Bad Rabbit

Bad Rabbit ist ein Ransomware-Stamm, der erstmals 2017 in Erscheinung trat. Er schien Medienunternehmen in Russland und der Ukraine im Visier zu haben. In den meisten Fällen verbreitete sich der Bad-Rabbit-Virus, indem er sich als Update des Adobe Flash Media Players ausgab und die Opfer dazu brachte, auf eine schädliche Datei zu klicken und diese zu öffnen.

Wie andere Arten von Ransomware verschlüsselt die Bad-Rabbit-Ransomware die Computer, Server oder Dateien der Opfer und verhindert den Zugriff, bis das Lösegeld – normalerweise in Bitcoin – bezahlt wird. Erfahren Sie hier mehr über Ransomware.

Bad Rabbit tauchte erstmals 2017 auf und weist Ähnlichkeiten mit den Ransomware-Stämmen WannaCry und Petya auf.

Als Adobe-Flash-Installationsprogramm getarnt, verbreitet sich Bad Rabbit über Drive-by-Downloads auf kompromittierten Websites. Das bedeutet, dass die Opfer dem Virus allein durch den Besuch einer bösartigen oder kompromittierten Website ausgesetzt sein könnten. Die Malware wird mithilfe von JavaScript, das in den HTML-Code der Website eingefügt wird, in den Websites eingebettet.

Wenn eine Person auf das schädliche Installationsprogramm klickt, verschlüsselt Bad Rabbit die Dateien und präsentiert den Benutzern eine nüchterne schwarz-rote Nachricht, in der steht: „Wenn Sie diesen Text sehen, haben Sie keinen Zugang mehr auf Ihre Dateien. Vielleicht haben Sie nach einer Möglichkeit gesucht, um Ihre Dateien wiederherzustellen. Vergeuden Sie nicht Ihre Zeit.“

Der Text fordert rund 280 Dollar in Bitcoin und gibt eine Frist von 40 Stunden für die Zahlung.^[1] Die Opfer berichteten, dass ihre Dateien nach der Zahlung tatsächlich freigeschaltet wurden, was bei anderen Ransomware-Angriffen nicht immer der Fall ist.

Ransomware wie Bad Rabbit greift das Netzwerk auf eine von zwei Arten an: als Verschlüsselungsprogramm (wie im Fall von Bad Rabbit) oder als Bildschirmsperre. Verschlüsselungsprogramme sperren Daten auf einem Zielsystem und der Inhalt wird ohne Entschlüsselungscode unzugänglich. Eine Bildschirmsperre blockiert den Zugriff auf das System über einen Sperrbildschirm, der lediglich behauptet, dass das System verschlüsselt ist.

In beiden Fällen ist die Verhinderung von Ransomware die weitaus bessere Option als ihre Beseitigung.

Sobald Ihnen klar wird, dass Sie Opfer eines Bad-Rabbit-Ransomware-Angriffs sind, sollten Sie die folgenden Schritte unternehmen:^[2]

1. Kontaktieren Sie die Strafverfolgungsbehörden.
2. Trennen Sie Ihr Netzwerk von allen Computern, Servern oder anderen Geräten.
3. Bestimmen Sie den Umfang des Problems anhand Ihrer Kenntnisse der Bedrohungsinformationen.
4. Arrangieren Sie eine Reaktion. Einige Arten von Ransomware, z.B. Bildschirmsperren, lassen sich leichter beseitigen. Andere erfordern möglicherweise eine komplette Neuabbildung (Löschung) von Systemen und die Wiederherstellung von Dateien aus einem Backup.
5. Suchen Sie nach kostenlosen Entschlüsselungstools für Ransomware – aber verlassen Sie sich nicht auf sie. Sie funktionieren nicht für jede Art von Ransomware und helfen Ihnen möglicherweise nicht dabei, Ihre Dateien wiederherzustellen.
6. Nutzen Sie Ihre Backup-Systeme, um blockierte Dateien wiederherzustellen.

[1] Lena Fuks (Security Boulevard). „10 Ransomware Attacks You Should Know About in 2019“
[2] Proofpoint. „Ransomware Ratgeber“