Ransomware PwndLocker: Daten wiederherstellen ohne Lösegeld zu bezahlen

29. März, 2020

PwndLocker ist eine neue Variante eines Erpressungstrojaners, der bereits seit 2019 verbreitet wird. Die Ransomware hat sich auf Unternehmen und Verwaltungsbehörden wie Gemeinden und Städte spezialisiert. Lösegeldforderungen werden im Bereich von mehreren hunderttausend Euro bzw. Dollar gestellt und sollen, wie bei diesen Attacken üblich, in Bitcoin beglichen werden. Mit der Drohung, Daten zu veröffentlichen, wird der Forderung Nachdruck verliehen. In einzelnen Fällen wurde diese Drohung bereits wahrgemacht.

Fortgeschrittene Schadsoftware mit Fokus auf Windows

Die Programmierer von PwndLocker haben ausgefeilte Routinen entwickelt, um maximalen Schaden anzurichten. Betroffene Systeme werden auf Anwendungen und Applikationen überprüft, die wichtige Geschäftsdaten enthalten könnten. Gleichzeitig wird versucht, Sicherheitsprogramme zu deaktivieren und Versionierungen sowie Sicherheitskopien unbrauchbar zu machen. PwndLocker stellt somit eine sehr fortgeschrittene Version bekannter Ransomware-Varianten dar und ist durch seinen gezielten Einsatz für potenzielle Opfer sehr gefährlich!

Nach genauer Analyse: Schwachstelle entdeckt

In der Stadtverwaltung von Novi Sad (Serbien) hat PwndLocker ca. 50 Terrabyte an Daten verschlüsselt. Der Sicherheitsspezialist Fabian Wosar von Emisoft entdeckte nach Auswertung mehrerer Systeme einen Fehler in der ausführbaren Datei, die für jedes Opfer individuell zum Einsatz kommt: Entweder wurden die verwendeten Schlüssel schlecht geschützt oder es wurde in der Routine vergessen, sie für das Opfer unwiederbringlich zu vernichten. Dank dieses Fehlers können die verschlüsselten Daten nun auch ohne Bezahlung des Lösegelds wiederhergestellt werden.[1]

Richtiges Verhalten bei Ransomware-Angriffen ist wichtig

Der Schadsoftware-Code ist bei PwndLocker für jedes Opfer individuell angepasst bzw. enthält individuelle Informationen – genau diese werden zum Entschlüsseln der Daten benötigt. Einige Betroffene haben jedoch versucht, nach der Infektion sofort alle Daten, die mit der Attacke in Zusammenhang stehen, vom System zu entfernen. Dabei werden jedoch auch genau die wichtigen Informationen, die zur Wiederherstellung benötigt werden, vernichtet.

Die empfohlene Vorgehensweise bei einer Infektion beginnt daher wie immer:

  • Trennen Sie das System so schnell als möglich von der Kommunikation (Netzwerk, Internet, lokales LAN, WiFi, …)
  • Erstellen Sie zuerst möglichst schnell eine komplette externe Sicherheitskopie/ein Abbild des betroffenen Systems, um viele nutzbare Daten des Angriffs zu erhalten.

Mit einer solchen Kopie ist es mit etwas Glück später möglich, Daten ohne Bezahlung wiederherzustellen. Denn auch in Schadsoftware werden häufig nachträglich Fehler und Schwachstellen entdeckt.

Mehr Tipps zum richtigen Umgang mit Ransomware-Infektionen finden Sie auch unserem Beitrag: Fünf erste Schritte bei Ransomware-Attacken


  [1] https://www.bleepingcomputer.com/news/security/pwndlocker-ransomware-gets-pwned-decryption-now-available/

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download