Definition

CryptoLocker ist ein Crypto-Virus und eine Form von Ransomware, die infizierte Computer verschlüsselt und somit den Zugriff auf die Inhalte einschränkt. Von den Opfern wird gefordert, dass sie für die Entschlüsselung und Wiederherstellung ihrer Dateien ein „Lösegeld“ zahlen.

Die Infektion erfolgt meistens über Phishing-Mails mit schädlichen Anhängen. Diese E-Mails sehen wie die von legitimen Unternehmen oder wie FedEx- und UPS-Sendungsbenachrichtigungen aus.[1]

Screenshot eines Computers, der mit CryptoLocker infiziert wurde. Es wird eine Warnung angezeigt mit der Aufforderung zur Zahlung des Lösegelds.

Die Angreifer tarnen die CryptoLocker-Anhänge, um ahnungslose Benutzer dazu zu verleiten, auf den E-Mail-Anhang zu klicken, der den Angriff aktiviert. Die Opfer müssen dann ein Lösegeld zahlen, um ihre Dateien zu entschlüsseln. CryptoLocker verbreitete sich hauptsächlich zwischen Anfang September 2013 und Ende Mai 2014.[2]

Geschichte

Der CryptoLocker-Angriff fand zwischen dem 5. September 2013 und Ende Mai 2014 statt. Er wurde als trojanischer Virus (bösartiger Code, der als etwas Harmloses getarnt ist) identifiziert, der auf Computer mit verschiedenen Versionen des Windows-Betriebssystems abzielte. Zugang zu dem Zielcomputer verschaffte er sich über gefälschte E-Mails, die den Anschein seriöser Unternehmen erwecken sollten, sowie über gefälschte FedEx- und UPS-Sendungsbenachrichtigungen.

Sobald ein Computer infiziert ist, findet und verschlüsselt CryptoLocker Dateien, die sich auf freigegebenen Netzlaufwerken, USB-Laufwerken, externen Festplatten, Netzwerk-Dateifreigaben und sogar auf einigen Cloud-Storage-Laufwerken befinden. Bis Anfang November 2013 hatte die CryptoLocker-Malware etwa 34.000 Computer infiziert, hauptsächlich in englischsprachigen Ländern.[3]

Im Jahr 2014 wurde ein kostenloses Verschlüsselungstool veröffentlicht. Verschiedene Berichte deuten jedoch darauf hin, dass über 27 Millionen Dollar von CryptoLocker erpresst wurden.[4]

Schutz vor Cryptolocker

US-CERT rät Benutzern, CryptoLocker zu verhindern, indem sie routinemäßige Backups wichtiger Dateien durchführen und diese Backups offline aufbewahren. Benutzer sollten auch die Antiviren-Software auf dem neuesten Stand halten, genauso wie ihr Betriebssystem und ihre Software mit den neuesten Patches ausstatten.

Zudem sollten Benutzer auch nicht unaufgefordert Web-Links in E-Mails folgen und beim Öffnen von E-Mail-Anhängen generell Vorsicht walten lassen und die gängigen Vorgaben guter E-Mail-Sicherheit einhalten. Und wie immer sollten sie beim Surfen im Internet sichere Praktiken befolgen.[5]

Beseitigung

Sobald Ihre Benutzer eine Ransomware-Forderung oder einen Virus entdecken, sollten sie sofort die Verbindung zum Netzwerk trennen. Wenn möglich sollten sie ihren Computer physisch in die IT-Abteilung bringen. Nur das IT-Sicherheitsteam sollte einen Neustart versuchen.

Von zentraler Bedeutung für Ihre Reaktion ist die Frage, ob das Lösegeld bezahlt werden soll. Diese Entscheidung sollte sich nach der Art des Angriffs richten, wer in Ihrem Netzwerk kompromittiert wurde und welche Netzwerkberechtigungen die Inhaber kompromittierter Konten haben.[6]

Ransomware-Angriffe sind ein Verbrechen und Unternehmen sollten die Strafverfolgungsbehörden informieren, wenn sie einem Angriff zum Opfer fallen. Forensiktechniker können dann sicherstellen, dass die Systeme nicht auf andere Weise kompromittiert werden, Informationen sammeln, um Unternehmen in Zukunft besser zu schützen, und versuchen, die Angreifer ausfindig zu machen.

Manchmal bieten Sicherheitsforscher Entschlüsselungscodes an, die Dateien kostenlos freischalten können. Diese sind jedoch nicht immer verfügbar und funktionieren nicht bei jedem Ransomware-Angriff.

Wenn Unternehmen bewährte Verfahren befolgen und System-Backups gepflegt haben, können sie ihre Systeme schnell wiederherstellen und den normalen Arbeitsablauf wieder aufnehmen.[4]

 


 

[1] U.S. Computer Emergency Readiness Team (US-CERT), „CryptoLocker Ransomware Infections
[2] Dan Goodin (Ars Technica). „You’re infected—if you want to see your data again, pay us $300 in Bitcoins“
[3] Ryan Naraine (SecurityWeek). „CryptoLocker Infections on the Rise
[4] Proofpoint. „Ransomware is Big Business
[5] US-CERT. „CryptoLocker Ransomware Infections
[6] Proofpoint. „The Ransomware Survival Guide

Ransomware-Leitfaden

In unserem Ransomware-Leitfaden 2022 erfahren Sie, was Sie vor, während und nach einem Ransomware-Angriff tun können.

Ransomware ist ein großes Geschäft

Erfahren Sie wie Proofpoint Ihrem Unternehmen helfen kann, einen effektiven Schutz gegen Ransomware, Verschlüsselungs-Trojanern und weiteren Bedrohungen aufzubauen.

Webinar: Ransomware-Angriffe aus der Cloud

Ransomware ist eine bekannte und alte Bedrohung, die aber auch heute noch ein großes Problem darstellt. Diese Art von Malware ist ein großes Problem für die IT, denn mit der Verlagerung in die Cloud wird Ransomware zu einer der bedeutsamsten Arten von Cyberangriffen.