Ransomware – Was ist das?

Was ist Ransomware?

Es gibt zwei Arten von Ransomware: Crypto-Ransomware, die Ihre Dateien verschlüsselt (und unlesbar macht) und Ransomware, die den Startbildschirm sperrt. In beiden Fällen verlangen die Autoren der Schadsoftware ein „Lösegeld“ von ihren Opfern, damit letztere wieder Zugriff auf ihre Dateien und Geräte haben.

Verbreitung von Ransomware

Ransomware bzw. Erpressungssoftware wird meistens per E-Mail verbreitet. Dazu sendet der Cyberkriminelle eine E-Mail mit einem Anhang. Der nichtsahnende Nutzer öffnet dieses Dokument (oder eine JavaScript-Datei), deren Inhalt allerdings keinen Sinn ergibt und Kauderwelsch enthält. Der Nutzer erhält dann die Nachricht, dass Makros aktiviert werden müssen, um den Inhalt korrekt anzuzeigen. Allerdings wurde die Datei absichtlich unleserlich präpariert. Denn erst durch das Aktivieren von Makros wird die Ransomware über einen Drive-by-Download unbemerkt auf den Computer heruntergeladen.

Angriffsziel

Die heruntergeladene Crypto-Ransomware verschlüsselt alle vorhandenen Dateien wie Bilder, Videos, Office-Dateien usw. Sie chiffriert sogar Daten auf Wechsellaufwerken, die zu dem Zeitpunkt angeschlossen sind. Nachdem alle Dateien verschlüsselt wurden, bittet die Ransomware um einen Geldbetrag im Austausch für die Entschlüsselung aller Dateien. Das „Lösegeld“, das häufig in Bitcoins bezahlt wird, kann bis zu mehrere Tausend Euro betragen. Bei Ransomware, die den Startbildschirm sperrt, sodass der Nutzer nicht mehr auf sein Gerät zugreifen kann, wird ebenfalls ein Lösegeld für das Entsperren gefordert.

Bekannte Fälle

CryptoLocker, FBI Ransomware und Locky sind drei bekannte Beispiele für Erpressungssoftware, die bereits Millionen von Rechnern infiziert hat.

Schutz vor Ransomware

Wir empfehlen Ihnen, Ihre Daten regelmäßig zu sichern. Sollten Ihre Dateien dann von einer Ransomware verschlüsselt werden, können Sie Ihre Festplatte bedenkenlos formatieren. Sie haben Ihre Daten schließlich an einer externen Stelle gesichert. Um Ransomware rechtzeitig zu erkennen und zu blockieren, setzen Sie am besten Sicherheits-Software ein, wie z. B. Avira Free Antivirus.

Quelle: https://www.avira.com/de/security-term/t/ransomware/id/25

Obfuscaten – Wie?

Obfuskation (engl. obfuscate „vernebeln“, „unklar machen“, „verwirren“) ist ein Begriff aus der Softwaretechnik und beschreibt die absichtliche Veränderung von Programmcode, so dass der Quelltext für Menschen schwer verständlich oder schwer rückgewinnbar wird. Ziel ist es, den Aufwand für Reverse Engineering stark zu erhöhen, um Veränderung oder Diebstahl von Programmteilen zu erschweren.

Bei Interpreter- oder Skriptsprachen, wo der Quelltext zwangsläufig ausgeliefert wird, bedeutet das, die ausgelieferte Kopie des Quelltextes unkenntlich und (für Menschen) schwerer lesbar zu machen. Bei einem kompilierten Programm verwürfelt und verschleiert ein Obfuskator nicht den Quellcode, sondern entweder direkt das Kompilat oder eine Kopie des Quellcodes unmittelbar vor dem Kompilieren. Hier soll vor allem das (maschinelle) Dekompilieren verhindert werden bzw. das Dekompilat soll möglichst unverständlich werden

Obfuskation verändert den ausführbaren Code eines Programms, jedoch nur so, dass die Funktion des Programms erhalten bleibt. Zum Beispiel werden Variablen- und Funktionsnamen umbenannt, sofern sie aus dem Programm rückgewinnbar wären. Ebenfalls kann (bei einem kompilierten Programm) der Maschinen- oder Bytecode so verwürfelt werden, dass die Befehlsabschnitte, die einem Hochsprachenbefehlentsprechen, sich mit denen des vorherigen/nachfolgenden Hochsprachenbefehls mischen; oft werden auch zusätzliche nicht notwendige (Maschinen-)Befehle eingefügt. Das kann ein maschinelles Dekompilieren in die ursprüngliche Hochsprache deutlich erschweren oder sogar unmöglich machen.[2]

Ein Nebeneffekt kann, je nach Beschaffenheit des Codes, auch die Verkleinerung seines Speicherbedarfs sein (v. a. bei Skriptsprachenprogrammen), z. B. durch die Umbenennung langer Identifier in kürzere.[3] Das ist vor allem bei der Entwicklung von Website-Skripten vorteilhaft, da es das Übertragungsvolumen reduziert. Ebenfalls kann es vorteilhaft sein bei Anwendungsprogrammen für Endgeräte mit geringer Speicherkapazität oder Rechenleistung.

Antivirus – False Positive Problem

Antivirus Programme sind wichtige Tools, das die meisten Menschen brauchen, um ihr Windows-Betriebssystem vor Viren, Trojanern und anderen schlechten Sachen zu schützen.

Leider geht die meisten Antivirus-Unternehmen zu weit mit ihrem Virus / Trojaner-Schutz, und oft werden völlig legitime Software als Virus / Trojaner klassifiziert.
Ein gutes Beispiel dafür ist mein BackUp-Programm (mehr): Die meisten Leute, die diese Tools benötigen, benutzen es um deren Daten zu sichern. Diese BackUp-Tools können auch von Hackern für schlechte Zwecke verwendet werden. Deshalb wird es fälschlicherweise als Trojaner.Obfuscate klassifiziert, obwohl es nur Dateien sichert.
Die Haltung vieler Antivirus-Unternehmen ist in diesem Thema sehr hart –
Wenn es ein Werkzeug ist, das von bösen Leuten verwendet werden kann, ist es, als Trojaner oder Virus eingestuft, auch wenn die meisten Benutzer es brauchen und es für eine gute Zwecke zu nutzen. Antivirus-Unternehmen kümmern sich nicht, dass sie ihre eigenen Kunden sperren, die ihre eigenen Dateien sichern wollen.

In meinem Fall wird es als Trojan.Obfuscate  bezeichnet. Das liegt daran das mein Programm obfuscated ist. Das bedeutet das dritte das Programm nicht dekompilieren können. Das ist wichtig da sonst andere den Quellcode klauen könnten und es verkaufen als deren eigenes Werk. Aber da andere es nicht dekompilieren können, können Antivirusschutzprogramme es auch nicht einsehen und erkennen nur verschlüsselte Zeichen. Damit vertsehen sie meistens das man etwas verstecken möchte und da besonders kleine Entwickler kein Zertifikat für ihre Anwendung kaufen möchten, wird es als Obfuscated bezeichnet.

button-14