Versteckte Gefahr: Ransomware "STOP" lauert in dunklen Ecken des Internets
Eine Datenauswertung des Ransomware-Erkennungsdiensts ID Ransomware enttarnt einen verschlüsselnden Schädling, der sich gern in gecrackter Software versteckt.
(Bild: 5598375)
Während Erpressungstrojaner wie Sodinokibi, Ryuk oder der mittlerweile pensionierte GandCrab in den vergangenen Monaten immer wieder im medialen Rampenlicht standen, hat ihr auf den Namen "STOP" getaufter Kollege bislang kaum für Schlagzeilen gesorgt. Glaubt man aktuellen Statistiken des Online-Dienstes ID Ransomware, haben allerdings sehr viele Nutzer mit dem Schädling zu kämpfen.
ID Ransomware ist ein kostenloser Service, der bereits seit 2016 bei der Identifizierung von Ransomware hilft: Opfer können dort Lösegeldforderungen oder verschlüsselte Dateien hochladen, die anschließend analysiert werden. Derzeit erkennt ID Ransomware nach eigenen Angaben 758 verschiedene Schädlinge. Im Falle eines Treffers in der Datenbank gibt der Dienst Informationen zu Ransomware und (sofern vorhanden) Entschlüsselungsmöglichkeiten zurück.
"STOP" macht über 50 Prozent der Treffer aus
ID-Ransomware-Entwickler Michael Gillespie aka Demonslay335 hat die Datei-Übermittlungen an den Dienst ausgewertet und die Ergebnisse in einem Artikel auf der IT-News-Website Bleeping Computer veröffentlicht.
Demnach betrug der "STOP"-Anteil (nebst der STOP-Variante "Djvu") aller über ID Ransomware analysierten (und identifizierten) Dateien in den vergangenen 12 Monaten rund 50,9 Prozent. Zudem nimmt dieser Anteil zu: Betrachtet man lediglich die Zahlen der letzten 60 Tage, liegt er laut den Statistiken bei 70,7 Prozent. Dem Artikel zufolge werden täglich insgesamt etwa 2500 Ransomware-Dateien an ID Ransomware übermittelt.
Informationen zur geografischen Verteilung (und somit auch zur Verbreitung der Ransomware in Deutschland) sind den Statistiken nicht zu entnehmen.
(Bild: Twitter / Bleeping Computer )
Ransomware zielt eher auf Privatpersonen
Aus den Zahlen lassen sich allerdings keine direkten Rückschlüsse auf den tatsächlichen Gesamtanteil eines Schädlings an Ransomware-Infektionen ziehen. Denn Privatpersonen nutzen den Service mit hoher Wahrscheinlichkeit häufiger als Behörden und Unternehmen mit eigener IT-Sicherheitsabteilung. Somit landen Schädlinge, die sich häufiger auf den Rechnern ersterer Gruppe einnisten, vermutlich auch häufiger auf den Servern von ID Ransomware.
Anders als STOPs Konkurrenten, die oftmals per E-Mail kommen und mitunter (etwa mit gefälschten Bewerbungen) gezielt "große Fische" ins Visier nehmen, treibt sich dieser Schädling laut Bleeping Computer eher in dunklen Ecken herum. Seine Entwickler verstecken ihn demnach in Software-Cracks (unter anderem für Photoshop, KMSPico, Cubase und nicht näher bezeichnete AV-Software) oder undurchsichtigen Installations-Bundles, von wo aus er die Rechner von Einzelpersonen befällt.
Solche Infektionen erregen im Vergleich zu lahmgelegten Stadtverwaltungen oder Krankenhäusern weniger öffentliche Aufmerksamkeit. Somit erklärt STOPs Verbreitungsweg ein Stück weit sowohl die hohe Zahl der Übermittlungen an ID Ransomware als auch die Tatsache, dass es der Malware bislang gelungen ist, weitgehend unter dem Radar der Berichterstattung zu fliegen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Eingeschränkte Entschlüsselungsmöglichkeiten
(Bild: Bleeping Computer)
Laut Bleeping Computer sind derzeit mehr als 159 STOP/Djvu-Varianten in Umlauf. Einige von ihnen könnten mit dem von Demonslay335 entwickelten Tool STOPDecrypter entschlüsselt werden (Nutzung auf eigene Gefahr). Ob das funktioniere, lasse sich anhand der auf der Download-Website aufgelisteten Endungen verschlüsselter Dateien erkennen.
Einige dieser Endungen lauten etwa
STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow und .djvu.
Aktuelle STOP-Varianten könne das Tool aufgrund überarbeiteter Verschlüsselungsmechanismen allerdings nicht mehr entschlüsseln.
Einträge zu STOP und Djvu finden sich auch im "Malware-Wiki" (malware.wikia.org). Angesichts der vielen Schädlingsvarianten und der Tatsache, dass ein solches Wiki praktisch von jedem bearbeitet werden kann, sind die dortigen, wenn auch umfangreichen Informationen aber nur begrenzt als zuverlässig zu betrachten.
Mehr zum Thema Ransomware:
- Fake-Bewerbung von "Eva Richter" hat Erpressungstrojaner Ordinypt im Gepäck
- Erpressungstrojaner GandCrab geht offenbar in Rente
- Sodinokibi aka REvil – der neue Shooting-Star der Ransomware-Szene
- Analyse: Ransomware-Angriffe auf Firmen fast vervierfacht
- Ransomware-Themenseite bei heise online
(ovw)
