Die häufigsten Ransomware-Arten

Mai 22, 2019

Die häufigsten Ransomware-Arten

BY Annie Stroud

Ransomware

Ransomware scheint mittlerweile jede Woche Schlagzeilen zu machen. Es ist schwierig, den Überblick über die verschiedenen Arten zu behalten. Zwar verbreitet sich jede Art auf unterschiedliche Weise, nutzt aber grundlegend die gleichen Taktiken, um User zu überlisten und Daten zu verschlüsseln.

Übersicht über die häufigsten Ransomware-Arten:

  • Bad Rabbit: Eine Ransomware, die Unternehmen in Russland und Osteuropa infiziert hat. Bad Rabbit verbreitet sich durch ein falsches Adobe Flash-Update auf infizierten Websites. Wenn die Ransomware ein Gerät infiziert, werden Nutzer direkt zur Zahlungsseite weitergeleitet, auf der 0.05 Bitcoin (rund 250 Euro) gefordert werden.
  • Cerber: Cerber zielt auf Office 365-Nutzer ab und hat Millionen Nutzern durch eine ausgeklügelte Phishing-Kampagne geschadet. Dieser Malware-Typ unterstreicht, wie wichtig SaaS-Backups zusätzlich zu On-Premises-Backups sind.
  • CryptoLocker: Ransomware ist in der einen oder anderen Form schonseit zwei Jahrzehnten unterwegs, wurde aber 2013 wirklich bekannt durch CryptoLocker. Das Original CryptoLocker-Botnet wurde 2014 außer Kraft gesetzt, aber bis dahin hatten die Hacker fast 3 Millionen US-Dollar von den Opfern ergaunert. Seither haben Hacker den CryptoLocker-Ansatz kopiert, auch wenn dieser nicht direkt mit dem Original verbunden ist. Das Wort CryptoLocker wurde fast zum Synonym für Ransomware – quasi zur „Marke“ der Branche.
  • CryptoWall: CryptoWall erarbeitete sich seinen schlechten Ruf nach dem Verschwinden des originalen CryptoLocker. Er tauchte das erste Mal 2014 auf und seine Varianten wurden unter verschiedenen Namen wie CryptoBit, CryptoDefense, CryptoWall 2.0 und CryptoWall 3.0 bekannt. Wie CryptoLocker wird auch CryptoWall über Spam oder Exploit Kits verbreitet.
  • Crysis: Crysis-Ransomware verschlüsselt Dateien auf Festplatten, Wechsel- und Netzwerk-Laufwerken mit einem starken Verschlüsselungsalgorithmus, der es schwierig macht, ihn schnell zu knacken. Er verbreitet sich normalerweise über eMails und enthält Anhänge mit doppelter Datei-Erweiterung, die die Datei als nicht-ausführbar erscheinen lässt. Neben eMails kann er sich auch als Installationsprogramm für Anwendungen tarnen.
  • CTB-Locker: Die Kriminellen hinter CTB-Locker haben einen anderen Ansatz für ihre Malware-Verbreitung. Sie lagern den Infektionsprozess an Partner aus, die wiederum an den Gewinnen beteiligt werden. Das ist eine bewährte Strategie, mit der sich Malware schnell weit verbreitet.
  • Emotet/TrickBot/Ryuk: Emotet an sich ist ein Trojaner, keine Ransomware. Emotet ruft sensible Daten ab, indem er Code in den Networking Stack eines befallenen Computers injiziert, wodurch Daten gestohlen werden. Was Emotet unter anderem so gefährlich macht, ist, dass er auch in Verbindung mit TrickBot und der Ransomware Ryuk auftritt. Emotet verschafft durch gut getarnte eMails TrickBot und Ryuk Zugang zum Netzwerk des betroffenen Unternehmens. TrickBot sucht dann nach Zugangsdaten zu Bankkonten, um dort an Geld zu gelangen. Um das Trio perfekt zu machen, verschlüsselt Ryuk dann alle Dateien und verlangt von den Betroffenen ein Lösegeld, bevor diese wieder freigegeben werden.
  • GoldenEye: GoldenEye ähnelt der äußerst produktiven Petya-Ransomware. Hacker verbreiten GoldenEye-Ransomware mittels einer großen Kampagne, die Personalabteilungen ins Visier nimmt. Nachdem die Datei gedownloadet wurde, wird ein Makro mit verschlüsselten Dateien auf dem Computer installiert. Für jede Datei, die verschlüsselt wird, fügt GoldenEye eine zufallsbasierte Erweiterung am Ende an. Die Ransomware verändert dann den Master Boot Record (MBR) der Festplatte des Nutzers mit einem benutzerdefinierten Boot Loader.
  • Jigsaw: Jigsaw verschlüsselt und löscht Dateien nach und nach, bis ein Lösegeld gezahlt wird. Die Ransomware löscht eine Datei nach der ersten Stunde und dann mehr und mehr pro Stunde bis zur 72-Stunden-Marke, an der alle Dateien gelöscht werden.
  • KeRanger: Laut dem Blog „Ars Technica“ wurde die Ransomware KeRanger auf einem bekannten BitTorrent-Client entdeckt. KeRanger ist nicht weit verbreitet, aber bekannt als die erste vollständig funktionierende Ransomware, die entwickelt wurde, um Mac OS X-Anwendungen zu attackieren.
  • LeChiffre: „Le Chiffre“, was sich von dem französischen Wort „chiffrement“ (Deutsch: Verschlüsselung) ableitet, ist der Bösewicht im James-Bond-Film „Casino Royale”. Er kidnappt Bonds Liebhaberin, um ihn in eine Falle zu locken und sein Geld zu stehlen. Anders als bei anderen Varianten, muss LeChiffre manuell auf dem System ausgeführt werden. Cyber-Kriminelle scannen automatisch Netzwerke nach schlecht gesicherten Remote-Desktops, loggen sich Remote ein und führen eine Version des Virus aus.
  • LockerGoga: Dieser Ransomware-Stamm befiel verschiedene Produktionsunternehmen in Europa. Über eine Phishing-eMail gelangte das Virus in die Systeme, verursachte einen globalen IT-Ausfall und zwang die Unternehmen dazu, Hunderte neuer Computer anzuschaffen.
  • Locky: Der Ansatz von Locky ist ähnlich zu dem von anderen Ransomware-Typen. Die Malware wird über eine eMail verbreitet, die sich als Rechnung tarnt. Wenn sie geöffnet wird, wird die Rechnung verpixelt und das Opfer aufgefordert, Makros zu installieren, um das Dokument zu lesen. Wenn die Makros aktiviert werden, verschlüsselt Locky eine große Bandbreite an Datei-Typen durch eine AES-Verschlüsselung.
  • NotPetya: Frühere Berichte haben NotPetya als eine Variante von Petya kategorisiert, eine Ransomware-Variante, die das erste Mal 2016 gesehen wurde. Jedoch glauben Experten inzwischen, dass NotPetya eine Malware ist, die als „Wiper“ bekannt ist, mit dem einzigen Ziel, Daten zu zerstören, anstatt ein Lösegeld zu erhalten.
  • Petya: Anders als einige andere Ransomware-Typen verschlüsselt Petya ganze Computer-Systeme. Petya überschreibt den Master Boot Record, sodass sich das System nicht mehr starten lässt.
  • Popcorn Time: Popcorn Time ist eine Art Ransomware-Virus, der nach der Infiltration verschiedene Daten verschlüsselt. An die verschlüsselten Dateien werden die Endungen „.kok“ oder „.filock“ angehangen und eine Lösegeldforderung auf dem Desktop abgelegt. Von Betroffenen wird in der Regel ein Lösesgeld in Höhe von einem Bitcoin (ca. 670 €) gefordert. Sollte nicht innerhalb von sieben Tagen gezahlt werden, wird der Key zur Entschlüsselung permanent gelöscht und die Daten gehen verloren. Das Perfide an Popcorn Time: Betroffenen wird versprochen, dass Sie ihre Daten kostenlos zurückbekommen, wenn Sie selbst Freunde und Bekannte mit der Ransomware infizieren.
  • Spider: Eine Form von Ransomware, die in ganz Europa über Spam verbreitet wird. Diese Spider-Ransomware versteckt sich in Microsoft-Word-Dokumenten, die Malware auf dem Computer eines Opfers installiert, wenn sie heruntergeladen wird. Das Word-Dokument, das sich als Aufstellung ausstehender Schulden tarnt, enthält bösartige Makros. Wenn diese ausgeführt werden, lädt die Malware die Daten des Opfers herunter und verschlüsselt diese.
  • TeslaCrypt: TeslaCrypt ist noch einmal ein anderer Typ Ransomware in der „Szene“. Wie die meisten anderen Beispiele, nutzt es einen AES-Algorithmus, um Dateien zu verschlüsseln. Es wird normalerweise über ein Angler Exploit Kit verbreitet und attackiert Adobe-Schwachstellen. Sobald eine Schwachstelle ausgenutzt wurde, installiert sich TeslaCrypt selbst in einem temporären Ordner.
  • TorrentLocker: TorrentLocker wird normalerweise über Spam-eMail-Kampagnen verbreitet und zielt auf bestimmte Regionen ab. TorrentLocker wird oft zu CryptoLocker in Bezug gestellt und nutzt einen AES-Algorithmus, um Datei-Typen zu verschlüsseln. Zusätzlich zum Verschlüsseln von Dateien, sammelt er eMail-Adressen aus dem Adressbuch des Opfers, um weitere Computer zu infizieren – das macht TorrentLocker einzigartig.
  • WannaCry: WannaCry ist eine Ransomware-Kampagne, die Unternehmen weltweit infiziert. Diese Ransomware traf über 125.000 Unternehmen in mehr als 150 Ländern. Der Stamm infizierte Windows-Geräte über das Exploit EternalBlue.
  • ZCryptor: ZCryptor ist ein sich selbst-vermehrender Malware-Stamm, der ein wurmartiges Verhalten zeigt, Dateien verschlüsselt und externe Laufwerke und USB-Sticks infiziert, sodass auch andere Computer befallen werden.

Um mehr über Ransomware zu erfahren und wie MSPs sie bekämpfen können, lesen Sie den Datto „Ransomware Report: Die Lage aus Sicht des europäischen Channels“. Der Report bietet neue Statistiken und Prognosen zu Ransomware, die bekanntesten Varianten, Best Practices zum Schutz uvm. Noch heute hier downloaden!

Subscribe to the Blog