Apocalypse – Ransomware greift Unternehmen über unsicheres Netzwerkprotokoll an

  • 29. Juni 2016
  • 5 min Lesezeit


2016 scheint offensichtlich das Jahr der Ransomware zu sein. Da überrascht es nicht, dass nahezu wöchentlich neue Varianten hinzukommen. Doch Emsisoft ist schon seit Jahren ganz vorn dabei, um dieses Problem zu bekämpfen. Wir bieten unseren Anwendern unter anderem wertvolle Tools zum Wiederherstellen ihrer Dateien nach einem Ransomware-Angriff. Entsprechend sehen sich die Emsisoft-Experten oftmals wütenden Hasstiraden der Ransomware-Entwickler ausgesetzt. Ende letzten Jahres schrieben wir über Radamant, dessen Entwickler einige unfreundliche Nachrichten in das Programm integriert hatten, nachdem unser Team das amateurhafte Schadprogramm geknackt hatte. Heute möchten wir Sie über die neue Ransomware-Familie Apocalypse informieren, die seit ungefähr zwei Monaten ihr Unwesen treibt und nun ebenfalls unser Team beschimpft.

newsletter_apocalypse

Hier kommt Apocalypse

Die Apocalypse-Ransomware wurde erstmals am 9. Mai bemerkt. Für ihren Angriff nutzt die Malware schwache Kennwörter auf unsicher konfigurierten Windows-Servern, die den Remotedesktopdienst ausführen. Angreifer können so mithilfe eines Brute-Force-Angriffes Zugang und Kontrolle über das System erlangen, als wären sie vor Ort. Der Missbrauch von Remotedesktop hat in den vergangenen Monaten erschreckend zugenommen, insbesondere durch den Einsatz von Apocalypse.

Erste Versionen installieren sich als windowsupdate.exe in den Ordner %appdata% und erstellen in der Registrierung unter HKEY_CURRENT_USER und HKEY_LOCAL_MACHINE einen Run-Schlüsseleintrag namens windows update. Diese Versionen machen sich die Erweiterung .encrypted zunutze. Für jede verschlüsselte Datei wird eine Erpressermitteilung mit dem Titel [Dateiname].How_To_Decrypt.txt erstellt. Als E-Mail-Adressen werden [email protected], [email protected], [email protected] und [email protected] angegeben.

Am 9. Juni wurde eine weitere Version von Apocalypse mit einigen Abwandlungen entdeckt. Bei ihr wird die windowsupdate.exe in den Ordner %ProgramFiles% installiert, der erstellte Run-Schlüsseleintrag heißt windows update svc und als E-Mail-Adresse wird [email protected] verwendet.

Die neueste bekannte Version wurde am 22. Juni gefunden. Sie nutzt jedoch nicht mehr Windowsupdate, sondern installiert sich als firefox.exe in den Ordner %ProgramFiles%. Der erstellte Run-Schlüsseleintrag heißt jetzt firefox update checker und die neue Erweiterung ist .SecureCrypted. Auch die Erpressermitteilung hat mit [Dateiname].Contact_Here_To_Recover_Your_Files.txt einen neuen Namen bekommen und nutzt nun die E-Mail-Adresse [email protected].

Ein genauerer Blick auf die neueste Variante

Damit Sie besser nachvollziehen können, wie Apocalypse funktioniert, werfen wir einen genaueren Blick auf die neueste Variante mit dem Hash AC70F2517698CA81BF161645413F168C. Zunächst überprüft die Ransomware das System auf seine Standardsprache. Sollte diese auf Russisch, Ukrainisch oder Weißrussisch eingestellt sein, wird die Software beendet und verschlüsselt nichts.

Im Falle einer anderen Sprache und sofern es die Datei noch nicht gibt, kopiert sie eine firefox.exe in den Ordner %ProgramFiles%. Außerdem erstellt sie die versteckten und Systemattribute und verfälscht ihren Zeitstempel, indem sie den der explorer.exe verwendet. Anschließend wird der Run-Schlüsseleintrag erstellt, damit die Ransomware bei jedem Systemstart ausgeführt wird:

Erstellen des Run-Schlüsseleintrags

Erstellen des Run-Schlüsseleintrags

Nach Abschluss der Installation wird die neu erstellte firefox.exe ausgeführt, die dann die ursprünglich Datei löscht. Darüber hinaus führt sie zwei Aufgaben gleichzeitig aus: Zum einen überprüft sie regelmäßig, ob bestimmte Windows-Prozesse laufen und beendet diese dann. Zum anderen führt sie die Verschlüsselungsroutine durch, wofür Sie eine Liste aller lokalen, Wechsel- und Remotenetzlaufwerke erstellt. (Die Letztgenannten werden jedoch aufgrund eines Fehlers in der Ransomware nicht verschlüsselt.) Dann werden alle Ordner durchsucht und die gefundenen Dateien verschlüsselt.

Die Malware verschlüsselt jedoch keine Dateien, die mit den folgenden Erweiterungen enden:

Dateien im Ordner Windows werden ebenfalls übersprungen.

Zum Verschlüsseln einer Datei überprüft die Ransomware, ob diese bereits verschlüsselt ist, indem sie die ersten 4 Bytes der Datei mit der magischen Zahl 0xD03C2A77 abgleicht. Sollte sie unverschlüsselt sein, wird der Inhalt der im Speicher abgelegten Datei mithilfe eines XOR-Algorithmus verschlüsselt.

Beispiel für eine Verschlüsselungsschleife von Apocalypse

Beispiel für eine Verschlüsselungsschleife von Apocalypse

Der genaue Algorithmus ist von Version zu Version leicht unterschiedlich. Die magische Zahl und der verschlüsselte Inhalt werden schließlich in eine Datei geschrieben, deren Name die Endung .SecureCrypted erhält. Vor dem Schließen der Datei wird der ursprüngliche Zeitstempel wiederhergestellt und folgende Erpressermitteilung für die Datei erstellt (ins Deutsche übersetzt):

A L L E I H R E D A T E I E N S I N D V E R S C H L U E S S E L T

Alle Ihre Daten – Dokumente, Fotos, Videos, Sicherungen – wurden verschlüsselt.

Es gibt nur einen Weg, die Dateien wiederherzustellen: Schreiben Sie uns eine E-Mail an [email protected]

Die E-Mail muss Folgendes enthalten:
1. Text-Datei mit Ihr IP-Server als Betreff (zum Auffinden Ihres Verschlüsselungsalgorithmus)
2. 1–2 verschlüsselte Dateien (bitte keine Dateien größer als 1 MB)

Wir werden die Dateien überprüfen und Ihnen eine E-Mail mit der
entschlüsselten DATEI als Beweis senden, dass wir tatsächlich die Software zum Entschlüsseln haben.

Denken Sie daran:
1. Je SCHNELLER Sie MIT UNS KONTAKT AUFNEHMEN – umso SCHNELLER werden Sie Ihre Dateien WIEDERHERSTELLEN.
2. Wir werden E-Mails ignorieren, bei denen kein IP-Server im Betreff steht.
3. Sollten Sie innerhalb von 24 Stunden keine Antwort von uns erhalten – schreiben Sie uns über einen öffentlichen E-Mail-Dienst, wie Yahoo! oder dergleichen.

Die Ransomware öffnet außerdem ein Fenster, das dem Benutzer eine ähnliche Erpressermitteilung anzeigt:

Eine Meldung, die dem Benutzer von der Ransomware angezeigt wird

Eine Meldung, die dem Benutzer von der Ransomware angezeigt wird

Interessant an diesem Fenster ist, dass in dem zum Erstellen verwendeten Code von dem Ransomware-Entwickler eine Nachricht an Emsisoft versteckt ist:

Der Apocalypse-Entwickler beschimpft „Emissoft“

Der Apocalypse-Entwickler beschimpft „Emissoft“

Wie auch bisher erachten wir derartige Nachrichten als eine Wertschätzung unserer Arbeit und damit als ein ungewolltes Kompliment.

Wie kann ich meine mit der Ransomware verschlüsselten Dateien wieder entschlüsseln?

Wie auch für viele andere Ransomware-Familien bietet Emsisoft für alle Apocalypse-Opfer ein kostenloses Entschlüsselungstool zum Entschlüsseln Ihrer Dateien.

Das Apocalypse-Entschlüsselungstool von Emsisoft in Aktion

Das Apocalypse-Entschlüsselungstool von Emsisoft in Aktion

Das Entschlüsselungstool kann über unsere Seite Emsisoft Decrypter heruntergeladen werden.

Wie können Sie sich schützen?

Aufgrund der verwendeten Angriffsmethode ist Schutzsoftware kaum wirksam. Sollte der Angreifer per Fernsteuerung Zugriff auf das System erlangen, kann er jegliche installierten Schutzmaßnahmen deaktivieren oder die Malware zu den entsprechenden Ausschlusslisten hinzufügen. Daher ist es wichtig, den Angreifer daran zu hindern, dass er gar nicht erst auf das System zugreifen kann.

Die wohl beste Verteidigung ist eine angemessene Kennwortrichtlinie, die von allen Benutzerkonten mit Fernzugriff auf das System unbedingt einzuhalten ist. Dies gilt natürlich auch für selten verwendete Konten, die nur zu Testzwecken oder von Anwendungen erstellt wurden.

Noch besser ist die Deaktivierung der Remotedesktop- oder Terminaldienste, wenn sie nicht verwendet werden. Anderenfalls lassen sich auf IP-Adressen basierende Beschränkungen einrichten, damit wirklich nur vertrauenswürdige Netzwerke auf diese Dienste zugreifen können.

 

Übersetzt von Doreen Schäfer

Sarah

Weitere Artikel