Homepage des Projekts NoMoreRansom.org (Bild: NoMoreRansom.org)Vor zwei Monaten startete das Projekt »NoMoreRansom.org« – eine Kooperation der niederländischen Polizei, Europol, Intel Security und Kaspersky Lab. Das Projekt zum Kampf gegen Ransomware (Erpressungs-Software) wird stetig weiter entwickelt: Entschlüsselungstools und Keys werden hinzugefügt. Jetzt hat Kaspersky Lab die Polizei und Staatsanwaltschaft in den Niederlanden dabei unterstützt, die Command-and-Control-Server der Ransomware »WildFire« zu lokalisieren.

Das Besondere an dieser Aktion: Zum einen wurden die Server abgeschaltet. Und es konnten zum anderen fast 1.600 Schlüssel sichergestellt werden. Kaspersky hat zusammen mit Intel Security nun immer mehr Entschlüsselungstools entwickelt, die dabei helfen, verschlüsselte Daten zurückzubekommen – ohne Lösegeld zu zahlen.

Anzeige

Die »alte« Infektionsmasche: Phishing-E-Mail drängt zum Öffnen eines angehängten Word-Dokuments

Backup, Backup, Backup – Vorsichtsmaßnahme Nummer 1 gegen Ransomware (Bild: NoMoreRansom.org)Die Ransomware Wildfire hat sich offensichtlich vor allem in den Niederlanden verbreitet, 90 Prozent der Infektionen wurden in den vergangenen Wochen dort registriert. Das Infektionsmuster von Wildfire ähnelt dem der Schädlinge von »Zyklon« und »GNLocker«: eine Phishing-E-Mail, die angeblich von einem Speditionsunternehmen stammt, wird von den Servern der Hacker verschickt. Diese E-Mail teilt mit, dass eine Lieferung nicht erfolgen konnte. Um einen neuen Liefertermin zu vereinbaren, soll der Empfänger das angehängte Word-Dokument öffnen.

Sobald die Word-Datei der Spam-Mail geöffnet wurde und Makros auf dem betroffenen Rechner aktiviert sind, wird Wildfire heruntergeladen und installiert. Die auf dem Computer gespeicherten Dateien werden verschlüsselt. Danach stellen die Hacker eine Lösegeldforderung in Höhe von mindestens 300 US-Dollar, die sich bei Nichtzahlung innerhalb von acht Tagen verdreifacht.

Auf NoMoreRansom.org finden sich etliche Entschlüsselungstools für verschiedene Ransomware-Typen. Außerdem wird über Ransomware und Maßnahmen, die vor einer Infektionen schützen, informiert.

Projekt NoMoreRansom.org sucht noch Partner

»Die Beschlagnahmung der Entschlüsselungs-Keys für Wildfire zeigt, dass Cyberkriminalität, vor allem Ransomware, am besten durch Kooperationen bekämpft werden kann«, sagt John Fokker, Digital Team Coordinator der Dutch National High Tech Crime Unit (NHTCU). »Die niederländische Polizei ist bemüht, den Betroffenen zu helfen, indem sie Fälle von Ransomware prüft, die kriminelle Infrastruktur lahmlegt und Schlüssel zur Entschlüsselung verbreitet. Regelmäßige Backups persönlicher Dateien sind dennoch die beste Strategie gegen Ransomware.«

»Es ist von großer Wichtigkeit, dass sich mehr Partner aus so vielen unterschiedlichen Bereichen wie möglich zusammentun, um dieser Form von Ransomware mit noch mehr Kraft entgegenzutreten«, kommentiert Jornt van der Wiel, Sicherheitsexperte des Global Research and Analysis Team bei Kaspersky Lab. »Wir machen gute Fortschritte, stehen aber noch am Anfang. Durch enge Kooperationen können wir viel mehr erreichen.«

Video-Interview mit Kaspersky-Geschäftsführer Holger Suhl

Ransomware ist zwar eine weltweite Geisel, aber interessanterweise ist das Ransomware-Phänomen in Deutschland doch deutlich stärker verbreitet als anderswo. Warum das so ist, darüber sprachen wir mit Holger Suhl, Geschäftsführer von Kaspersky Lab in Deutschland, in einem Video-Interview. Suhl geht auch darauf ein, wie sich Unternehmen und Privatanwender im Schadensfall verhalten sollen. Er erläutert überdies das Projekt NoMoreRansom.org näher.

Sollten Anwender von einer Ransomware heimgesucht werden, lautet der Kaspersky-Standpunkt laut Suhl: »Ganz klar: nicht zahlen!« Denn es gebe keine Sicherheit, dass man nach der Bezahlung auch tatsächlich einen Schlüssel erhalte.

Holger Suhl von Kaspersky Lab erläutert unter anderem das Projekt NoMoreRansom.org