Wie Sie feststellen können, ob Sie von gefälschter Ransomware getroffen wurden

Im Gegensatz zu den meisten Malware ist Ransomware nicht heimlich. Es ist laut und widerlich, und wenn Sie infiziert wurden, werden die Angreifer Ihnen dies ohne Zweifel mitteilen. Immerhin wollen sie bezahlt werden.

"Ihre persönlichen Dateien sind verschlüsselt", ertönt die Meldung auf dem Computer. "Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden mit der stärksten Verschlüsselung und dem für diesen Computer generierten eindeutigen Schlüssel verschlüsselt." Obwohl die Sprache variieren kann, ist das Wesentliche dasselbe: Wenn Sie das Lösegeld nicht zahlen - normalerweise innerhalb von 48 bis 72 Stunden - werden Ihre Dateien abgespritzt.

Oder sind Sie? Es besteht eine geringe Wahrscheinlichkeit, dass die Täter versuchen, Sie zu fälschen, und die Dateien wurden nicht verschlüsselt. Laut Branchenexperten ist dies kein alltägliches Szenario. Anstatt zu zahlen, können Sie die gruselige falsche Nachricht umgehen und mit Ihrem Tag fortfahren.

„Es gibt eine Reihe von Beispielen, bei denen keine echte Verschlüsselung auftritt. Stattdessen verlassen sich Cyberkriminelle auf den Social-Engineering-Rand des Angriffs, um die Menschen zur Zahlung zu bewegen “, warnt Grayson Milbourne, Director of Security Intelligence bei Webroot.

Ist es echt oder falsch?

Es dauert nur wenige Sekunden, um zu bestätigen, ob es sich um eine echte Infektion oder einen Social-Engineering-Betrug handelt.

Wenn die Lösegeldforderung den Namen der Lösegeldsoftware enthält, gibt es kein Rätsel, und Sie sind in Schwierigkeiten. Zu den Ransomware-Familien, die sich identifizieren, gehört Linux.Encoder - die erste Linux-basierte Ransomware - mit der eindeutigen Aufschrift "Encrypted by Linux.Encoder". CoinVault identifiziert sich durch Auflistung der Support-E-Mail-Adresse. TeslaCrypt und CTB-Locker gehören ebenfalls zu den bekannten Ransomware-Familien, die Ihnen mitteilen, wer Ihre Dateien als Geiseln hält.

Aber es gibt viele Lösegeldspiele, die sich nicht mit Namen beschäftigen. Beispielsweise hat CryptoLocker lediglich gewarnt, dass Ihre Dateien verschlüsselt wurden und ihren Namen nie zur Schau gestellt haben. Stattdessen müssen Sie nach anderen Hinweisen suchen: Gibt es eine Support-E-Mail-Adresse? Durchsuchen Sie das Internet nach der Bitcoin-Zahlungsadresse oder der tatsächlichen Lösegeldnachricht und sehen Sie, was in Foren oder von Sicherheitsforschern angezeigt wird.  

Wenn Sie die Ransomware nicht identifizieren können, besteht die Möglichkeit, dass sie gefälscht ist. In solchen Fällen werden Ihre Dateien nicht tatsächlich verschlüsselt. Der Angreifer zeigt einfach eine beängstigende Nachricht an und sperrt den Bildschirm. Die Lösegeldforderung wird normalerweise in einem Browserfenster angezeigt und lässt den Benutzer nicht weg navigieren. Sie sperrt den Bildschirm und zeigt ein Dialogfeld an, in dem Sie nach einem Verschlüsselungsschlüssel gefragt werden. Da das Opfer die Nachricht nicht schließen kann, sieht sie echt aus.

Wenn es möglich ist, den Bildschirm mit wichtigen Befehlen wie Alt-F4 unter Windows und Command-W unter Mac OS X zu schließen, ist die Lösegeldforderung falsch. Oder versuchen Sie, das Gerät zwangsweise neu zu starten, und prüfen Sie, ob die Meldung nicht mehr angezeigt wird.

Ransomware neigt dazu, den Dateinamen im Rahmen des Verschlüsselungsprozesses zu ändern. Locky fügt allen Dokumenten eine .lock-Dateierweiterung hinzu, während CryptXXX die .crypt-Dateierweiterung verwendet. Durchsuchen Sie die Dateien und sehen Sie, welche Dateien geändert wurden. Überprüfen Sie, ob Sie sie noch öffnen können oder ob Sie die Dateierweiterungen wieder ändern und die Dateien öffnen können. Manchmal wurden die Dateierweiterungen geändert, ohne die Dateien tatsächlich zu verschlüsseln.

Kehren Sie mit einer Linux Live-CD zum System zurück und durchsuchen Sie das System, um festzustellen, ob die tatsächlichen Dateien verschoben oder umbenannt wurden. Die meisten modernen Betriebssysteme können den Inhalt der Datei zusammen mit Dateinamen durchsuchen.

Machen Sie sich keine allzu großen Hoffnungen

Es ist zwar gut, skeptisch zu sein, aber wenn Sie eine Lösegeldforderung sehen, ist dies wahrscheinlich legitim. Dank Crimeware-Kits, die mit Ransomware und Ransomware als Service vorinstalliert sind, ist die Eintrittsbarriere viel geringer. Script Kiddies und andere weniger technisch veranlagte Kriminelle versuchen, auf den Erfolg echter Ransomware-Banden zurückzugreifen, ohne die Arbeit zu investieren.

"Die Einfachheit des Kaufs Ihrer Krypto-Malware bei einem Crime-as-a-Service-Anbieter bedeutet jetzt, dass Cyberkriminelle problemlos einen Ransomware-Angriff durchführen können, bei dem komplexe und effektive Verschlüsselung für ihre Ziele verwendet wird", sagt Orlando Scott-Cowley, Cyber-Sicherheitsstratege bei Mimecast .

Ransomware-Infektionen stellen eine ernsthafte Bedrohung dar und gefälschte Angriffe sind relativ selten. Stellen Sie jedoch sicher, dass Sie nicht betrogen werden, bevor Sie mit dem Wiederherstellen Ihres Computers beginnen, um sich von einer Ransomware-Infektion zu erholen. Es dauert nur wenige Minuten.

Wenn sich herausstellt, dass Sie Opfer der Realität geworden sind, haben Sie möglicherweise eine weitere geringe Chance: öffentlich verfügbare Entschlüsselungswerkzeuge.