CryptoLocker

Der CryptoLocker-Ransomware-Angriff war ein Cyberangriff, bei dem ein Trojaner verwendet wurde, der es auf Microsoft Windows Betriebssysteme abgesehen hatte. Die Malware wurde über infizierte E-Mail-Anhänge und über ein vorhandenes „Gameover ZeuS-Botnetz“ verbreitet. Bei Aktivierung verschlüsselte die Malware, durch den öffentlichen Schlüssel einer RSA-Verschlüsselung, bestimmte Dateitypen, die auf lokalen und bereitgestellten Netzlaufwerken gespeichert waren. Der private Schlüssel wurde auf den Steuerungsservern der Malware gespeichert. Die Malware zeigte daraufhin eine Nachricht an, in der angeboten wurde, die Daten zu entschlüsseln, wenn eine Zahlung (z.B. durch Bitcoin) innerhalb einer festgelegten Frist erfolgte, und drohte, den privaten Schlüssel zu löschen, wenn die Frist abgelaufen ist. Wenn die Frist nicht eingehalten wurde, bot die Malware an, Daten über einen von den Betreibern der Malware bereitgestellten Onlinedienst zu entschlüsseln. Dies allerdings zu erheblich höheren Kosten. Außerdem gab es keine Garantie, dass die Zahlung den verschlüsselten Inhalt wirklich freigab. Obwohl CryptoLocker selbst leicht zu entfernen war, blieben die betroffenen Dateien weiterhin verschlüsselt. Spezialisten hielten es für nicht möglich die Verschlüsselung zu knacken. Einige Spezialisten rieten dazu das Lösegeld nicht zu bezahlen, boten aber auch keine Möglichkeit an, die Dateien wiederherzustellen. Andere gaben an, dass das Bezahlen des Lösegelds die einzige Möglichkeit sei, nicht gesicherte Dateien wiederherzustellen. Einige betroffene Opfer gaben an trotz Bezahlung keine Entschlüsselung erhalten zu haben.


CryptoLocker wurde Ende Mai 2014 über die „Operation Tovar“ isoliert, wodurch das „Gameover ZeuS-Botnetz“, mit dem die Malware verbreitet wurde, heruntergefahren wurde. Eine beteiligte Sicherheitsfirma konnte die Datenbank der von CryptoLocker verwendeten privaten Schlüssel auslesen, und die Schlüssel zum Wiederherstellen der Dateien, ohne Zahlung des Lösegelds über ein Online-Tool, zur Verfügung stellen. Es wird angenommen, dass die Betreiber von CryptoLocker insgesamt rund 3 Millionen US-Dollar erfolgreich von den Opfern des Trojaners erpresst haben. [1]


Funktionsweise

CryptoLocker wurde in der Regel als Anhang an eine scheinbar harmlose E-Mail-Nachricht weitergegeben, die anscheinend von einem seriösen Unternehmen gesendet wurde. Eine an eine E-Mail-Nachricht angehängte ZIP-Datei enthielt eine ausführbare Datei mit dem Dateinamen und dem als PDF-Datei getarnten Symbol. Dabei wurde das Windows-Standardverhalten ausgenutzt, bei dem die Erweiterung vor Dateinamen verborgen wird, um die echte EXE-Erweiterung zu verbergen. Bei der ersten Ausführung wird die Payload selbst im Benutzerprofilordner installiert und fügt der Registrierung einen Schlüssel hinzu, durch den sie beim Start ausgeführt wird. Anschließend wird versucht, eine Verbindung zu einem von mehreren angegebenen Befehls- und Steuerungsservern herzustellen. Sobald die Verbindung hergestellt ist, generiert der Server ein 2048-Bit-RSA-Schlüsselpaar und sendet den öffentlichen Schlüssel zurück an den infizierten Computer. Der Server kann ein lokaler Proxy sein und andere Server durchlaufen, die häufig in verschiedenen Ländern platziert werden, um die Suche nach ihnen zu erschweren. Die Payload verschlüsselt dann Dateien auf lokalen Festplatten und zugeordneten Netzlaufwerken mit dem öffentlichen Schlüssel und protokollierte jede verschlüsselte Datei in einem Registrierungsschlüssel. Der Vorgang verschlüsselt nur Datendateien mit bestimmten Erweiterungen, einschließlich Microsoft Office, OpenDocument und anderen Dokumenten, Bildern und AutoCAD-Dateien. Die Payload zeigt eine Nachricht an, die den Benutzer darüber informiert, dass Dateien verschlüsselt wurden, und fordert eine Zahlung von 400 USD oder Euro über einen anonymen Prepaid-Bargeldgutschein oder einen entsprechenden Betrag in Bitcoin innerhalb von 72 oder 100 Stunden oder der private Schlüssel auf dem Server würde zerstört, und „niemand kann Dateien wiederherstellen“. Die Zahlung des Lösegelds ermöglicht es dem Benutzer, das Entschlüsselungsprogramm herunterzuladen, das mit dem privaten Schlüssel des Benutzers vorinstalliert ist. Im November 2013 haben die Betreiber von CryptoLocker einen Onlinedienst gestartet, bei dem sie angaben, dass Benutzer ihre Dateien ohne das CryptoLocker-Programm entschlüsseln und den Entschlüsselungsschlüssel nach Ablauf der Frist erwerben könnten. Der Prozess beinhaltete das Hochladen einer verschlüsselten Datei auf die Seite als Beispiel und das Warten, bis der Dienst eine Übereinstimmung findet. Die Website behauptete, dass eine Übereinstimmung innerhalb von 24 Stunden gefunden werden würde. Einmal gefunden, konnte der Benutzer den Schlüssel online bezahlen. Wenn die Frist von 72 Stunden abgelaufen war, stiegen die Kosten auf 10 Bitcoin.


Klone

Der Erfolg von CryptoLocker brachte eine Reihe von nicht verwandten und gleichnamigen Ransomware-Trojanern hervor, die im Wesentlichen auf die gleiche Art und Weise arbeiteten, darunter einige, die sich selbst als "CryptoLocker" bezeichneten.

  1. CryptoLocker, vgl. Wikipedia (2019): CryptoLocker. URL: https://en.wikipedia.org/wiki/CryptoLocker (Stand: 01.07.2019)