Jeder Besucher der World Health Organization’s AIDS Konferenz 1989, der vom Biologen Joseph L. Popp eine Diskette mit dem Namen AIDS Information Introductory Diskette erhalten und verwendet hatte, erlebte beim 90. Startvorgang nach dem Einlesen der Diskette eine unerfreuliche Überraschung. Anstelle des gewohnten DOS Prompts wurde die folgende Meldung angezeigt:

ATTENTION I have been elected to inform you that throughout your process of :collecting and executing files, you have accdientally (sic) ¶HÜ¢KΣ► [PHUCKED] :yourself over: again, that's PHUCKED yourself over. No, it cannot be; YES, it CAN be, :a √ìτûs [virus] has infected your system. Now what do you have to say about that? :HAHAHAHAHA. Have ¶HÜÑ [PHUN] with this one and remember, there is NO cure for AIDS.

Nebst dieser Warnung wurde dem Benutzer mitgeteilt, dass er nun die Firma PC Cyborg Corporation kontaktieren und die Lizenzgebühr im Wert von 189 USD an ein Postfach in Panama überweisen soll. Wenn ein Benutzer dieser Forderung nicht nachgekommen ist, wurden auf der Systempartition C: die Verzeichnisse versteckt und die Dateinamen verschlüsselt.

Die Geschichte nahm für die Benutzer jedoch ein gutes Ende. Joseph L. Popp wurde überführt und verhaftet, aber nie verurteilt. Er plädierte auf Unzurechnungsfähigkeit. Heute leitet er mit seiner Tochter zusammen ein Schmetterlingskonservatorium. Jim Bates, ein IT-Forensiker aus Grossbritannien, veröffentlichte im Virus Bulletin Januar 1990 ein Programm, das die Daten wieder entschlüsseln konnte.

Bei AIDS oder PC Cyborg Trojan handelt es sich um ein trojanisches Pferd, das als erste bekannte Schadsoftware der Klasse Ransomware gilt. Die Bezeichnung Ransomware setzt sich aus den Begriffen ransom (Lösegeld) und ware (Benennungsschema im Computerumfeld wie Software, Hardware) zusammen. Der Begriff beschreibt ein Schadprogramm, das Daten eines Computers so manipuliert, sodass Nutzer nicht mehr auf sie zugreifen oder sie anderweitig nutzen können. Für die Entschlüsselung wird ein Lösegeld gefordert.

Dieser Labs bietet einen Einblick in die Funktionsweise der aktuellen Ransomware CryptoWall und gibt Tipps für die Prävention und das Verhalten bei einer Infektion.

CryptoLocker

Der Ursprung CryptoWalls liegt hauptsächlich bei einer Schadsoftware namens CryptoLocker. Manchmal wird CryptoWall auch noch als CryptoLocker bezeichnet, obwohl beide in der technischen Umsetzung keine Gemeinsamkeiten aufweisen. Sie teilen jedoch das Prinzip der Verschlüsselung und der Lösegeldforderung. Wer genau hinter den Ransomware-Attacken steckt, ist unbekannt. Vermutungen beinhalten aber, dass es sich um Menschen handelt, die im Gebiet der ehemaligen Sowjetunion operieren.

CryptoLocker wurde zum ersten Mal am 5. September 2013 im Internet beobachtet. Die Verbreitung fand über E-Mail-Attachments und das Botnet Gameover ZeuS statt. Nach der Infizierung verschlüsselte CryptoLocker mittels des RSA-Public-Key-Verfahren die Daten auf lokalen und Netzwerk-Laufwerken. Es wurde ein 2048 Bit Schlüsselpaar eingesetzt, der Private Key befand sich auf einem Command and Control (C&C) Server und nur der Public Key wurde auf dem Client-Computer abgelegt.

CryptoLocker suchte nach Dateien mit den folgenden Dateiendungen:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Danach verschlüsselte CryptoLocker diese und verlangte von seinen Opfern eine Zahlung von 400 USD, zahlbar in Prepaid Cash-Karten oder Bitcoin. Symantec schätzt, dass etwa 3% der betroffenen Benutzer das Lösegeld bezahlt haben.

Im Mai 2014 wurde in einer koordinierten Operation namens Tovar vom United States Department of Justice, dem FBI, Interpol und mehreren Firmen der IT-Sicherheitsindustrie das Botnet Gameover ZeuS abgestellt, und somit die Kommunikation zwischen CryptoLocker-Client und C&C-Server unterbrochen. Die Firmen Fox-IT und FireEye fanden zudem die Datenbank mit den RSA-Private-Keys und stellten ein Online-Tool namens Decrypt CryptoLocker zur Verfügung, das zur Entschlüsselung der Dateien genutzt werden konnte. Die Seite ist mittlerweile nicht mehr im Betrieb.

CryptoWall 3.0 (Crowti)

Die dritte Version von CryptoWall, manchmal Crowti genannt, erschien zum ersten Mal im Januar 2015 und wies gegenüber CryptoLocker und früheren Versionen von CryptoWall einige Verbesserungen auf. Bereits seit der Version 2.0 verfügte CryptoWall über Abwehrmechanismen wie die Erkennung des Einsatzes einer virtuellen Maschine (VM). Wenn CryptoWall in einer VM ausgeführt wird, löscht sich die ausführbare Datei selbst und infiziert die VM nicht. Dieses Vorgehen soll die Analyse des Schadcodes erschweren.

Die Kommunikation mit den C&C Servern ist durch RC4 verschlüsselt und es wird das I2P-Protokoll verwendet. Diese Massnahmen führen dazu, dass die Kommunikation von CryptoWall schwerer zu erkennen ist. Es gibt zudem Versionen der Schadsoftware, die über eine Digitale Signatur aufweisen und somit über einen höheren Vertrauensgrad in Computersystemen verfügen.

Die Lösegeldforderung wurde angepasst, es wird eine Summe von 500 USD gefordert. Die Forderung verdoppelt sich nach sieben Tagen. Das Opfer muss zur Zahlung der Summe auf eine Seite im Tor-Netzwerk zugreifen. Der Forderung wird in unterschiedlichen Datenformaten unter anderem auf dem Desktop des Opfers abgelegt, die Dateinamen lauten:

• HELP_DECRYPT.HTML
• HELP_DECRYPT.PNG
• HELP_DECRYPT.TXT
• HELP_DECRYPT.URL

Die Verbreitung von CryptoWall erfolgte unter anderem über eine Fake-E-Mail-Kampagne von JPMorgan Chase & Co.. Diese E-Mail enthielt im Anhang ein RAR-Archiv oder teilweise auch eine Datei im Format Microsoft Compiled HTML Help (CHM). Nach dem Öffnen wird die aktuellste CryptoWall Version von einem Server heruntergeladen, ausgeführt und danach die gefundenen Daten verschlüsselt. Alle verschlüsselten Dateien enthalten nun die Dateiendung .ccc:

Die Cyber Threat Alliance schätzte den Umsatz, der mit CryptoWall 3.0 erzielt wurde, auf 325 Millionen USD.

CryptoWall 4.0

Die vierte Version von CryptoWall erschien Anfangs November und brachte weitere Verbesserungen mit sich. Einerseits wurden weitere Gegenmassnahmen gegen die Erkennung von Antivirenlösungen umgesetzt und andererseits die Kommunikation mit den C&C-Server verbessert. Neben der Verschlüsselung von Dateien werden nun auch die Dateinamen verschlüsselt, was eine Wiederherstellung zusätzlich erschwert.

Die Verbreitung erfolgt dieses Mal über eine JavaScript-Datei im Attachment einer E-Mail, die wiederum die eigentliche Schadsoftware herunterlädt. Interessant an der vierten Version ist, dass CryptoWall laut Fortinet über eine Liste von Tastaturlayouts sowie Ländern (unter anderem Russland und Ukraine) enthält, bei welchen keine Infektion stattfindet.

Der Erpressungshinweis wird in dreifacher Form in unterschiedlichen Datenformaten unter anderem auf dem Desktop des Opfers abgelegt, die Daten lauten:

• HELP_YOUR_FILES.HTML
• HELP_YOUR_FILES.PNG
• HELP_YOUR_FILES.TXT

Der Text wurde zur Version 3.0 leicht überarbeitet und die Lösegeldforderung auf 700 USD erhöht:

Der Security Researcher Michael Fratello stellt auf seiner Website Informationen und ein aktuelles Sample der CryptoWall Version 4 zur Verfügung. Ich habe die Datei analitics.exe heruntergeladen und in meiner Testumgebung verschiedene Tests damit durchgeführt.

Die Testumgebung besteht aus einer Windows-Domain mit einem Windows 8.1 Client. Der Benutzer hat einige Dokumente lokal gespeichert und hat zusätzlich Zugriff auf eine Netzwerkfreigabe. Auf dieser Freigabe wurde das Speichern von Shadow Copy aktiviert. Zudem wurde auf dem Client ein Restorepoint vor Ausführung der Schadsoftware erstellt.

Nach der Ausführung der EXE injiziert sich CryptoWall in den Explorer.exe-Prozess und löscht die ursprüngliche Datei. Es werden Kopien der EXE-Datei unter anderem in das Verzeichnis C:\Windows\Prefetch abgelegt. Danach beginnt CryptoWall mit der Verschlüsselung der Dateien und legt die erwähnten Hinweise auf dem Desktop und in anderen Verzeichnissen ab.

Der Screenshot zeigt eine PDF-Datei, die erst nach der ersten Ausführung im Verzeichnis abgelegt wurde. Dies zeigt, dass im Hintergrund kein Prozess läuft, der neue Dateien andauernd verschlüsselt. Es kann aber sein, dass die Ransomware von Zeit zu Zeit die Laufwerke nochmals untersucht und den Verschlüsselungsvorgang nochmals startet.

Im ersten Test mit einem Benutzer, der nur Mitglied der Gruppe Domain User war und nicht über administrative Rechte verfügte, wurden nur lokale Dateien verschlüsselt. Das Netzlaufwerk war nicht betroffen und der angelegte Restorepoint war ebenfalls noch vorhanden. Der Restorepoint stellt aber nur Systemdateien her, die Dateien selbst blieben auch nach einer Wiederherstellung verschlüsselt.

Im zweiten Test wurde derselbe Benutzer in die Gruppe Domain Admins aufgenommen. Wiederum wurden nur lokale Daten verschlüsselt, aber diesmal wurde auch der Restorepoint gelöscht und CryptoWall nutzte das Windows-Programm vssadmin, um vorhandene Shadow Copies zu löschen.

Die CryptoWall-Exe wurde explizit als Administrator ausgeführt (Run as administrator). Dank den restriktiven Einstellungen der Funktion User Account Control (Separation zwischen Benutzer und administrativen Accounts) hatte die ausführbare Datei keinen Zugriff auf die verbundenen Netzlaufwerke des Benutzers.

Im dritten Test wurde die Separation aufgehoben und die Netzwerkfreigabe war auch als administrativer Benutzer verfügbar. Nun wurden nicht nur die lokalen Daten, sondern auch die Daten auf der Netzwerkfreigabe verschlüsselt. Es waren nur die Daten betroffen, auf die der Benutzer Zugriff hatte. CryptoWall unternahm keinen Versuch sich zusätzliche Rechte zu verschaffen, obwohl dies mit den Berechtigungen als Domain Admin grundsätzlich möglich wäre. Bei den verschlüsselten Dateien war keine frühere Version mehr verfügbar, diese wurden von der Schadsoftware gelöscht. Die Shadow Copies des übergeordneten Verzeichnisses waren jedoch noch vorhanden und so wäre eine Wiederherstellung noch möglich.

Aufgrund der durchgeführten Tests komme ich zum Schluss das CryptoWall in der Version 4.0 vorwiegend auf Privatanwender zielt, die in der Regel mit lokalen Administrationsrechten arbeiten. Durch das Löschen der Restorepoints und Shadow Copies wird die Wiederherstellung erschwert und wenn die Daten nicht als Offline-Backup vorliegen, besteht nur wenig Hoffnung. Es sei denn, der Nutzer zahlt das Lösegeld.

Durch die Erkennung von verbundenen Netzlaufwerken ist CryptoWall auch in der Lage Daten ausserhalb des Computers zu verschlüsseln. Ebenso können Cloud-Dienste wie Dropbox betroffen sein, falls diese mit dem Computer verbunden sind. In den durchgeführten Tests konnte ich keine Versuche der Enumeration weiterer Freigaben im Netzwerk identifizieren. Aus technischer Sicht wäre diese Funktion relativ einfach zu implementieren und würde die Ausbreitung und das Schadenpotential von CryptoWall um ein vielfaches erhöhen.

Prävention und Verhaltensstrategien bei Infektion

Ich teile das Kapitel in die Sektionen Privatanwender und Business, da die vorhandenen Mittel und Möglichkeiten derart unterschiedlich sind, sodass eine einheitliche Aussage und Empfehlung nicht möglich ist.

Private Anwender

Für den Privatanwender ist einer der wichtigsten Punkte das Offline-Backup seiner Daten. Dies ist zugleich der meist unterschätzte Punkt, da die wenigsten Privatanwender ein regelmässiges Backup der Daten durchführen. Im Falle einer Infektion mit CryptoWall oder einer anderen Schadsoftware ist ein Backup auf einem externen Datenträger jedoch Gold wert und ermöglicht ein einfaches Wiederherstellen der Daten sowie die Rückkehr zum Normalbetrieb.

Als Prävention für Privatanwender ist es ebenso wichtig, regelmässig Updates für das Betriebssystem und die eingesetzten Programme zu installieren sowie eine aktuelle Antiviren-Software einzusetzen. Beachten Sie, dass die Antiviren-Software kein Garant für die Sicherheit ist, da nur bekannte Schadsoftware erkannt wird. Vor allem wenn eine neue Version einer Malware veröffentlicht wird, kann es sein, dass die Antiviren-Lösung diese nicht gleich erkennt. Daher ist es wichtig, dass nicht jede Datei oder jeder Link ohne weiteres angeklickt und ausgeführt wird. Daneben lohnt es sich mit einem Benutzeraccount zu arbeiten, der nicht über administrative Rechte verfügt oder zumindest die User Access Control (UAC) auf der Stufe Default – Always notify zu betreiben.

Wenn trotz aller Vorsichtsmassnahmen der Computer infiziert ist, gilt als erstes nicht in Panik zu verfallen, um Kurzschlusshandlungen zu vermeiden, die unter anderem das Wiederherstellen von Daten unnötig erschweren. Der betroffene Computer sollte als erste Handlung isoliert, sprich vom Netzwerk/Internet getrennt werden, um eine allfällige Verbreitung der Schadsoftware zu verhindern (andere Computer, Netzwerkspeicher oder Cloud-Dienste). Sobald ein Computer mit CryptoWall infiziert ist, hat ein Benutzer wie auch der Administrator nur wenige Möglichkeiten.

Falls die Schadsoftware auf dem Computer entfernt werden konnte, ist das nur der erste Schritt. Die Daten sind jedoch weiterhin verschlüsselt. Es wurde bis anhin kein Weg gefunden, die Dateien ohne den passenden Private Key wieder zu entschlüsseln. Aufgrund der verwendeten Schlüssellänge von 2048 Bit ist der Versuch von Brute-Force-Angriffen ein nahezu unmögliches Unterfangen. Es bleibt am Ende nur die Möglichkeit das infizierte System neu zu installieren und die Daten wiederherzustellen. Falls Daten auf Cloud-Diensten wie Dropbox ebenfalls betroffen sind, gibt es im Falle von Dropbox die Funktion der Versionierung. Damit kann eine frühere Version der Datei wiederhergestellt werden, bevor diese durch die Schadsoftware verschlüsselt wurde.

Business User

Auch im Business-Umfeld spielt im Falle von Schadsoftware der Backupprozess eine zentrale Rolle. Dies versteht sich einschliesslich Dokumentation des Prozesses sowie regelmässige Wiederherstellungstests. Es lohnt sich auch hier eine Offline-Lösung zu haben, da je nach Schadsoftware-Befall die Möglichkeit besteht, dass auch Volume Shadow Copies gelöscht oder unbrauchbar gemacht werden. Die Gegenmassnahmen werden idealerweise in Schichten aufgebaut.

Die erste Schicht ist die Kontrolle der eingehenden Daten über Web oder E-Mail. Hier sollten alle Daten auf Schadsoftware überprüft werden und im Falle von E-Mail ein restriktives Regelwerk für erlaubte Dateianhänge erstellt werden.

Die zweite Schicht betrifft den Client-Computer, analog zu den Privatanwendern sollten regelmässig Updates eingespielt werden und eine Antivirenlösung im Einsatz sein. Zudem sollten normale Anwender nicht über administrative Berechtigungen verfügen. Als weiterer Schritt empfiehlt es sich eine White-List für erlaubte Anwendungen zu definieren (beispielsweise mit AppLocker), um sicherzustellen, dass nur erwünschte Anwendungen ausgeführt werden.

Auf der Serverseite, vor allem dem Dateiserver lohnt es sich ein restriktives Berechtigungskonzept umzusetzen, sodass die Benutzer nur auf die notwendigen Daten Zugang haben und im Falle einer Infektion nicht die Möglichkeit besteht, dass ein Benutzer Zugang zum ganzen Datenbestand hat. Zugleich lohnt es sich die Datenlaufwerke auf bekannte Dateinamen wie HELP_YOUR_FILES* zu durchsuchen, um eine allfällige Infektion von Benutzern zu erkennen. Falls ein Computer mit Schadsoftware infiziert wurde, sollte dieser auch isoliert und anschliessend neu aufgesetzt werden. So kann ein Übergriff auf das Firmennetzwerk verhindert werden.

Die vorgeschlagenen technischen Massnahmen bieten einen grundlegenden Schutz gegen Schadsoftware. Dennoch ist es essentiell, dass jeder Anwender über die notwendige Awareness verfügt und mit einer gewissen Vorsicht am Computer agiert. Dies erspart einiges an Ärger, Aufwand und bewahrt schlussendlich vor Verlust von wichtigen Daten.

Über den Autor

Michael Schneider arbeitet seit dem Jahr 2000 in der IT. Im Jahr 2010 hat er sich auf die Informationssicherheit spezialisiert. Zu seinen Aufgaben gehören das Penetration Testing, Hardening und das Aufspüren von Schwachstellen in Betriebssystemen. Er ist bekannt für eine Vielzahl in PowerShell geschriebener Tools zum Finden, Ausnutzen und Beheben von Schwachstellen. (ORCID 0000-0003-0772-9761)

Links

• http://blog.fortinet.com/post/keeping-pace-with-cryptowall
• http://malware-traffic-analysis.net/2015/11/05/index2.html
• http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html
• http://research.zscaler.com/2015/06/signed-cryptowall-30-variant-delivered.html
• http://www.darkreading.com/endpoint/with-$325-million-in-extorted-payments-cryptowall-3-highlights-ransomware-threat/d/d-id/1322899
• http://www.poppbutterflyconservatory.com/
• http://www.theguardian.com/money/2013/oct/19/cryptolocker-attacks-computer-Ransomware
• https://en.wikipedia.org/wiki/Operation_Tovar
• https://heimdalsecurity.com/blog/security-alert-cryptowall-4-0-new-enhanced-and-more-difficult-to-detect/
• https://techhelplist.com/index.php/spam-list/834-you-have-a-new-encrypted-message-from-jpmorgan-chase-co-malware
• https://www.knowbe4.com/aids-trojan
• https://www.virusbtn.com/pdf/magazine/1990/199001.pdf