2. Warum sind Erpresserviren so stark verbreitet?
Sehr gut gemachte PC-Viren konnten sich schon immer an einem installierten Antivirenprogramm vorbeischleichen. Das gelingt den Schädlingen, wenn ihr Code neu ist und der Antivirenhersteller ihn deshalb noch nicht kennt. Zudem aktivieren sich diese Schädlinge auf eine bis dahin unbekannte Weise. So überlisten sie die verhaltensbasierte Erkennung des Antivirenprogramms. Den Viren diese Tricks beizubringen, erfordert aber viel Zeit und Geld. Doch offensichtlich verdienen die Kriminellen mit den Erpresserviren reichlich und haben dadurch die nötigen Ressourcen zur Verfügung, um ihre Viren weiter zu optimieren, so dass sie von einem Schutzprogramm nicht erkannt werden.
Ein konkretes Beispiel dafür hat der Antivirenhersteller Trendmicro analysiert. Laut den Experten nutzt eine Variante der Erpressersoftware Locky nicht nur die bereits bekannten Sicherheitslücken in Adobe Flash aus, sondern auch eine im Windows-Kernel. Die Angriffsroutine sieht dadurch wie ein legitimer Windows-Systemprozess aus, denn sie schleicht sich in das Windows-Programm svchost.exe ein. Der Schädling erzeugt selbst keine Dateien, sondern startet ausschließlich im Arbeitspeicher. Das macht es selbst modernen Abwehrmechanismen wie der Sandbox-Technologie oder der Verhaltensanalyse schwer, den Angriff zu erkennen und zu verhindern.
Für technisch Interessierte: Konkret nutzt die von Trendmicro untersuchte Locky-Variante die Sicherheitslücke CVE-2016-1019 im Adobe Flash Player und die Lücke CVE-2015-1701 im Windows-Kernel. Letztere erlaubt es dem Schadcode, sich höhere Nutzerrechte im befallenen System einzuräumen. Der Code kompromittiert den Windows-Systemprozess svchost.exe, der für das Hosten von Services zuständig ist. Zudem prüft der Code die auf dem befallenen System eingesetzte Windows-Version. Erweist sie sich als nicht angreifbar für die Verschlüsselung, stellt er stattdessen eine Verbindung zum Kontrollserver der Kriminellen her. So kann der Code zu einem späteren Zeitpunkt Befehle erhalten, etwa zum Download von geändertem Schadcode, der dann eine erpresserische Verschlüsselung auf dem Rechner vornehmen kann.
Der Sicherheitsexperte Udo Schneider von Trendmicro nennt dieses Vorgehen ausgeklügelt. "Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, sodass auch der von der Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint."
Quick-Tipps gegen Erpresserviren Aktuelle Erpresserviren verschlüsseln Ihre Dateien und fordern für die Freigabe Lösegeld. Diese drei grundlegenden Tipps zu Ihrem Schutz sollten Sie kennen. 1. Die beste Versicherung gegen Erpresserviren ist ein stets aktuelles Daten-und System-Backup. Erstellen Sie am besten jetzt gleich eine aktuelle Sicherung. Lagern Sie diese vom Rechner getrennt. 2. Antivirenhersteller entwickeln laufend Entschlüsselungstools, mit denen sich die von verbreiteten Erpresserviren gefangen genommenen Daten wieder entschlüsseln lassen. Allerdings vergehen oft viele Wochen, bis ein solches Tool bereitsteht, und gegen einige Schädling gibt es keine Entschlüsselungstools. Sind bei Ihnen sehr wertvolle Daten verschlüsselt worden und ist aktuell auch kein Entschlüsselungstool zu finden, könnte eine Zahlung des Lösegelds sinnvoll sein. Es ist allerdings nicht gewährleistet, dass Sie für Ihr Geld auch einen funktionierenden Schlüssel erhalten. 3. Mit Spezialtools können Sie sich gezielt gegen Verschlüsselungsviren schützen. Nutzen Sie zusätzlich zur Ihrer Antivirensoftware das Tool Bitdefender Anti-Ransomware oder das Malwarebytes Anti-Ransomware. |