Infektion durch einen Kryptovirus

Dieser Artikel ist Teil einer Artikelserie zum Thema Ransomware. Alle Artikel der Serie finden Sie auf unserer Ransomware-Themenseite.

Seit Ende 2015 verbreiten sich Krypto-Locker mit gro√üer Geschwindigkeit. Sie infizieren Rechner und alle mit ihnen verbundenen Datenspeicher, auch die in der Cloud. Dabei werden pers√∂nliche Dokumente, Bilder und auch Filme verschl√ľsselt. Im aramido-Labor haben wir das gemacht, was man nie tun sollte: wir haben eine E-Mail mit einem Verschl√ľsselungstrojaner ge√∂ffnet und uns dabei mit Locky infiziert. Wir zeigen Ihnen, wie eine Infektion abl√§uft und welche M√∂glichkeiten es gibt an die verschl√ľsselten Daten wieder heranzukommen.

Verdächtige E-Mail mit Anhang

In unserem Labor haben wir einen Rechner mit Windows 8 und dem E-Mail-Programm Microsoft Outlook vorbereitet, wie er bei Firmen oder auch zu Hause im Einsatz ist. Zusätzlich haben wir die Windows-eigene Firewall und einen Virenscanner installiert. Outlook hat die E-Mail mit dem Kryptovirus nicht als Spam eingestuft; jedoch erkennt das geschulte Auge schnell, dass etwas nicht stimmen kann:

  • die Anrede ist mit ‚ÄěHallo ,‚Äú etwas kurz ausgefallen und es fehlt offensichtlich der Name,
  • zwei Rechtschreibfehler in einem Einzeiler sind seltsam,
  • zwei Rechnungen in einem Word-Makro-Dokument (.docm) sind ungew√∂hnlich und
  • besprochen, wie in der E-Mail behauptet, haben wir mit Avdyl Hima nie etwas.
Spam E-Mail mit Locky-Cryptovirus
Spam E-Mail mit infizierten Rechnungen im Anhang

Nach dem √Ėffnen des Dokuments m√ľssen wir Makros aktivieren und es dauert einen Moment, wonach wir eine Warnung von unserem Virenscanner erhalten. Dieser hat prompt den Trojaner erkannt und verhindert die weitere Ausf√ľhrung. Da es jedoch sein kann, dass der Virenscanner einen neuen Trojaner noch nicht kennt, deaktivieren wir den Virenscanner. Danach geht alles ganz schnell: nach dem erneuten √Ėffnen der Rechnung und dem Aktivieren der Makros werden alle Dateien auf dem Rechner verschl√ľsselt und wir erhalten den Erpresserbrief. Wir haben uns mit dem Krypto-Trojaner Locky infiziert.

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschl√ľsselt.

Spam E-Mail mit Locky-Cryptovirus
Erpresserbrief, nachdem der Kryptotrojaner seine Arbeit vollbracht hat

Selbst√§ndig √∂ffnet sich die Windows Fotoanzeige und der Browser mit der Meldung, dass alle Dateien mit RSA-2048 und AES-128 Ziffern verschl√ľsselt wurden. Auch wurde das Desktop-Hintergrundbild mit der gleichen Nachricht ausgetauscht. Ein Blick in die eigenen Dateien verr√§t, dass die Erpresser ihre Drohung wahr gemacht haben. Jede Datei hat nun einen kryptischen Dateinamen und die Endung .locky.

Spam E-Mail mit Locky-Cryptovirus
Keine dieser Dateien kann mehr ge√∂ffnet werden; der Inhalt ist nur noch verschl√ľsselter Kauderwelsch.

Lösegeld mit Bitcoins bezahlen

Damit die Erpresser anonym und unsichtbar bleiben, verwenden sie das Tor-Netzwerk. Die Webseite, die wir aufrufen sollen, um Informationen zur L√∂segeldzahlung zu erhalten, kann deshalb nicht aufgesp√ľrt werden. Auf dieser Webseite wird uns angeboten den Locky Decryptor zu kaufen, mit dem wir anschlie√üend angeblich unsere Dateien wieder entschl√ľsseln k√∂nnen. Es wird au√üerdem erkl√§rt, wie wir die L√∂segeldforderung in H√∂he von 4,1 BTC (Bitcoins) ‚Äď umgerechnet knapp 2000 ‚ā¨ - zahlen k√∂nnen.

Spam E-Mail mit Locky-Cryptovirus
Auf dieser Seite erh√§lt man weitere Details zur L√∂segeldforderung und m√∂glicherweise den kryptografischen Schl√ľssel, um die Dateien wieder herzustellen.

An dieser Stelle gehen wir nicht weiter: auf die L√∂segeldforderung einzugehen ist f√ľr uns keine Option, da wir f√ľr den Notfall mit Backups und anderen Ma√ünahmen vorbereitet sind. Wir werden jedoch in einem weiteren Beitrag berichten, wie die Daten durch eine Entschl√ľsselungssoftware oder durch andere Ma√ünahmen wieder hergestellt werden k√∂nnen.

Fazit

Eine Infektion durch Ransomware hat schwere Folgen: Pers√∂nliche Dateien werden schnell verschl√ľsselt und es gibt keine M√∂glichkeit an die Daten wieder heranzukommen, es sei denn man hat sich ausreichend auf solch einen Notfall vorbereitet oder man ist bereit das L√∂segeld zu zahlen. Wer verd√§chtige E-Mails identifiziert und seine Software mitsamt Virenscanner aktuell h√§lt hat ein geringes Risiko sich mit einem Kryptotrojaner zu infizieren. Wird der Computer dennoch befallen, m√ľssen die richtigen Handlungen in dieser Notfallsituation in die Wege geleitet werden.

Die Sicherheitsexperten von aramido helfen Ihnen im Notfall schnell und unkompliziert.

Technische Hintergrundinformationen

Die Infektion fand durch das Ausf√ľhren von Makros aus dem Word-Dokument statt. In dem Dokument selbst findet man eine gro√üe Menge an stark verschachteltem, teilweise √ľberfl√ľssigem Makro-Code, um das eigentliche Vorgehen zu verschleiern.

Sub autoopen() 'Dieser Sub wird beim √Ėffnen des Dokuments ausgef√ľhrt
If deletemonsters(0) > 0 Then 'In seltenen Fall (deletemonsters == 0) wird das Opfer nicht infiziert
  makeplatform 0, 0, 0, 0 'F√ľhrt erneut mehrere Subs verschachtelt und sequentiell aus
End If
End Sub

Function deletemonsters(a As Integer) As Double
    Dim b As Integer
    If a > 0 Then 'Diese Bedingung ist hier immer FALSCH
        For b = 0 To 16
            plan.ets(a).mon_template(b) = m
            plan.ets(a).mon_noamin(b) = 0
            plan.ets(a).Mon_noamax(b) = 0
        Next
    End If
Randomize
deletemonsters = Rnd 'Es wird eine Zahl kleiner 1 und gr√∂√üer gleich 0 zur√ľck gegeben
End Function

Weiterer Makrocode l√§dt aus den Eigenschaften eines Bilds, das in einem Formular des Dokuments integriert ist, verschleierte Anweisungen, durch die weitere Schadsoftware geladen und ausgef√ľhrt wird. Die URL hierzu wird durch komplizierte Anweisungen aus ASCII-Zeichen zusammengebaut, sodass eine Textsuche nach Domains oder Zeichenketten wie "http" erfolglos bleiben.

In unserem Fall wurde der Schadcode von einem infizierten Server einer polnischen Schule nachgeladen und ausgef√ľhrt. Dieses Verhalten ist h√§ufig zu beobachten und es gibt zahlreiche Hosts im Internet, die durch Sicherheitsl√ľcken oder schwache Absicherungen gekapert wurden. Sichern Sie Ihre Dienste ausreichend gegen Angriffe und lassen Sie diese durch einen Penetrationstest √ľberpr√ľfen.

Eine Übersicht aller bereits veröffentlichter Artikel finden Sie auf unserer Themenseite Ransomware. Bisher sind außer diesem Artikel die folgenden Artikel erschienen: