldungen erzeugen würde und nicht mehr funktioniert.

Datenrettung?

In der Theorie erhält man nach Lösegeldzahlung den passenden privaten Schlüssel, mit dem die eigenen Daten wieder entschlüsselt werden können.

Sofern die Ransomware keinen Designfehler hat oder die Programmierer sehr schlechte Kryptographie genutzt haben, gibt es keine Chance den privaten Schlüssel zu errechnen oder auszuprobieren. Auch wenn Experten den gesamten Source-Code der Ransomware hätten, wäre durch den fehlenden privaten Schlüssel keine Rettung der Daten in Sicht. Sorry, für diese schlechten Nachrichten!

Was tun bei einem Befall?

Die Zahlung der geforderten Geldsumme führt in der Regel nicht zu einem Passwort/Code mit dem man seine Daten wieder herstellen kann. Siehe hierzu die Empfehlungen des Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ich empfehle die folgenden Schritte:

  1. Das infizierte System vom Netz nehmen und ausschalten, um weiteren Datenverlust zu verhindert.
  2. Nicht zahlen!
  3. Anzeige erstatten, dies erhöht die Chance, dass Kriminelle gefasst werden.
  4. Experten einschalten.
  5. Infizierte Systeme neu aufsetzen, Daten so gut wie möglich wiederherstellen.
  6. Regelmäßige Prüfung, ob es für die identifizierte Ransomware ein Datenwiederherstellungstool gibt.
    • Wenn die Betrüger geschnappt werden, stehen die Chancen gut, dass mittelfristig ein Tool verfügbar wird.
    • Je populärer eine Ransomware ist, desto besser die Chancen, dass an einer Datenwiederherstellung gearbeitet wird.

Klugscheißen auf hohem Niveau

Wie kannst du dich vor Ransomware schützen? Mit dieser Frage beschäftigen sich Opfer leider in der Regel zu spät. Da ich hier nicht in den offenen Wunden bohren möchte, bitte nimm meinen Rat positiv auf und HOFFENTLICH liest du meinen Bericht vor einem Befall.

Wie schütze ich mich präventiv vor Ransomware?
  1. Schieße Sicherheitslücken durch automatische Updates und regelmäßige Vulnerability-Scans. Siehe hierzu einen weiteren Blog Beitrag von mir Unboxing Tenable Nessus 6 Home
  2. Nutze einen möglichst guten Echtzeit-Virenscanner mit aktuellem Pattern
  3. Arbeite nicht mit Administrator Rechten, das erleichtert Viren sich per Drive-By zu installieren
  4. Sei immer kritisch!
    • Speziell bei Software aus dem Internet, auch von den bekannten Download-Portalen
    • Wähle bei Software-Downloads immer die originale Download-Quelle des Anbieters. Alternative Quellen bieten oft virenverseuchte Software an die während der Softwareinstallation einen Virus mitinstallieren
    • Führe keine Software Downloads aus vermeidlich freien WLAN-Hotspots durch. Diese freien WLAN-Hotspots können über einen hinterlistigen Proxy dein Download-Software während deines Downloads mit einem beliebigen Virus infizieren
    • Sei extrem skeptisch bei ungewöhnlichen E-Mail-Anhängen – auch dir bekannter Kommunikationspartner – die Software beinhalten können
    • Bei Nachrichten von dir unbekannten Sendern öffne keine E-Mail-Anhänge oder Links
  5. Schütze dich im WLAN:
    • Wähle in deinem privaten WLANs ein möglichst starkes WPA2 Passwort
    • setze den Haken „[ ] Automatisch verbinden“ bei freien Hotspots nicht, sondern verbinde dich bewusst und temporär
    • lösche temporär genutzte WLAN-Verbindungen (freie Hotspots, Hotel-Hotspots) nach der Nutzung, sodass sich dein Client nicht automatisch mit allen WLAN-Routern mit dieser SSID verbindet
    • Warum das alles? Ein Angreifer kann deinen WLAN Router oder häufige Hotspot-WLAN Router über die SSID simulieren und deine Internetzugriffe so über einen Router leiten und Daten bzw. Downloads infizieren
  6. Erstelle regelmäßig Backups deiner wichtigen Daten, jedoch nicht ausschließlich inkrementelle Backups, sondern auch eigenständige Backups. Zum Beispiel monatlich ein eigenständiges Offline-Backup und täglich ein inkrementelles Online-Backup. In diesem Fall verliest Du maximal Daten der letzten 30 Tage die du ggfls. wieder nacharbeiten kannst
  7. Nutze unterschiedliche Synchronisierungsstrategien zu unterschiedlichen Zeitpunkten für Cloud und Dateiserver. So hast Du unterschiedliche Datenversionen und hoffentlich auch die unbefallenen und unverschlüsselten Versionen auf zumindest einem Synchronisierungsspeicher.
Letzte Rettungsmöglichkeiten, letzte Hoffnung?

Bei einem Ransomware Befall gibt es noch einige Optionen für eine Datenrettung.

  • Sofern du virtuelle Systeme/Server nutzt, prüfe ob in einem früheren Snapshot die nun verschlüsselten Daten in Originalform vorhanden sind.
  • Speziell auf Cloud-Speichern prüfe, ob es per Versionierung möglich ist früher Versionen der verlorenen Dokumente herzustellen.
  • Prüfe ob in dem %TEMP% Verzeichnis wiederherstellbare Kopien der verlorenen Daten liegen.
  • Teste regelmäßig mit Tools deine Dateiablageorte, ob die Office-Dateninhalte lesbar sind. Ransomware hinterlässt unlesbare Daten unter den Original Dateinamen wie .XLSX oder .DOCX. Beides sind .ZIP Container die man in einem Job auch prüfen kann.

Hat wer Erfahrung mit der Datenrettung über Entschlüsselungstools? Schreibt Eure Kommentare gerne auch mit Quellangaben zu Datenrettungstools!

7 Gedanken zu „Die dunkle Seite der Verschlüsselung: Ransomware“

  1. Hallo Andreas,
    aus meiner Sicht sehr treffend und klar dargestellt – mach weiter so – freue mich auf weitere spannende Beiträge und Themen von Dir.

  2. Hallo Andreas!

    Super Artikel. Mir fällt da noch eine Möglichkeit ein, die auf Windows-Fileservern vielleicht hilft Daten zu schützen.
    Was viele leider vergessen ist, dass Netzlaufwerke auch nicht sicher sind vor Verschlüsselsattaken, wenn der lokale Rechner infiziert ist.

    Windows-Server bring aber in den letzten Versionen ein Tool mit, dass hier helfen kann, Angriffe zu erkennen und vielleicht aktionen zu setzen.
    Der „File Server Ressource Manager“ kann auf bestimmte Dateierweiterungen reagieren und die Zugriff verweigern (gepaart mit einer E-Mail benachrichtigung) oder sogar den Benutzer/Computer im AD zu sperren oder den Fileserver komplett lahm zu legen (durch stoppen des SMB Dienstes – was man aber mit vorsicht geniesen sollte).

    Eventuell ist das ja einen Blog-Eintrag wert?

    lg
    Michael

    1. Sehr guter Tipp Michael!

      Deinen Vorschlag mit dem File Server Ressource Manager muss ich mir unbedingt ansehen und ggfls. mal mit ein paar Betroffenen besprechen, ob damit der Angriff erkennbar (gewesen wäre) ist. Ich persönlich bezweifle, dass sich kriminelle Ransomware-Entwickler an einheitliche Erkennungsmuster für ihren Ransomware-Viren halten, also immer die Dateiendungen entsprechend ändert, oder immer die selben Infodateien anlegen.

      In einem Microsoft Beitrag von Ende März 2016 habe ich einen Lösungsvorschlag gelesen, der gespeicherte Dateiendungen am (Windows) Fileserver prüft und bei einem Verdacht eine Benachrichtigung per Email sendet.

      Auszug auf dem Artikel:

      New-FsrmFileGroup -Name "Ransomware_Extensions" –IncludePattern @("*.k","*.encoderpass","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt")

      Da Locky die Datei „_Locky_recover_instructions.txt“ anlegt, wird der Filter für Locky funktioneren, soweit so gut. Ransomware die aber die orginalen Dateinamen als [Dateiname].docx und [Dateiname].xlsx überschreibt und nur den Inhalt verschlüsselt, wird von dem Filter nicht erkannt. Hierzu wäre es nötig, dass der Server beim speichern prüft, ob der Dateiinhalt einer [Dateiname].docx wirklich dem Word 2008+ Dateiformat entspricht.

      Ich halte meine Augen aber offen, ob es hierfür eine Lösung gibt, die erkennt ob der Inhalt lesbar oder Ransomware verschlüsselt ist.

      Danke für dein spitzen Feedback!!!!
      Andreas

    1. Hallo JW aus F!

      Danke für Dein Lob! Ich hoffe dich hat es mit Ransomware nicht erwischt und Du musst Deine Dateien nicht auslösen.

      viele Grüße, Andreas

  3. Ich kann den Inhalt des Artikels zu 100% bestätigen- jede Woche erwischt es mehrere Unternehmen die ich kenne- Eine wichtiges todo wären Awarness-Trainings der Mitarbeiter- es ist und bleibt das schwächste Glied in der Security-Kette
    Weiter so
    lg
    Stefan P.

    1. Hallo Stefan,

      klar helfen Awareness-Trainings, aber wir Menschen in Mittel-Europa sind nicht dafür trainiert alles kritisch zu betrachten und niemanden zu trauen. Speziell in Kombination mit Social-Engineering fallen wir sehr einfach auf Fallen herein und infizieren so unsere Systeme unbewusst, oder führen Aktionen aus. Erschreckend finde ich lange Zeit in der Exploits ungepatched bleiben und in der Zeit von kriminellen Machenschaften ausgenutzt werden.
      Denen Tipp nehme ich aber gerne auf und bemühe mich in einer eigenen Rubrik Tipps für die Vermeidung von IT-Sicherheitsgefahren zu sammeln.

      Sichere Grüße. Andreas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.