Ransomware Schutz: Das ultimative How to

Wie schütze ich mich oder mein Unternehmen vor einem Ransomware Angriff? Eine Antwort auf diese Frage zu finden wird immer dringlicher. Zeit für uns, euch zu zeigen wie man sich aktiv vor einer Ransomware Attacke schützt und wie man die Schäden durch Ransomware minimieren kann.

Schutz vor Ransomware – Backups sind das A und O

Bevor man sich daran macht, aktive Ransomware Schutzmaßnahmen zu ergreifen, muss man für sichere Backups aller relevanten Daten sorgen.

Mit sicher ist an dieser Stelle gemeint, dass nicht nur:

  • a) regelmäßig Backups wichtiger Daten angefertigt werden sondern vor allem
  • b) die Backup Medien nur kurzfristig an den Computer oder das Netzwerk angeschlossen werden und / oder
  • c) diese auf nicht wiederbeschreibbaren Medien (WORM – Write once read many) anzufertigen sind sowie
  • d) mehrere Kopien der Backups auf unterschiedlichen Speichermedien (Dateisystemen) und an verschiedenen Orten gelagert werden (Mindestens nach der 3:2:1 Regel)

a) + b) + c) + d) sollten dabei immer von Unternehmen, staatlichen oder nichtstaatlichen Organisationen sowie anderen hochrangigen Zielen angewandt werden. Nur so kann ein effektiver Schutz gegen gezielte und persistente bzw. verzögerte Ransomware-Angriffe (APRA – Advanced Persistent Ransomware Attack) und andere Cyberbedrohungen erreicht werden.

a) + b) in Kombination mit zwei Backups an unterschiedlichen Orten gelagert sind i.d.R. ausreichend für Privatpersonen und kleine Betriebe / Selbstständige ohne besonderes Sicherheitsinteresse. Eine dritte Kopie auf einer anderen Art Speichermedium (mit Hardware WORM) ist dennoch zu empfehlen.

Auch bei kleineren Firmen, Freien Mitarbeitern oder Selbsständigen ist darauf zu achten, dass zwingend alle im Rahmen der gesetzlichen Aufbewahrungsfristen und Compliance notwendigen relevanten Geschäftsdaten auf WORM Medien zu speichern sind oder zumindest unmanipulierbare Zeitstempel tragen müssen.

Backups auf WORM Medien

Durch die Speicherung auf WORM Medien, können Backups selbst im Falle eines erfolgreichen Ransomware Angriffs, nicht verschlüsselt werden. Selbst dann nicht, wenn das Laufwerk mit den Backups im Live-System oder dem Netzwerk eingehängt ist.

Dies gilt selbstverständlich nur, solange es keine Sicherheitslücke oder Schwachstelle innerhalb der WORM Implementierung gibt.

Abhilfe gegen Sicherheitslücken und raffinierteste Hacker schafft hier nur ein Backup auf echten HardwareWORM bzw. TrueWORM Medien.

Generell lässt sich sagen: Ein funktionierendes Backup-System auf WORM Basis lässt keine nachträglichen Veränderungen an den bereits gespeicherten Daten mehr zu. Lediglich das hinzufügen neuer Daten auf diese Medien wird gestattet, bis der verfügbare Speicherplatz aufgebraucht ist.

Mit geeigneten WORM Medien (z.B. RDX) kann auch eine sichere Archivierung bzw. Langzeitarchivierung realisiert werden, wobei trotzdem ein Direktzugriff auf die Daten, aus dem laufenden Betrieb heraus möglich ist.

Fakt ist: Wird eine sichere Backup Strategie aktiv verfolgt, kann der Schaden durch Ransomware Attacken minimiert werden.

Private Backups vor Verschlüsselung schützen

Im Fall privater Backups wird dazu geraten, Backups auf externen Datenträgern anzulegen. Diese sollen nach Möglichkeit nur an den Arbeits- oder Spielerechner angeschlossen werden, wenn Backups angelegt werden oder aber Dateien vom Backup Medium benötigt werden bzw. in das Live-System eingespielt werden sollen.

Durch die physikalische Entkopplung vom Live-System, geht man im Falle einer Ransomware Attacke ein deutlich geringeres Risiko ein, dass auch das Backup Medium verschlüsselt wird. Es müsste sich zum Zeitpunkt der Verschlüsselung am PC befinden und als Laufwerk eingehängt sein.

Wichtige Daten sollte man auf den Backup Medien speichern und nicht benötigte Dateien auf dem Alltagsrechner gar nicht erst weiter vorhalten. Damit sinkt auch die Chance, sich erpressbar zu machen. Beispielsweise durch peinliche Foto- oder Videoaufnahmen, Briefe an die Geliebte oder ähnliches.

Backups auf die externen Speichermedien, werden am Besten nach dem physikalischem trennen der Internetverbindung angelegt.

Dabei ist immer darauf zu achten, mindestens zwei Speichermedien mit den Backup Dateien vorzuhalten.

Im Besten Falle speichert der Privatanwender auf 3 unterschiedliche Backupmedien wie z.B. externe Festplatten, optische Medien wie bspw. BluRay Discs (als WORM Medium) oder Bandlaufwerke, wobei wenigstens eine Datenkopie außer Haus aufbewahrt werden sollte. Beispielsweise für den Fall eines Brandes oder einer Naturkatastrophe.

Backups im Unternehmensumfeld vor Verschlüsselung durch Ransomware schützen

Bei Unternehmen ist der Einsatz von WORM Medien deutlich verbreiteter und auch in Bezug auf den Ransomware Schutz angebracht.

In unserer Artikelserie über Backups für Unternehmen haben wir ausführlich über Backupstrategien für Unternehmen berichtet und geben viele sinnvolle Ratschläge wie man einen effektiven Ransom Schutz durch korrekte Datenkopien und sachgerechte Lagerung aufrecht erhält.

Ransomware Prävention für Privatpersonen:

Um sich selbst oder Ihr Unternehmen vor Ransomware zu schützen, ist einer der wichtigsten Schritte, Grundregeln im Umgang mit Dateien aus dem Internet zu befolgen.

  • Sicherheitsupdates sollten generell auf dem aktuellsten Stand gehalten werden. Vorsicht ist jedoch bei automatischer Aktualisierung (Auto-Updates) geboten. Diese können ebenfalls Einfallstor für Schadsoftware sein. Zum Beispiel wenn die Update Server gehackt wurden (Solar Winds Hack siehe F.A.Z. & Spektrum / Asus Hack siehe Sueddeutsche.de / Gigaset Hack siehe Computerbase)
  • Der Einsatz eines Antivirenprogramms gehört zum Pflichtprogramm. Im Unternehmensverbund sollten am Besten mehrere auf unterschiedlichen Ebenen eingesetzt oder gleich ein Multi-Scanner Ansatz auf Netzwerkebene (Netzwerkspeichern) verfolgt werden. So können schädliche Dateien bereits erkannt werden, bevor Sie über das Firmennetzwerk an den anfragenden Client geschickt werden.
  • Niemals Datenträger unbekannter Herkunft in den PC einführen oder daran anschließen. Insbesondere USB Sticks oder Wechseldatenträger, prinzipiell aber jedes manipulierte Hardwaregerät könnte Angreifern Tür und Tor in den PC und die Netzwerke liefern.
  • Beim herunterladen von Dateien muss immer darauf geachtet werden, diese aus vertrauenswürdigen Quellen zu beziehen. Ein Abgleich mit der Prüfsumme wäre zu sinnvoll. (SHA 512 Hash Vergleich). Der bessere Ansatz: Die Rechte der einzelnen PC Anwender so einzuschränken, dass diese keine Software installieren dürfen.
  • Zur Prävention gehört ebenfalls das bereits angesprochene Backup, für den Fall der Fälle. Es ist das A und O um Schäden durch eine bereits erfolgreichen Angriff abwehren bzw. mindern zu können.

Weitere Infos:

Ransomware Prävention für Unternehmen

Work in Progress – Weitere Infos:

https://www.nomoreransom.org/en/prevention-advice-for-businesses.html

Sind Ransomware Schulungen sinnvoll?

Der korrekte und sicherheitsbewusste Umgang mit Dateien aus fremder oder unsicherer Herkunft, ist sehr wichtig. Nicht nur im privaten Bereich sondern auch auf Unternehmensebene, ergibt sich daraus eine wichtige Schutzschicht gegen Ransomware. Dabei ist jedoch anzumerken, dass es sich nur um eine von vielen wichtigen Schutzschichten handelt.

Geschulte Personen bzw. Mitarbeiter verringern die Chance, einer erfolgreichen Ransomware Attacke über einen der einfachsten Wege in das Unternehmensnetz.

Eine Schulung ist jedoch keinesfalls ein Garant. Eine von Cloudian veröffentlichte Studie mit dem Titel „Ransomware Victims Report“ (hier der ganze Report) besagt, dass 65% der Mitarbeiter, die durch Phishing Opfer eines Ransomware Angriffs wurden, bereits eine entsprechende Schulung durchlaufen hatten.

„Die Umfrage wurde unter 200 US-Amerikanischen IT-Entscheidern durchgeführt, deren Unternehmen in den letzten 2 Jahren einen Ransomware-Angriff erlebt haben.“

Quelle: it-daily.de

Auch wenn eine Schulung kein Allheilmittel ist, so vermittelt eine solche doch wichtige Grundlagen eines verantwortungsbewussten Umgangs mit Dateien und Datenträgern unbekannter Herkunft. Der gefundene USB Stick mit, der falsche Dateianhang in einer E-Mail, persönlich aufgesetzte Phishingschreiben mit manipulierten PDF Dateien. Ohne Kenntnis über diese Angriffswege von Ramsomware Piraten, ist eine Infektion deutlich leichter.

Ransomware Infektionswege

Ransomware wird über viele verschiedene Infektionswege verbreitet. Dabei muss unterschieden werden, zwischen gezielten Angriffen auf bestimmte Unternehmen und großflächige Angriffe auf viele Ziele.

In erstem Falle kommen oft gezielt ausgenutzte Schwachstellen im Firmennetz (Netzwerk-Exploits) sowie gezielte Hackerangriffe vor. Auch durch Social Engineering aufgewerte Phishing E-Mails kommen hier häufig zum Einsatz. Ebenso findet das Bestechen oder Anheuern von Mitarbeitern der Unternehmen selbst statt, welche Ransomware dann mittels USB-Stick oder ähnlichem ins Unternehmensnetzwerk einschleusen.

Großflächige Angriffe hingegen werden am ehesten mit massenhaftem E-Mail Spam, Driveby-Downloads auf Webseiten (Schwachstellen in Browsern, Plugins und Betriebssystemen) sowie Crypto-Würmern gefahren.

Mögliche Einfallstore (Infektionswege) von Ransomware sind:

  • 0-day Exploits
  • Drive-By Downloads
  • sich selbst reproduzierende Würmer
  • Fernzugriff (Remote Access)
  • gezielte Hackerangriffe
  • (Auto-) Updates über gehackte Updateserver legitimer Unternehmen/Software
  • als E-Mail Anhang (teilweise im Rahmen von Social Engineering oder Phishing)
  • als Link zu einer bösartigen Wenseite / Datei innerhalb einer E-Mail
  • vom Nutzer induzierte Downloads
  • Office Macros / Makros (Excel, Word etc.)
  • Webbrowser Schwachstellen
  • Webbrowser-Plugin Schwachstellen
  • infizierte Datenträger (USB-Sticks, andere Wechselmedien)

Verbreitung über 0 Day Exploits

Unter 0-Days oder 0-Dayz versteht man bisher unbekannte oder zumindest weitgehend unbekannte Schwachstellen, z.B. in eingesetzten Betriebsssystemen, Softwareprodukten, Treiberprotokollen oder z.T. auch in Hardware selbst.

Diese Sicherheitslücken werden von Geheimdiensten, Sicherheitsforschern, Hackern wie Black Hats oder White Hats gleichermaßen oder auch durch Zufall gefunden.

Seriöse Finder melden diese Schwachstellen beim entsprechenden Hersteller und kassieren im Rahmen deren Bug Bounty Programme oft eine Belohnung. Die Hersteller schließen dann im besten Falle die Sicherheitslücke und nach dem Ausliefern des Patchs wird die Schwachstelle durch den Finder oder den Hersteller veröffentlicht. Reagiert ein Hersteller gar nicht, veröffentlichen viele der Finder die Sicherheitslücke nach Ablauf eines Zeitraumes nach eigenem Ermessen.

IT-Spezialisten mit bösartigen Absichten oder bösartigen Auftraggebern hingegen behalten die Schwachstellen für sich und nutzen Sie für eigene Zwecke. Entweder um Systeme damit zu infizieren oder aber mit dem Wissen um die Schwachstelle Handel zu treiben.

Für kritische Sicherheitslücken die Millionen Endgeräte verwundbar machen werden im Untergrund und auf Länder-/staatlicher Geheimdienstebene Millionenbeträge gezahlt.

Der Exploit-Broker Zerodium.org zahlt beispielsweise für bis zu 2,5 Millionen Dollar für einen Full Chain Zero Click Exploit auf Android Systeme. Bis zu 2 Millionen für den gleichen Effekt auf Apple Geräten mit iOS.

Unter FCP (Full Chain with Persistence) versteht man einen Vollzugriff auf das Nutzersystem mit Bestand, also nach Reboot weiterhin aktiver Malware. Zero Click bedeutet ohne Nutzer-Interaktion, also ohne dass der Nutzer zustimmen muss.

Für Windows Rechner sind solche 0-Days Zerodium immerhin noch 1.000.000 US $ wert. Man munkelt dies sei der Fall aufgrund der hohen Anfälligkeit von Windows der Fall.

Verbreitung über E-Mails

Eingesetzt werden unter anderem auch die Techniken des Phishings (Nachbau einer offiziellen Webseite) und des Pharmings (vortäuschen einer bekannten bzw. validen Domain / Url). Mittels E-Mails werden die Opfer auf vermeintlich echte Webseiten gelockt und deren Rechner dort infiziert.

Bei gezielten Attacken auf Firmen wird durch Social Engineering die Ausbeute der Angreifer und die Erfolgsrate bei versuchten Infektionen erhöht.

Personalisierte oder auf den Betriebsablauf, Kunden, Lieferanten, etc. abgestimmte Inhalte in E-Mails, verleiten die unbedarften Mitarbeiter zum Klicken auf einen Link oder den Datei-Anhang einer E-Mail.

Oft wird hier auch mit Office Makros gearbeitet, da viele Mitarbeiter eine .doc oder .xls Datei als ungefährlich und alltäglich einstufen.

Auf Endbenutzer abzielende Attacken hingegen finden oft durch gefälschte E-Mails von großen und möglichst vielen Menschen genutzten Webseiten oder Dienstleistern statt. Zum Beispiel gefälschte DHL -Emails, Mails von Amazon oder Paypal um nur einige Beispiele zu nennen.

Verbreitung durch Drive-By-Downloads

Drive-By-Downloads kommen sowohl bei gezielten als auch bei großflächigen Malware-Offensiven zum Einsatz.

Oft werden Nutzer durch Links zu bösartigen Webseiten geleitet. Dies geschieht beispielsweise durch Links in Emails, auf Social Media Seiten, innerhalb der Kommentarsektion nicht infizierter Webseiten, Webforen und ähnliches.

Auch vertrauenswürdige Seiten verbreiten zum Teil Schadsoftware über ihre Domains. Dies geschieht meistens, wenn die Server oder einzelne Webverzeichnisse gehackt werden. Prominente Fälle waren z.B. die Seiten der NYT (New York Times) oder BBC (British Broadcasting Corporation)

Bei Driveby-Downloads werden meist nur kleine Schadsoftware Sequenzen heruntergeladen, welche das System infizieren und dann weitreichenderen Code nachladen.

Verbreitung über Fernzugriff (Remote Desktop Verbdingungen, RDP)

Über den Remote Desktop Access können Angreifer ein entferntes System fernsteuern. Derartige Verbindungen sind meist durch ein einfaches Passwort geschützt und erlauben dem Angreifer bei erfolgreicher Authentifizierung weitreichende Rechte auf dem betroffenen System. Meist werden solche Zugänge durch Brute Force (ständiges Wiederholen von bekannten Passwörtern und Passwortkombinationen) geknackt. Einmal im System, richten sich die Hacker mit bereits bekannter oder eigens angefertigter Malware ein und arbeiten sich nach Möglichkeit durch das Unternehmensnetzwerk voran. Ziel ist es meist, möglichst viele Systeme im Netzwerk zu befallen.

Verbreitung durch gezielte Hackerangriffe auf Unternehmen oder staatliche Institutionen

Manche Ransomware Gruppen suchen sich Ihre Opfer genau aus. Welches Unternehmen hat besonders sensible Informationen oder kann sich einen Stillstand auf keinen Fall leisten?

Findet die Ransomware Gruppe ein besonders lukratives Ziel wird mit allen erdenklichen Mitteln versucht Zugang zu den geschützten Systemen zu erlangen.

Hierbei finden Attacken auf den vielfältigsten Angriffsvektoren inkl. der hier bereits aufgezählten Varianten statt, um teils über mehrere Etappen Zugriff auf das gesamte Unternehmensnetzwerk zu erhalten.

Solche Angriffe sind aufwendig koordiniert und werden meist von gemeinschaftlich tätigen Ransomware Gruppen getätigt, die aus Einzelpersonen mit besonders weitreichenden Kenntnissen der IT-Sicherheit ausgestattet sind. Teilweise sind hier auch staatliche Akteure und Geheimdienste involviert.

Verbreitung über Wechseldatenträger, USB-Sticks & Co

Wechseldatenträger können über die Autorun-Funktion von Betriebssystemen wie Windows oder auch Android, Iphone & Co. Endgeräte durch bloßes Einstecken bzw. anschließen des Datenträgers infiziert werden.

Da versierte IT-Admins diese Funktion immer ausschalten bzw. die Hersteller der Betriebssysteme hier selbst nachgebessert haben, finden zunehmend Angriffe über HID-Emulation statt.

HID steht für Human Interface Device, gemeint sind damit Eingabegeräte. Bei einem solchen Infektionsweg gaukelt der USB Stick (z.B. Rubberducky oder Digispark bzw. ein anderes beliebiges manipuliertes USB Gerät, teilweise auch nur ein USB Kabel / Verlängerungskabel selbst) dem Betriebssystem eine Tastatur oder anderes Eingabegerät vor. Bei manipulierten Geräten bekannter Hersteller kann kann dabei sogar die originale Funktion erhalten bleiben.

Über Scripte im Mikrocontroller des bösartigen USB Gerätes werden dann beispielsweise Tastatureingaben emuliert, die mit den Rechten des System-Anwenders laufen und somit weitreichende Befugnisse auf dem Endgerät haben. Hier wird durch bloßes einstecken Tür und Tor geöffnet.

Verbreitung über Botnetzwerke

Verbreitung über Sicherheitslücken in Server Software

Verbreitung über gehackte Updateserver

Ransomware – Einfallstore stopfen

Ransomware – Verschlüsselung verhindern

Allgemeine Informationen über Ransomware

Was ist Ramsomware?

Unter dem Begriff Ransomware versteht man Schadsoftware (Malware), welche einen Computer oder ein Netzwerk von Computern aus unterschiedlichen Angriffsvektoren heraus befallen und dann Teile oder auch das ganze System verschlüsseln kann. Zu echter Ransomware wird es, durch die Forderung eines Lösegelds (Ransom). Zahlt das Opfer die verlangte Summe, so erhält es in den meisten Fällen einen Schlüssel, um die cryptografische Verschlüsselung wieder entschlüsseln zu können. Somit hat das Opfer wieder Zugriff auf vermeintlich wichtige Dateien und der Angreifende erhält ein Lösegeld. Die Lösegelder werden heutzutage meist in Form von Cryptowährungen (Cryptocurrencies) gefordert und bezahlt.

Strafrechtliche Einordnung von Ramsomware

Die Verbreitung von Ransomware, die Forderung nach Lösegeld oder die Teilhabe an einer kriminellen Vereinigung zur gemeinschaftlichen Computersabotage oder Bereicherung durch Lösegeldforderungen kann unter folgende Straftatbestände fallen:

  1. Tatbestand der Computersabotage (§ 303b Abs. 1 Nr. 1 StGB)
  2. Erpressung (§ 253 Abs. 1 StGB)
  3. Gründung und Mitgliedschaft in einer kriminellen Vereinigung

Entschieden hat hierzu in Teilbereichen bereits der Bundesgerichtshof mit seinem Urteil in 1 StR 78/21.

„Weiterhin stellt der BGH klar, dass beide verwirklichten Tatbestände, Erpressung (§ 253 Abs. 1 StGB) und Computersabotage (§ 303b Abs. 1 Nr. 1 StGB) zueinander in Tateinheit stehen.“

Quelle: Ferner-Alsdorf.de

Ferner zu berücksichtigen wären möglicherweise weitere versuchte oder vollendete Straftaten bzw. Versuche. In Betracht kämen hier u.a. fahrlässige Tötung oder Mord, falls durch einen solchen Angriff lebensbedrohliche oder lebensbeendende Szenarien, beispielsweise innerhalb eines Krankenhauses oder Industriebetriebes entstehen.

Welche Arten von Ransomware gibt es?

CryptoLocker bzw. Locker-Ransomware
Bei dieser Form von Ransomware, werden ganze Systempartitionen oder Teilbereiche dieser verschlüsselt. Eine normale Nutzung des Computers ist in der Regel gar nicht mehr oder nur sehr eingeschränkt möglich. Teilweise sind auch grundlegende Funktionen des Betriebssystems eingeschränkt.

Warnmeldungen bzw. Informations-Screens werden eingeblendet, die den Nutzer über die Verschlüsselung und Informationen zur Lösegeldzahlung / Dateiwiederherstellung / Entschlüsselung informieren.

Crypto-Ransomware
Diese Form von Ransomware geht gezielter zu Werke. Damit der betroffene Computer noch nutzbar, alle wichtigen Dateien aber nicht mehr zu gebrauchen sind, verschlüsselt Crypto Ransomware einzelne Dateitypen bzw. Dateien und Ordner auf den Festplatten und Speichermedien. Dabei können die Dateiendungen, je nach verwendeter Ransomware-Software, teilweise explizit auf die jeweiligen Opfer / Firmen angepasst werden.

Der Umstand das der PC Anwender seine Dateien, oft versehen mit einer Ransomwar-eigenen Dateiendung, sehen aber nicht mehr öffnen oder benutzen kann, animiert viele Opfer zur Zahlung.

Je nach Ransomware Gruppe bzw. Software werden auch Countdowns eingesetzt, um den Druck auf die Opfer zur Zahlung eines Lösegelds zu erhöhen. Frei nach dem Motto: „Zahle bis zum Tag X sonst sind die Daten futsch“. Eine perfide Taktik.

Crypto-Leak Ransomware

Seit einigen Jahren hat sich neben der Verschlüsselung von Daten auch die Erpressung mittels angedrohter Veröffentlichung der entwendeteten Daten etabliert. Dabei wird vor dem eigentlichen Verschlüsselungsvorgang, der das System bzw. die Daten unbrauchbar zurücklässt, ein Datentransfer eingeleitet.

Die Angreifer stehlen dabei alle oder auch nur einen Teil der besonders brisanten Daten und fordern dann vom Opfer ein Lösegeld, damit die entwendeten Daten nicht veröffentlicht werden. Betroffen sind hier meist Kundendaten, Passwörter und Logins, verwendete Zahlungsmittel oder Betriebsgeheimnisse (Entwicklung, schwarze Machenschaften).

Die Geschichte der Ransomware

Der erste Ransomware Vorfall, fand im Jahre 1989 statt. Mit der ersten Ransomware der Geschichte namens PC Cyborg, trat der Evolutionsbiologe Joseph L. Popp eine Welle los die erst nach mehr als 25 Jahren an die Ufer schwappen sollte. Popp verschickte damals circa zwanzigtausend Disketten mit seiner Schadsoftware an die Teilnehmer des „World Aids Congress“ der WHO. Beschriftet hatte er die Disketten mit der Aufschrift: AIDS Information – Introductory Diskettes“.

Nach dem 90. Male des Bootvorgangs verschlüsselte PC Cyborg die Dateinamen auf den infizierten Systemen und versteckte ganze Verzeichnisse. Popp forderte ein Lösegeld, die erste Ransomware Erpressung der Welt, in Höhe von 189 $US. Der Mann mit Abschluss in Harward wurde gefasst aber nie verurteilt. Er wurde aufgrund seines verrückten Verhaltens als nicht Verhandlungsfähig eingestuft und freigesprochen.

Erst viele Jahre später wurde das illegale Geschäftsmodell mit dem Namen Ransomware zunehmend populär. In den Jahren 2005 und 2006 wurden dann zunehmend Angriffe dieser Art bekannt und auch in den Medien aufgegriffen.

Pre-Crypto Ära
Über den Trojaner TROJ_PGPCODER.A (Gpcode, Trojan.PGPCoder) wurde im Jahr 2005 erstmalig großflächig berichtet und dieser von den Medien mehrheitlich als Ransomware bezeichnet.

„In einer Textdatei werden Computernutzer angewiesen, zweihundert US-Dollar für ein Decoder-Programm zu zahlen, ansonsten blieben die Daten unbrauchbar. Sicherheitsunternehmen klassifizieren TROJ_PGPCODER.A daher als „Ransomware“ ein, also als Software, die Lösegeld fordert.“

Quelle: https://www.handelsblatt.com/technik/it-internet/allein-im-mai-1505-neue-viren-und-wuermer-virenautoren-im-mai-besonders-aktiv/2511736.html

Der Trojan.PGPCoder existierte in verschiedenen Varianten und später auch unter Bezeichnung GPCode. Diese Ransomware verschlüsselte gezielt Word-, Excel- und HTML-Dokumente sowie .jpg, .zip, und .rar Dateien. Gefordert wurde ein Lösegeld in Höhe zwischen 100 und 200 US Dollar. Zahlen sollten die Opfer an einen Account bei e-gold oder Liberty Reserve.

Zum Einsatz kamen unterschiedliche Verschlüsselungsroutinen. Die anfängliche Routine war selbstgeschrieben und konnte schnell entschlüsselt werden. Eine weitere Variante konnte durch Dateirettungssoftware bzw. Datenwiederherstellungssoftware umgangen werden, da der Trojaner die verschlüsselnden Dateien neu auf die Festplatte schrieb um danach die alten Originaldateien zu löschen.

Im Kampf gegen den GPCode stach das IT-Sicherheitsunternehmen Kaspersky besonders positiv hervor und lieferte Tools und Anleitungen zum entschlüsseln der Dateien bzw. entfernen der Ransomware.

Eine der letzten bekannten Versionen aus dem Jahr 2010 setzte dann starke Verschlüsselung nach dem RSA-1024 bit Standard oder AES Verschlüsselung mit 256 bit langem Key ein. Dabei vermied der Author die Fehler der Vorgängerversionen. Die neue Variante überschrieb die alten Dateien beim Verschüsselungsvorgang, sodass eine Wiederherstellung ohne den Decryption Key bis heute nicht möglich ist.

Cryptowährungs-Ära – Der unaufhaltsame Aufstieg der Ransomware

In den Folgejahren des Jahres 2010 explodierten die frisch isolierten Ransomware Schadcodes förmlich. Im ersten Halbjahr 2011 wurden rund sechzigtausend neue Varianten von Ramsomware Malware gezählt. Im dritten Quartal des gleichen Jahres verdoppelte sich die Anzahl neu entdeckter Varianten bereits auf 120.000 neu registrierter Samples.

Über die bereits seit 2007 existierende Zeus Schadsoftware wurde in den Jahren 2013 und 2014 nun auch die CryptoLocker Ransomware ausgespielt. Mittels Spam E-Mails und schadhaften Dateianhängen sowie über das Zeus eigene Botnetzwerk wurde CryptoLocker für damalige Verhältbnisse massenhaft verbreitet.

Die Ransomware verschlüsselte mittels eines 2048-bit RSA Schlüssels gezielt Dateitypen von Microsoft Office oder Dateiformate der OpenDocument Foundation. Auch Bilder und in der Konstruktion und Entwicklung gängige AutoCAD Formate wurden auf lokalen Laufwerken sowie angeschlossenen Netzwerk-Laufwerken verschlüsselt.

Gefordert wurden Lösegeldsummen in Höhe von 400 €uro bzw. US Dollar, zahlbar via Bitcoin oder prepaid Cash Coupons von MoneyPak bzw. Ukash.

In den Folgejahren ging aus den einfachen Anfängen immer anspruchsvollere Software hervor. Der Fokus wurde auf Stealth und bestehenden Systemzugang gelegt. Die Ransomware rückte in den Bereich der sogenannten APT Bedrohungen (Advanced persistens threats) vor.

Während die damaligen Ransomware Angriffe fast ausschließlich darauf ausgelegt waren, möglichst viele Ziele zu infizieren, stieg die Zahl der gezielten Angriffe auf definitierte Nutzer bzw. Unternehmen in den Jahren nach 2017 stark an.

Während seitdem die Zahl der gezielt angegriffenen Systeme im Bereich unter der Tausender Marke blieb, gab es zwischen 2019 und 2020 einen gewaltigen Anstieg. Die Zahl der gezielt attackierten Systeme stieg um 767% an.

Die Ransomware Szene professionaliert sich

Seitdem wird der Großteil des erbeuteten Lösegelds durch gezielte Attacken auf Unternehmen oder staatliche Organisationen erwirtschaftet, die es zum Teil eiskalt erwischt hat. In vielen Fällen wurden auch die Backup-Systeme mit verschlüsselt, weshalb einigen IT-Verantwortlichen und Geschäftsführern wortwörtlich die Haare zu Berge gestanden haben mussten.

Im Zuge der Professionalisierung der Szene wurden aus Einzeltätern zunehmend bandenmäßig agierende Strukturen der Cyberkriminalität, die sich Ihre Ziele genau aussuchten. Große Unternehmen und Konzernstrukturen waren zumeist Ihre Opfer. Die Cyberkriminellen wurden dabei rasch von einer beeindruckenden Professionalisierungswelle. Sie richteten eigene Callcenter für die Lösegeldverhandlungen ein, verwischten Ihre Spuren auf höchstem Niveau und verschleierten all das, was Rückschlüsse auf Ihre wahre Identität geben konnte.

Gelder werden gewaschen, durch Bitcoin Mixer aufgeteilt, gestückelt und weiter transferiert bis kaum noch ersichtlich ist wohin das Geld gegangen ist. Komplett anonyme Cryptowährungen wie Monero werden zunehmend bevorzugt, auch wenn die Hauptlösegeldforderungen immer noch in Bitcoin gestellt werden.

Die Zukunft der Ransomware

Ein Ende der Entwicklung ist nicht abzusehen. IT-Sicherheit wird weiterhin das große Thema bleiben. Seit der Forderung nach staatlich angeordneten Hintertüren in kommerzieller Software und dem Übergang der Staaten und Geheimdienste Sicherheitslücken absichtlich für eigene Zwecke offen zu halten anstatt diese den Herstellern zu melden und schließen zu lassen, wird es künftig vermutlich noch viel größere Angriffe auf die Allgemeinheit mittels Crypto-Würmern geben.

Die Informationen über die Schwachstellen müssen nur in die Hände der falschen geraten oder durch gezielte Hacks aus den Händen der Geheimdienste befreit werden und es wird so kommen wie es kommen muss. WannaCry und Petya werden vermutlich in den nächsten jahren als größte Ransomware Attacken abgelöst und vom Thron gestoßen werden.

Die Entwicklung hin zu gezielteren Angriffen wird dennoch weiterhin bestehen bleiben. Der große Erfolg der Ransomware Gruppierungen in diesem Bereich und die sehr hohen von ihnen erbeuteten Lösegeldsummen geben ihnen einfach Recht mit Ihrer Strategie.

Zunehmend entwickelt sich in der Szene auch ein neuer Trend. Das sogenannte Extortion Modell. Bei sogenannten Extortion Attacken, werden die Daten nicht mehr zwangsweise verschlüsselt. Teilweise geschieht dies optional um doppelt abzukassieren, in einigen Fällen gar nicht.

Statt rein auf Verschlüsselung zu setzen, werden dabei hochsensible Unternehmens- und Kundendaten entwendet und die Unternehmen mit der Veröffentlichung dieser Datenbestände bedroht. Als Druckmittel kommen teils die Strafbewehrtheit unternehmerischer Handlungen, hohe Bußgelder aufgrund von Datenschutzvergehen im Umgang mit Kundendaten und viele weitere zum Einsatz.

Die Angriffsvektoren indes dürften in etwa die gleichen bleiben und sich vermutlich prozentual etwas untereinander verschieben. Neue und noch stärkere Verschlüsselungsalgorithmen werden zum Einsatz kommen.

Ein Ende ist nicht in Sicht.

Der größte Ransomware Angriff

Der Ransomware mit den weltweit meisten Opfern fand im Jahr 2017 unter dem Namen WannaCry statt. Mit über zweihundertdreißigtausend bekannten Fällen in über 150 Ländern wütete WannaCry in Form eines Crypto-Wurms, der sich ab dem 12. Mai 2017 selbstständig reproduzierte und weitere Systeme über das Netzwerk / Internet anstecken konnte.

Basierend auf einer durch die NSA gefundenen Schwachstelle (EternalBlue) im NetBIOS Modul (SMB-Protokoll) von Windows-Rechnern infizierte die Malware in kurzer Zeit weltweit hunderttausende Rechner und forderte insgesamt Millionensummen an Lösegeld per Bitcoin Transaktion.

Die extrem zeitnahe Eindämmung dieses Crypto-Wurms wurde durch einen Killswitch begünstigt. Im Code fand der britische IT-Sicherheitsforscher Marcus Hutchins beim reverse engineering einen Verweis auf eine kryptische Domain die unregistriert war.

Um mehr zu erfahren, registrierte er kurzerhand die Domain „iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“. Als die infizierten Rechner diese Domain bei bestehender Internetverbindung aufrufen konnten, stoppte der Angriff bzw. die eigenständige Weiterverbreitung noch am selben Tag, an dem der Angriff begann. Der 12 Mai 2017 symbolisiert damit den Anfang und das Ende der bisher größten Ransomware Attacke.

Lauffähig war der auch unter den Namen Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r bekannte und auf EternalBlue basierende Exploit auf Windows Vista, Windows 7, Windows 8.1 und Windows 10 sowie vielen Windows Server Versionen.

Damit waren weltweit Milliarden Rechner verwundbar. Nicht auszudenken, welche Auswirkungen der Crypto-Wurm gehabt hätte, wenn Marcus Hutchins nicht eingegriffen hätte.

Nach anfänglichem Ruhm und vielem Lob wurde wurde Hutchins am 3. August 2017 dennoch selbst vom amerikanischen FBI verhaftet. Ihm wurde vorgeworfen die Banking Malware Kronos im Jahre 2014 programmiert und in Umlauf gebracht zu haben.

Sicherheits Forscher und Blogger Brian Krebs brachte ihn zudem mit weiteren Malware Kreationen in Verbindung, die Hutchins programmiert oder vertrieben haben soll.

Übersicht über verschiedene Ransomware

Eine komplette Auflistung aller Ransomware Editionen ist aufgrund der schieren Größe der Anzahl an Varianten kaum noch möglich. Eine sehr umfangreiche Auflistung von bekannten Ransomware Varianten findet sich in der Ransomware Liste von Bleib-Virenfrei.de wieder.

Aktuelle Ransomware Software

Eingesetzte Hilfsprogramme / Malware

Aktive Ransomware Gruppen

Zu den größten Ransomware Gangs gehören die Hintermänner der Maze Ransomware. Kaspersky schätzt, dass Maze 2019 und 2020 für bald ein Drittel der weltweiten Angriffe verantworlich war. Die Gruppe zeigte sich zuletzt weniger aktiv, über Vorfälle lässt sich derzeit nur spekulieren.

Ebenfalls zu erwähnen ist die Ransomware Gruppierung mit dem Namen Conti. in den Jahren 2019 und 2020 zeigte sich diese Gruppe laut Angaben von Kasperksy für 13% aller erfolgreichen Ransomware Angriffe erfolgreich.

Aus den Medien derweil am bekanntesten dürfte die REvil Gruppe sein. Die Ransomware Gruppierung schaffte es unter Einsatz sehr anspruchsvoller technischer Ansätze etwa 11% der Infektionen mit Ransomware beigetragen zu haben. Von der REvil Gruppe stammt auch die bislang höchste Lösegeldforderung mit einer Höhe von 50 Millionen $US, die REvil vom Acer Konzern einforderte.

Für noch knapp 10% der Opferzahl verantwortlich zeigte sich die Netwalker Gruppe mit Ihrer Mailto-Ransomware. Innerhalb weniger Monate schafften es die Beteiligten über 25.000.000 an Lösegeldern zu kassieren. Auch das RaaS-Modell (Ransomware as a service) wird von Ihnen angeboten. Wer Ihre Software einsetzt um Lösegelder zu fordern und Systeme zu verschlüsseln, soll bis zu 70% als Beteiligung erhalten.

DoppelPaymer / BitPaymer

Mit der DoppelPaymer Ransomware schaffte es die Gruppe dahinter sich zu den gefährlichsten Ransomware Gruppen der Welt aufzusteigen. Noch ganze 9% der Angriffe werden DoppelPaymer zugeordnet. Dabei dürften die wahren Opferzahlen der Gruppierung noch weit höher sein, denn man geht davon aus, dass deren Verschlüsselungs-Malware auf der früheren BitPaymer ransomware aufsetzt.

Die neue DoppelPaymer Version arbeitet mit einer doppelten Verschlüsselung aus 2048-bit RSA + 256-bit AES Verschlüsselung während BitPaymer in früheren Versionen nur 1024-bit RSA + 128-bit RC4 Enkodierung nutze. Spätere Versionen von BitPaymer setzten dann hingegen sogar 4096-bit RSA + 256-bit AES Verschlüsselung ein.

Die Erstinfektionen fanden meist über E-Mail Anhänge oder oder Links in E-Mails statt. Dabei wurde EMOTET eingesetzt um die Dridex Schadsoftware herunter zu laden. Darüber wurde weitreichender Zugriff mittels verschiedener Angriffsstrategien und Tools wie Mimikatz, PSExec, Cobalt Strike und das post-exploitation framework Powershell Empire erreicht.

Über das Netzwerk hielt die Gruppe dann Ausschau nach besonders lohnenswerten Zielen mit kritischen Daten.

Am Ende der Infrektionskette steht der Einsatz der eigenen Doppelpaymer Ransomware, die für die Verschlüsselung der Daten zuständig ist. Die Nutzer vor Ort im Unternehmen werden von der Gruppe aus Ihren Benutzerkonten ausgesperrt, mittels Process Hacker werden sicherheitskritische Prozesse beendet und die Daten verschlüsselt.

Eine Besonderheit der DoppelPaymer ist das Tool „Process Hacker“. Mit diesem werden sicherheitsrelevante Systemprocesse beendet und Eingriff in die Backup-Funktionalität genommen. Datenbank und Backup Prozesse werden gestoppt. Auch E-Mail Dienste können damit außer Betrieb genommen werden. Die Unternehmenskommunikation und Verteidigungsfähigkeit wird extrem herab gesetzt.

Zu den Zielen der Gruppe zählten neben großen Unternehmen auch staatliche Stellen, von denen Sie erfolgreich Lösegeld kassieren konnten. Auch im Bereich anderer Schadsoftware-Typen ist die Gruppe aktiv und hat es bereits im Vorfeld mit Bankingtrojanern zu gewisser Berühmtheit gebracht.

Befallene Systeme entschlüsseln

Um befallene Systeme entschlüsseln zu können, empfiehlt das BKA keine Lösegeldforderungen zu tätigen. In der Realität gehen dennoch viele Firmen, aus teils guten Gründen, darauf ein.

Unwiderbringliche Daten können viel Geld wert sein. Unliebsame Informationen oder Geheimnisse die an die Öffentlichkeit oder Konkurrenten „geleakt“ werden, können hohe Schadenssummen verursachen. Sei es durch Bußgelder, Informationsabfluss oder ähnliches.

Aus diversen Motiven zahlen die Firmen den Ransomware-Erpressern Lösegeld aus. In der Regel erhalten diese auch, entgegen dem Wortlaut des BKA, den Schlüssel zur Entschlüsselung der verschlüsselten Systeme oder Dateien.

Ransomware Dateien kostenlos entschlüsseln

Es gibt eine Initative zum kostenlosen entschlüsseln der durch Ransomware verschlüsselten Dateien. Unter der Webseite NoMoreRansom.org bietet die Organisation Ihre Hilfe an, für all diejenigen die kein Geld an Ransomware Banden zahlen möchten.

Dabei ist zu beachten, dass hier bei professionellen Ransomware Angriffen immer mit unterschiedlichen Schlüsseln gearbeitet wird. Auch die softwareseitige Ausführung der Angriffe lässt in der Regel keine erkennbaren Schwachstellen offen, die ein Entschlüsseln ohne knacken des Codes möglich erscheinen lassen.

Dennoch kann das Projekt, Erfolge vorweisen. Im Fall der Fälle, ist es sicher sinnvoll sich auf der Webseite zu informieren. Dort kann man verschlüsselte Dateien hochladen, und erfährt dann, ob es bereits einen kostenlosen oder professionell vertriebenen Verschlüsselungs-Entkodierer gibt.

Hunderte Ransomware Entschlüsselungs-Tools – Decoder

Professionelle Entschlüsselungssoftware: Multi Ransomware Decryption Tools

Kaspersky RakhniDecryptor – Das kostenlose Decryptor Tool von Kaspersky entschlüsselt Dateien

Mögliche Dateiendungen sind: .777, ._crypt, .AES256, .aes256, .aes_ni, .aes_ni_0day, .aes_ni_gov, .AFD, .aga, .AMBA, .bloked, .bnmntftfmn, .btc, .chifrator, .coderksu, .cripaaaa, .cripted, .criptiks, .cripttt, .criptx, .cry, .crypt@india.com, .crypto, .CrySiS, .darkness, .dhrama, .dyatel, .enc, .fajlovnet, .filesfucked, .FONIX, .gefickt, .gopaymeb, .gruzin, .hela, .helpdecrypt, .hithere, .jaff, .KRAB, .kraken, .ktldll, .legion, .lock, .locked, .nalog, .nochance, .odin, .oplata, .oshit, .paymds, .paymrss, .paymrts, .paymst, .paymts, .PLAGUE17, .relock, .SecureCrypted, .smit, .sVn, .trojancoder, .wlu, .XINOF, .Yatron, .~xdata

Der Kaspersky RakhniDecryptor hilft gegen folgende Ransomware Varianten:

  • Trojan-Ransom.Win32.Ragnarok
  • Trojan-Ransom.Win32.Fonix
  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.GandCrypt ver. 4 and 5
  • Trojan-Ransom.Win32.Bitman ver. 3 and 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.MSIL.Yatron
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis (Dharma)
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff
  • Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
  • Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
  • Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
  • Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
  • Trojan-Ransom.Win32.Cryakl CL 1.3.1.0

Kaspersky Rannoh Decryptor – Das kostenlose Entschlüsselungstool für durch Ransomware verschlüsselte Dateien kann bei einer Vielzahl von Encryptern eingesetzt werden.

Mögliche Dateiendungen sind unter anderem: .crypt, .crypt1, .crypz, .ebola, .RZWDTDIC

Der Kaspersky Rannoh Decryptor hilft gegen folgende Ransomware:

  • .cerberTrojan-Ransom.Win32.Rannoh
  • Trojan-Ransom.Win32.AutoIt
  • Trojan-Ransom.Win32.Cryakl
  • Trojan-Ransom.Win32.CryptXXX Version 1, 2 und 3
  • Trojan-Ransom.Win32.Crybola
  • Trojan-Ransom.Win32.Polyglot
  • Trojan-Ransom.Win32.Fury

Avast bietet mit seinen Avast Decryptoren kostenlose Entschlüsselungssoftware bzw. Anleitungen zum entschlüsseln diverser Ransomware Programme an.

Mögliche Dateiendungen sind: .aes_ni, .aes256, .aes_ni_0day, .obfuscated, .bart.zip, encrypted, .FuckYourData, .locked, .Encryptedfile, .SecureCrypted, .Alcatraz, .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl, .MOLE, .CrySiS, EncrypTile, .FONIX, .XINOF, .GDCB, .CRAB, .KRAB, .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org .gefickt, .MyChemicalRomance4EVER, .szf, ytbl, .breaking_bad, .heisenberg, .better_call_saul, .los_pollos, .da_vinci_code, .magic_software_syndicate, .windows10, .windows8, .no_more_ransom, .tyson, .crypted000007, .crypted000078, .rsa3072, .decrypt_it, .dexter

Avast Decryptoren gibt es gegen folgende Ransomware:

Trend Micro Ransomware File Decryptor – Das kostenlose Ransomware Decodier Tool von Trend Micro hilft unter anderem bei befallenen Dateien mit den Dateiendungen: .crypt, .crypted, .cerber, .demoadc, .LeChiffre, .purge, .WNCRY, .WCRY, .xorist, .777, .locky, .RSNSLocked, .VVV, ,CCC, ,ZZZ, ,AAA, ,ABC, ,XYZ, .ECC

Das TrendMicro Tool hilft gegen folgende Ransomware Versionen:

  • CryptXXX V1
  • CryptXXX V1
  • CryptXXX V2
  • CryptXXX V3
  • CryptXXX V4
  • CryptXXX V5
  • TeslaCrypt V1
  • TeslaCrypt V2
  • TeslaCrypt V3
  • TeslaCrypt V4
  • SNSLocker
  • AutoLocky
  • BadBlock
  • 777
  • XORIST
  • XORBAT
  • CERBER V1
  • Stampado
  • Nemucod
  • Chimera
  • LECHIFFRE
  • MirCop
  • Jigsaw
  • Globe/Purge
  • DXXD
  • Teamxrat/Xpan
  • Crysis
  • TeleCrypt
  • DemoTool
  • WannaCry (WCRY)
  • Petya

Emsisoft Ransomware Decryption Tools – Bietet kostenlose Abhilfe bei verschlüsselten Dateien durch eine Vielzahl von Ransomware Malware.

Mögliche Dateiendungen sind: .0JELvV, .2ksys19, .5vypSa, .6FKR8d, .777, .amnesia, .animus, .aurora, .bukyak, .cheetah, .ciphered, .ckey, .coronolock, .CORP, .crypted, .cryptoid, .crypton, .CRYPTOPOKEMON, .Cyborg1, .DATAWAIT, .disappeared, .EnCiPhErEd, .Encrypted, .encryptedALL, .EncryptedFilePayToGetBack, .FC, .fun, .hacked, HCY!, .hela, .hydracrypt, .infected, .INFOWAIT, .isolated, .javalocker, .kokolocker, .lcphr, .locked, .LockIt, .masked, .MERRY, .mike, .mira, .MRCR1, .muhstik, .n1wLp0, .nampohyu, .Nano, .Neptune, .obfuscated, .ONI, .p3rf0rm4, .p5tkjw, .paradise, .peekaboo, .PEGS1, .petra, .PewCrypt, .Pluto, .puma, .pumas, .pumax, .ransomwared, .RARE1, .redrum, .RMCM1, .serpom, .STUB, .Syrk, .systems32x, .thanos, .thor“, .umbrecrypt, .unavailable, .UslJ6m, .veracrypt, .WannaCry, .YNhlv1, .yum, .zerofucks, .ziggy, .ZRB

Das Emsisoft Tool hilf bei folgender Ransomware Software:

  • 777
  • Al-Namrood
  • Amnesia
  • Apocalypse
  • ApocalypseVM
  • Aurora
  • AutoLocky
  • Avaddon
  • BadBlock
  • Bandarchor
  • CheckMail7
  • CrypBoss
  • Crypt32
  • CryptInfinite
  • CryptoDefense
  • CryptON
  • Cyborg
  • Damage
  • DirtyDecrypt
  • DMALocker
  • DMALocker 3.0
  • Fabiansomware
  • FakeGlobe aka GlobeImposter
  • FenixLocker
  • Globe v3
  • Gomasom
  • GetCrypt
  • Hakbit
  • Harasom
  • HKCrypt
  • HydraCrypt
  • ImS00rry
  • JavaLocker
  • KeyBTC
  • KokoKrypt
  • LeChiffre
  • Marlboro
  • Merry X-Mas!
  • Nemucod
  • NMoreira
  • OzozaLocker
  • Paradise
  • PClock
  • Philadelphia
  • Radamant
  • Ransomwared
  • RedRum
  • SpartCrypt
  • STOP Djvu
  • SynAck
  • TurkStatik
  • UmbreCrypt
  • Zorab

Knapp 100 weitere kostenlose Entschlüsselungstools gegen Ransomware Angriffe / kostenlose Decryptor Tools zum Entschlüsseln

  1. AuroraDecryptor
  2. BDAnnabelleDecryptTool
  3. Amnesia2 Decryptor
  4. Alphadecrypter
  5. BDAvaddonDecryptor
  6. Avest Decryptor
  7. BarRax Decryptor
  8. Coinvault Decryptor
  9. Cry128 Decryptor
  10. Checkmail7 Decryptor
  11. CryDecryptor
  12. Cry9 Decryptor
  13. Chernolocker Decryptor
  14. Rannoh Decryptor
  15. Crypt32 Decryptor
  16. Crypton Decryptor
  17. CryptoMix Decryptor
  18. Damage Decryptor
  19. Darkside Decryptor
  20. Jigsaw Decryptor (DragonCyber Ransom)
  21. EncrypTile Decryptor
  22. InsaneCryptDecrypter
  23. FONIX Decryptor
  24. FenixLocker Decryptor
  25. FilesLockerDecrypter
  26. GalactiCryper Decryptor
  27. Globe Decryptor
  28. GlobeImposter Decryptor
  29. GoGoogle Decryptor
  30. Gomasom Decryptor
  31. HKCrypt Decryptor
  32. Hakbit Decryptor
  33. HiddenTear Decryptor
  34. hildacrypt Decryptor
  35. Iams00rry Decryptor
  36. InsaneCryptDecrypter
  37. JS WORM 2.0
  38. JavaLocker Decryptor
  39. Judge Decryptor
  40. KokoKrypt Decryptor
  41. LambdaLocker Decryptor
  42. Linux.Encoder.1 Decryptor
  43. Loocipher Decryptor
  44. Lorenz Decryptor
  45. MacRansom Decryptor
  46. Magniber Decryptor
  47. Mapo Decryptor
  48. Marlboro Decryptor
  49. MegaLocker Decryptor
  50. Merry X-Mas Decryptor
  51. Mira Decryptor
  52. Mole Decryptor
  53. muhstik Decryptor
  54. Nemty Decryptor
  55. NemucodAES Decryptor
  56. Nmoreira Decryptor
  57. Noobcrypt Decryptor
  58. Ouroboros Decryptor
  59. Ozozalocker Decryptor
  60. Paradise Decryptor
  61. Pewcrypt Decryptor
  62. Philadelphia Decryptor
  63. Planetary Decryptor
  64. Popcorn Decryptor
  65. Puma Decryptor
  66. pylocky_decryptor
  67. RAGNAROK Decryptor
  68. Ransomwared Decryptor
  69. REvil Decryptor
  70. RedRum Decryptor
  71. Shade Decryptor
  72. Simplelocker Decryptor
  73. Sodinokibi Decryptor
  74. SpartCrypt Decryptor
  75. StupidDecryptor Decryptor
  76. SynAck Decryptor
  77. Syrk Decryptor
  78. Thanatos Decryptor
  79. ThunderX Decryptor
  80. Trustezeb.A Decryptor
  81. TurkStatic Decryptor
  82. VCRYPTOR Decryptor
  83. WannaCryFake Decryptor
  84. Wildfire Decryptor
  85. ZQ Decryptor
  86. ZeroFucks Decryptor
  87. Ziggy Decryptor
  88. Zorab Decryptor
  89. djvu Decryptor


 

Ratgeber

Ratgeber:
Viren richtig entfernen

Backup Ratgeber
Backups für Unternehmen
Private Backups
Cloud Backups

Special:
Ransomware Schutz