PwndLocker ist eine neue Variante eines Erpressungstrojaners, der bereits seit 2019 verbreitet wird. Die Ransomware hat sich auf Unternehmen und Verwaltungsbehörden wie Gemeinden und Städte spezialisiert. Lösegeldforderungen werden im Bereich von mehreren hunderttausend Euro bzw. Dollar gestellt und sollen, wie bei diesen Attacken üblich, in Bitcoin beglichen werden. Mit der Drohung, Daten zu veröffentlichen, wird der Forderung Nachdruck verliehen. In einzelnen Fällen wurde diese Drohung bereits wahrgemacht.
Fortgeschrittene Schadsoftware mit Fokus auf Windows
Die Programmierer von PwndLocker haben ausgefeilte Routinen entwickelt, um maximalen Schaden anzurichten. Betroffene Systeme werden auf Anwendungen und Applikationen überprüft, die wichtige Geschäftsdaten enthalten könnten. Gleichzeitig wird versucht, Sicherheitsprogramme zu deaktivieren und Versionierungen sowie Sicherheitskopien unbrauchbar zu machen. PwndLocker stellt somit eine sehr fortgeschrittene Version bekannter Ransomware-Varianten dar und ist durch seinen gezielten Einsatz für potenzielle Opfer sehr gefährlich!
Nach genauer Analyse: Schwachstelle entdeckt
In der Stadtverwaltung von Novi Sad (Serbien) hat PwndLocker ca. 50 Terrabyte an Daten verschlüsselt. Der Sicherheitsspezialist Fabian Wosar von Emisoft entdeckte nach Auswertung mehrerer Systeme einen Fehler in der ausführbaren Datei, die für jedes Opfer individuell zum Einsatz kommt: Entweder wurden die verwendeten Schlüssel schlecht geschützt oder es wurde in der Routine vergessen, sie für das Opfer unwiederbringlich zu vernichten. Dank dieses Fehlers können die verschlüsselten Daten nun auch ohne Bezahlung des Lösegelds wiederhergestellt werden.[1]
Richtiges Verhalten bei Ransomware-Angriffen ist wichtig
Der Schadsoftware-Code ist bei PwndLocker für jedes Opfer individuell angepasst bzw. enthält individuelle Informationen – genau diese werden zum Entschlüsseln der Daten benötigt. Einige Betroffene haben jedoch versucht, nach der Infektion sofort alle Daten, die mit der Attacke in Zusammenhang stehen, vom System zu entfernen. Dabei werden jedoch auch genau die wichtigen Informationen, die zur Wiederherstellung benötigt werden, vernichtet.
Die empfohlene Vorgehensweise bei einer Infektion beginnt daher wie immer:
- Trennen Sie das System so schnell als möglich von der Kommunikation (Netzwerk, Internet, lokales LAN, WiFi, …)
- Erstellen Sie zuerst möglichst schnell eine komplette externe Sicherheitskopie/ein Abbild des betroffenen Systems, um viele nutzbare Daten des Angriffs zu erhalten.
Mit einer solchen Kopie ist es mit etwas Glück später möglich, Daten ohne Bezahlung wiederherzustellen. Denn auch in Schadsoftware werden häufig nachträglich Fehler und Schwachstellen entdeckt.
Mehr Tipps zum richtigen Umgang mit Ransomware-Infektionen finden Sie auch unserem Beitrag: Fünf erste Schritte bei Ransomware-Attacken
[1] https://www.bleepingcomputer.com/news/security/pwndlocker-ransomware-gets-pwned-decryption-now-available/