Go to Top

Sie fürchten sich vor Ransomware? Warten Sie erstmal bis Ranscam Ihr Gerät attackiert!

Vor ein paar Wochen haben wir die Auswirkungen von zunehmenden Ransomware-Angriffen auf Unternehmen in den letzten zwei Jahren diskutiert. Bei einem Ransomware-Angriff wird der Computer, der Server oder das gesamte Netzwerk mit einem Code infiziert, der versucht, sich mit einem Remote-Server zu verbinden und dann alle Daten zu verschlüsseln. Nachdem die Ransomware diese Aufgabe “erfolgreich” beendet hat, wird eine Nachricht angezeigt, die verlangt, das Lösegeld in Bitcoin an die Angreifer zu überweisen.

In vielen Fällen, in denen Einzelpersonen und Firmen von einer Ransomware angegriffen wurden und die geforderte Menge an Lösegeld bezahlten, bekamen sie die Entschlüsselungsschlüssel trotzdem nicht. Die Gründe dafür können vielfältig sein: In manchen Fällen war die Ransomware nicht korrekt kodiert, so dass die Dateien überhaupt nicht entschlüsselt werden konnten. In manchen Fällen waren die Hacker so “erfolgreich”, dass die Anzahl der Opfer so groß war, dass sie den Überblick über die verschiedenen Schlüssel für die Entschlüsselung einfach verloren hatten. Oder der Druck der Strafverfolgungsbehörden war so hoch, dass die Angreifer ihre Räumlichkeiten in aller Eile verlassen mussten und versuchten, ihre Bitcoins so schnell wie möglich aus den vielen (Opfer)-Wallets in eine einzige Bitcoin-Wallet zu bündeln und sich danach zu verstecken. Es gibt also zahlreiche Gründe dafür, warum Hacker – selbst wenn sie es wollen – ihr Versprechen, die Daten zu entschlüsseln, nicht erfüllen. Deshalb warnen Strafverfolgungsbehörden weltweit davor, das Lösegeld zu bezahlen, wenn man angegriffen wurde.

Aber es gibt noch eine andere Art von Virenangriff, die für alle Computerbenutzer eine ernste Gefahr darstellt: Ranscam. Er erschien erstmals im Jahr 2016, einige Fälle wurden im Jahr 2017 gemeldet. Ranscam ist ein Computervirus, der behauptet, Dateien zu verschlüsseln.Er zeigt eine Landingpage und fordert die Zahlung von Bitcoin. Zusätzlicher Druck wird dadurch erzeugt, dass behauptet wird, dass bei jedem Klick auf der Systemtastatur eine Datei gelöscht würde.

Die Realität ist noch schlimmer! Ranscam ist eine Art falsche Ransomware. Es behauptet, es verschlüsselt Daten, aber in Wirklichkeit löscht es sie! Wenn dem Opfer die Meldung angezeigt wird, wurden die Dateien bereits gelöscht. Die Anzeige ist nicht wirklich eine Webseite, sondern ein einfaches PNG-Bild. Daher gibt es auch keine versteckte dauerhafte Netzwerkverbindung zu den Hackern. Der Code in einer ausführbaren .NET-Datei erstellt lediglich eine HTTP-GET-Anforderung, um zwei PNGs zu empfangen und anzuzeigen. Die Erpressungssumme als Bitcoin für die Hacker zu bezahlen, ist daher völlig nutzlos. Eine ausführliche Beschreibung zum ursprünglichen Ranscam-Virus finden Sie hier: http://blog.talosintelligence.com/2016/07/ranscam.html

Ein Autor hat bereits 2016 festgestellt, dass diese “dumme Ransomware” auch die gefährlichste ist. Und er hat absolut Recht! Das liegt daran, dass, wenn der Löschvorgang im Ranscam-Code technisch korrekt durchgeführt wird, es fast keine Möglichkeit gibt für den Benutzer oder sogar Datenwiederherstellungsexperten, die Daten auf einem betroffenen Speicher wiederherzustellen! Zum Glück für die Mehrheit der Computerbenutzer wurde die Ranscam-Variante, die bisher entdeckt wurde, ziemlich amateurhaft gestaltet. Aber das bedeutet noch lange nicht, dass das auch so bleibt. Im Gegenteil. Diese Art von Attacken könnte als eine sich weit verbreitende Welle an Computer-Sabotage auftreten, durch die Sie zufällig ein unschuldiges Opfer werden könnten.

Daher sind die zwei besten Dinge die Sie tun können (wie auch bei gewöhnlicher Ransomware oder bei Viren):

  • Öffnen Sie keine E-Mails und / oder Anhänge von unbekannten Absendern. Löschen Sie sie einfach! Wenn Sie wichtig wären, meldet man sich sowieso noch einmal.
  • Besuchen Sie keine verdächtigen Websites. Es gibt viele Websites im Internet, die Ihnen illegal erworbene Software für verschiedene Zwecke, Filme, TV-Serien oder Cracks, um Softwareschutz zu umgehen, anbieten. Gerade diese Seiten stellen eine Bedrohung für den Internet-Surfer dar. Einige dieser Seiten sind komplett von Computerviren verseucht, so dass es ein absolutes NO-GO ist, sie mit einem Firmen- oder Privatcomputer zu besuchen.

Auch wenn in vielen Artikeln darauf hingewiesen wurde, dass die Daten bei einem Ranscam-Angriff unwiederbringlich verloren gehen, sollten Sie Ihr betroffenes Speichermedium – Festplatten oder andere Medien – von einem professionellen Datenrettungsdienstleister wie Ontrack Datenrettung überprüfen lassen. In den meisten Fällen ist es möglich, dass die Daten nicht vollständig verloren gehen, sondern von den Experten noch wiederhergestellt werden können. Entweder, weil die Daten noch in den tiefen Datenstrukturen der Festplatte verfügbar sind, weil die von der Ranscam verwendete Löschmethode nicht 100% effektiv war oder weil Kopien der Daten in anderen Teilen des Speichers verfügbar sind. Es hängt hier sehr stark von dem spezifischen Fall ab.

Die Experten von Ontrack geben Ihnen eine realistische Einschätzung, ob Daten in Ihrem Fall wiederhergestellt werden können, wie schwierig es wird und wie lange es dauern wird. Deshalb sollte Ihr erster Schritt sein, Ihr betroffenes System ordnungsgemäß herunterzufahren und sofort das nächste Ontrack Data Recovery Labor zu kontaktieren.

Weitere Informationen über Datenrettung von durch Ranscam gelöschten Daten finden Sie auch hier: https://www.krollontrack.de/datenrettung/geloeschte-dateien-wiederherstellen/

Bildnachweis: Alexandra H. / pixelio.de

https://www.pixelio.de/media/531675