Teil 2 des Interviews mit Kaspersky Lab-Experte Christian Funk

Schnell wie ein Grippevirus, dabei gefährlich wie die Pest verbreitet sich die Schadsoftware Ransomware. Ist der PC erst einmal infiziert, entwickelt sich die Ransomware, auch Lösegeld-Trojaner genannt, wahrlich zu einem Plagegeist. Akribisch durchforstet die Malware den PC nach verschlüsselungswürdigen Dateien. Sind sie gefunden – flop – erscheint die Erpressernachricht auf dem PC: „Your personal documents and files on this computer have just been encrypted!“ Und jetzt? Wie verhalte ich mich als Ransomware-Opfer richtig?

Nachdem Kaspersky Lab-Experte Christian Funk im ersten Teil des Interviews den genauen Ablauf der Infektion aufgezeigt hat, konnten wir von exali.de ihm im zweiten Teil seine persönlichen Top Tipps zum Schutz vor Ransomware und für den Fall des Befalls entlocken. Deshalb lohnt es sich heute auf der exali.de Info-Base besonders die Ohren zu spitzen!

Interview Teil 2 – Prävention und Reaktion

Wie ein Wurm windet sich die Schadsoftware durch alle Bereiche des PCs – bis die „richtigen“ Dateien gefunden sind. Mittlerweile gibt es sogar eine achtstellige Anzahl an verschiedenen Arten von Ransomware. Hier selbst die Lösung zu ergründen, war vor vielen Jahren noch denkbar. Heutzutage – mit Zunahme des Qualitätsaspektes – hat man im Fall des Befalls oftmals ein großes Problem an der Hand, wenngleich man sich mit der Kryptografie gut auskennt. Selbst die Standardverschlüsselungen und Implementierungen sind laut dem Kaspersky Lab-Experte heute so stark, dass kaum noch ein dicker Pferdefuß in Ransomware zu finden ist. Deshalb ist es umso wichtiger, die folgenden Präventions- und Reaktions-Tipps von Christian Funk zu beherzigen.

Herr Funk, wie bekommt man denn nun als Opfer die Infektion wieder in den Griff? Wie verhalte ich mich richtig?

Erste Anlaufstelle sollte in jedem Fall die favorisierte Suchmaschine sein: Gibt es ein Tool, das mir helfen kann? Meist wird bereits im Erpresserfenster angegeben, um welche Schadsoftware es sich handelt (z.B. CoinVault). Aber aufgepasst: Ich kenne auch Ransomware, die sich als etwas anderes ausgibt. TeslaCrypt behauptet beispielsweise, dass es CryptoWall ist und will sich damit wohl einen berüchtigteren Namen erheischen, denn CyrptoWall hat den Ruf, nicht knackbar zu sein. Warum also nicht diesen Namen nutzen, um dem Opfer zu suggerieren, es gibt keinen anderen Ausweg, als zu zahlen. Außerdem wird Ransomware polizeilich verfolgt, d.h. mit dem falsch benutzten Namen kann man auch wunderbar eine falsche Fährte legen, um von sich selbst abzulenken.

Wozu ich zusätzlich raten würde, wenn das Kind bereits in den Brunnen gefallen ist und die Installation einer anderen Antiviren-Software geblockt wird, ist der Download einer Linux-basierten Live-CD mit Scanner, die fast jeder Hersteller von Antiviren-Software kostenlos zum Download anbietet. So kann man ein Live-Betriebssystem starten und von außen die Datenträger durchleuchten, um herauszufinden, welche Schadsoftware wirklich drauf ist. Das ist sehr zuverlässig! Natürlich gibt es auch generische Treffer, aber in den meisten Fällen gibt es eine klare Bezeichnung sowohl von der Familie als auch der Modifikation. Dann kann man auf die Suche gehen und schauen, ob es dafür bereits Abhilfe gibt.

Bieten Sie von Kaspersky etwas zur Abhilfe an?

Wir bieten natürlich auch eine Live-CD an. Darauf ist nicht nur ein Scanner, sondern auch ein WindowsUnlocker-Tool, das auf Ransomware spezialisiert ist. Unser Programm schaut automatisch nach, ob die Software gut- oder bösartig ist und ob wir ein „Gegenmittel“ gegen die Verschlüsselung oder den Lockmechanismus parat haben, das angewendet werden kann. Gibt es beispielsweise einen Schlüssel resultierend aus einer polizeilichen Verfolgung, der hier passt?

Erst vor kurzem hatten wir einen solchen Fall, in dem wir mit einer Behörde zusammengearbeitet haben: Mithilfe unserer technischen Expertise zur Schadsoftwarefamilie und den Phrasen im Code konnte die Polizei Verdächtige verhaften. In diesem Zug sind auch Masterserver beschlagnahmt worden, auf denen die Freischaltcodes für die verschlüsselten Daten abgespeichert waren. Wenn das so passiert, dann werden diese Freischaltcodes der Öffentlichkeit über eine Webseite (in diesem Fall z.B. über den Ransomware-Decryptor, letztes Update 28.10.2015) zugänglich gemacht und stets aktualisiert. D.h. man kann dort einen Code bzw. eine ID von der Infektion eingeben und erhält den richtigen Freischaltcode zum Download angeboten. So können die Daten vom Anbieter wiederhergestellt werden, ohne das Lösegeld zu bezahlen – eine Erfolgsmeldung!

Was aber passiert jetzt, wenn keiner dieser Versuche bei mir Erfolg hat?

Falls alle Fragen nach Lösungsmöglichkeiten wie Tool, Live-CD oder neue Antiviren-Software mit „nein“ beantwortet werden, hat man natürlich ein großes Problem. Ich würde trotzdem die Flinte zu diesem Zeitpunkt noch nicht ins Korn werfen und die Platte neu aufsetzen oder einfach wegwerfen. Ich würde diese Platte definitiv archivieren und mir in meiner favorisierten Suchmaschine eine Newsmeldung einrichten und schauen, ob sich hier in Zukunft etwas tut, so dass man zu einem späteren Zeitpunkt in der Lage ist, diese Verschlüsselung wieder rückgängig zu machen. Das ist mein Top Tipp wenn man befallen wurde.

Gibt es derzeit eine besonders mächtige Form, die kaum zu „händeln“ ist? Was gelingt bei dieser aus Angreifer-Sicht besser?

Ein negatives Highlight ist derzeit auf jeden Fall CryptoWall. Das ist eine sehr hoch entwickelte und sehr mächtige Ransomware, die bis heute nicht ohne Keys entschlüsselbar ist. Und auch die Hintermänner sind bis heute nicht gefasst – das ist ein großer Punkt. Deren Command-and-Control-Server, die im Fall einer Bezahlung kontaktiert werden, sind im Tornetzwerk versteckt, also auch schwer auffindbar und nachvollziehbar. Somit ist das eine Art von Ransomware, die seit einiger Zeit leider sehr erfolgreich ihr Unwesen treibt.

Die Implementierung der Verschlüsselungsroutinen ist bei CryptoWall einfach besser gelöst, also genau das, wo andere vor allem in den ersten Versionen Fehler gemacht haben. Daher kommt auch der bereits angesprochene berüchtigte Ruf. Außerdem setzte CryptoWall schon sehr früh auf eine Bezahlung via Bitcoins, die dem unbedarften Nutzer sehr gut erklärt wird. Genau das sind aber die „Fehler“, an denen Angreifer mit anderer Schadsoftware noch verzweifeln.

Können Sie vielleicht aus den vielen hilfreichen Informationen eine Quintessenz für den Fall des Befalls ziehen?

Ja! Mein Top Tipp, egal ob für Privatanwender oder Kunden, ist, in keinem Fall einer Ransomware-Infektion zu bezahlen. Damit unterstützt man genau dieses Gewerbe und das Risiko, dass man leer ausgeht, ist gewaltig hoch. Denn in den seltensten Fällen wird überhaupt freigeschaltet. Es gibt im Prinzip drei Möglichkeiten:

(1) Am häufigsten ist, dass nichts passiert; es wird nicht freigeschaltet. Ich habe schon falsche Implementierungen gesehen, die es technisch gar nicht erst ermöglichten, die Entschlüsselungsfunktion anzustoßen.

(2) Es passiert auch, dass man nach der Bezahlung tatsächlich einen Freischaltcode bekommt, der nicht funktioniert.

(3) Oder aber es wird tatsächlich freigeschaltet – absolute Seltenheit! Tritt dieser Fall aber wirklich einmal ein, sollte man schleunigst handeln, damit die Schadsoftware komplett von der Platte heruntergeht, sonst könnte einem das Gleiche in einiger Zeit wieder blühen.

Zudem sollten sich Betroffene auf keinen Fall bei den Erpressern melden. Mir sind zum Beispiel Fälle bekannt, in denen die Opfer ihren Angreifern geschrieben haben, dass sie gerne bezahlen würden, aber das Geld nicht haben. Schlicht und einfach setzen die Angreifer dann die Opfer als Teil des Schneeballsystems ein und lassen sie die Schulden abarbeiten: Du bekommst die Software von uns und verbreitest sie weiter. Wenn du 500 Installationen über welche Mittel auch immer vorgenommen hast, bist du frei – das erinnert an mafiöse Strukturen, oder?

Das klingt wirklich sehr gefährlich. Haben Sie abschließend vielleicht noch einen Top Tipp parat, wie es gar nicht so weit kommt und ein Ransomware-Angriff verhindert werden kann?

Nutzer sollten immer daran denken, dass es viel einfacher ist, Ihren PC vor Schadprogrammen wie der Ransomware zu schützen, als die verschlüsselten Dateien wiederherzustellen. Deshalb mein Top Tipp zum Schutz: updaten, updaten, updaten... Eine aktuelle und sehr gute Antiviren-Lösung bietet noch höheren Schutz. Der Angriffsvektor Nummer eins ist nun mal der Drive-by-Download, d.h. beim Surfen im Netz, ohne dass ich als Anwender noch aktiv eine Datei herunterladen und ausführen muss, hat sich der Plagegeist bereits eingeschlichen. Auch die Autoupdate-Funktionen sollten immer eingeschaltet sein! Wenn ein Update angeboten wird, bitte immer sofort installieren, auch wenn die Lust einem gerade einen Strich durch die Rechnung macht.

Zudem sind aber auch Backups äußerst wichtig – mit dem Zusatz, dass man diese Backups natürlich nicht auf einer Ressource (USB oder Netzwerk) machen soll, die permanent verfügbar und mit dem System verbunden ist, sondern dass man diese Ressource nur zu diesem einen Zweck, in diesem einen Moment anschließt, in dem tatsächlich Backups gemacht werden.

Hierzu noch eine kleine Randnotiz: Viele Opfer fragen sich vielleicht, warum die Schattenkopien bei Windows sie eigentlich nicht schützen können. Das ist schnell erklärt: Dieser Dienst wird von Ransomware ausgeschaltet!

Lieber Herr Funk, herzlichen Dank für Ihre Zeit und dieses tolle Interview mit vielen Details aus ihrer täglichen Praxis!

Sehr gerne, mich freut es immer, wenn ich mit meinen Antworten für Aufklärung sorgen kann. Deshalb möchte ich gerne noch zwei ganz aktuelle Ransomware-Trends loswerden: Mittlerweile wird die Zeit oft als Druckmittel verwendet, um die Opfer dazu zu bringen, schnellstmöglich zu bezahlen, denn sonst steigt der Preis; er verdoppelt sich beispielsweise innerhalb von fünf Tagen. Ein weiterer Trend, der für uns als Antiviren-Unternehmen ein noch größeres Problem darstellt, ist die Masche, Verschlüsselungsroutinen von anderen Projekten (z.B. WinRAR, OpenSSL) zu missbrauchen. Das sind Verschlüsselungsroutinen, die bereits bestehen und seit vielen Jahren Open Source gepflegt werden. Aufgrund der hohen Codequalität werden sie heutzutage gerne bei Schadsoftware eingesetzt, was uns natürlich die Arbeit gehörig erschwert.

Über unseren Interview-Partner Christian Funk

Christian Funk arbeitet als Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. Der 1984 geborene Christian Funk kam im Jahr 2007 zu Kaspersky Lab und wurde ein Jahr später zum Virus Analyst für Central Europe ernannt. Seine Spezialgebiete sind die Webseiten sozialer Netzwerke, die Analyse von Internetbetrug sowie die Beobachtung des Schwarzmarkts im Bereich Online-Gaming. Zu seinen weiteren Aufgaben zählen die Durchführung von Mitarbeiterschulungen sowie die Erstellung von Statistiken im Bereich IT-Sicherheit. Christian Funk studierte an der Fachhochschule Ingolstadt Informatik mit der Fachrichtung Informationsmanagement.