Angriff per Diskette
Geschichte der Ransomware – Teil 1: Der AIDS-Trojaner
Erpresserische Malware gibt es schon viel länger, als gemeinhin angenommen wird. Der Auftakt unseres Dreiteilers erzählt die spannende Geschichte eines Trojaners, der bereits 1989 seine Opfer zu erpressen versuchte – per Floppy Disk und Postversand.
Quadratische Postsendungen flatterten im Dezember 1989 auf rund 20.000 Schreibtische weltweit. Ihr Inhalt: eine 5,25-Zoll-Diskette mit dem Aufdruck „AIDS Information“ inklusive Beschreibung und Installationsanleitung. Demo-Disks mit Software zum Ausprobieren waren damals beliebte Marketing-Tools, und der angebliche Inhalt erschien den Empfängern – Computerbegeisterte, Geschäftsleute, Ärzte und Krankenhäuser – potenziell interessant.
Wer sich auf eine Testinstallation einließ, erlebte eine böse Überraschung: Das vordergründig nützliche Aufklärungsprogramm zu HIV und AIDS forderte Geld und drohte, Dateien zu zerstören. Panikreaktionen Betroffener führten in einigen Fällen zu teils schwerwiegenden Datenverlusten – und zur Entlassung zahlreicher IT-Verantwortlicher, die die erpresserische Malware als komplett neuartige Bedrohung völlig überrumpelt hatte.
Als erster von drei Teilen zur Geschichte der Ransomware befasst sich dieser Artikel mit den Anfängen einer Malware-Art, die mittlerweile zu den Hauptbedrohungen im Cybercrime-Bereich zählt und die Unternehmen in aller Welt regelmäßig um hohe Lösegeldbeträge erleichtert. Er beleuchtet die von frühen Malware-Forschern dokumentierten Tarnungs-, Verbreitungs- und Erpressungsstrategien des sogenannten „AIDS-Trojaners“ als allererster Ransomware. Außerdem stellt er zwei Veröffentlichungen vor, deren Autoren sich aus akademischer Perspektive schon früh mit der Optimierung erpresserischen Schadcodes befassten.
Erpressung mit Ankündigung
Dass sich die Schadfunktionen auf der „AIDS Information“-Diskette trojanertypisch hinter nützlichem Programmcode verbargen, unterscheidet die allererste Ransomware von späterer Malware dieser Art. Die damalige Kategorisierung als „Trojaner“ ist also durchaus passend; den Begriff „Ransomware“ prägten Sicherheitsexperten erst in den 2000er-Jahren.
Zudem erpresste der AIDS-Trojaner seine Opfer nicht aus heiterem Himmel, sondern mit Ankündigung. Ein blauer Zettel, der jeder Diskette beilag, umfasste eine Lizenzvereinbarung. Laut der verpflichteten sich Nutzer bereits mit der Installation des Programms zum Kauf: „If you install these programs on a microcomputer (…) you thereby agree to pay PC Cyborg Corporation in full for the cost of leasing these programs“. Dem folgten massive Drohungen: Falls der Nutzer gegen die Vereinbarung verstoße, werde ihn dies für den Rest seines Lebens verfolgen – und sein Computer werde aufhören, normal zu funktionieren.
AIDS-Trojaner: Lösegeldzahlung per Scheck
Nach Schätzungen eines FBI-Ermittlers übersahen rund 1000 Personen – und damit immerhin fünf Prozent der etwa 20.000 Empfänger – die vorhandenen Warnzeichen und installierten. Ihnen zeigte das Programm unmittelbar danach eine Zahlungsaufforderung am Bildschirm an: Je nach gewünschter Lizenz seien für die Programmnutzung 189 oder 378 US-Dollar fällig.
Nutzer sollten einen Bankscheck oder eine Postanweisung auf die PC Cyborg Corporation ausstellen und samt ihrer Kontaktdaten an eine Postfachadresse der Firma schicken, um als Gegenleistung eine weitere Diskette mit einer Softwareaktualisierung zu bekommen. Das Postfach befand sich ausgerechnet in Panama, wogegen die USA zu jener Zeit eine militärische Auseinandersetzung führten. In einer frühen Analyse des Schadcodes merkten die IT-Experten Dr. Alan Solomon, Barry Nielson and Simon Meldrum bereits an, dass diese Tatsache polizeiliche Ermittlungen bezüglich Firma und Postfach erschweren könnte.
Der Trojaner lieferte sogar ein Bestellformular mit, das angeschlossene und eingeschaltete Drucker automatisch in Papierform auswarfen. Interessant ist, dass der Trojaner zur Zuordnung von Zahlungen eine individuelle Referenznummer vergab, die laut den Forschern bei jeder Installation variierte. Auch moderne Ransomware arbeitet oft mit dynamisch generierten IDs, um bei der Zahlungsabwicklung den Überblick zu behalten.
90 Durchläufe bis zur Schadcode-Aktivierung
Ignorierte man die anfängliche Zahlungsaufforderung, spulte der AIDS-Trojaner zunächst seine medizinischen Tarninhalte ab. Sie bestanden aus interaktiven Fragebögen zur Risikoeinschätzung für künftige HIV-Infektionen beziehungsweise AIDS-Erkrankungen. Außerdem gab das Programm auf Keyword-Basis vorformulierte Antworten auf Freitexteingaben aus. Dabei ließ die medizinische Fachkompetenz des in QuickBASIC 3.0 geschriebenen Programms anscheinend zu wünschen übrig: Der deutsche Mediziner Dr. Michael G. Koch, früher AIDS-Berater der bayerischen Staatsregierung, bezeichnete es laut einem 1990 erschienenen kurzen Artikel im Deutschen Ärzteblatt kurz und knapp als „wertlos“.
Hintergrund der Veröffentlichung im Ärzteblatt: Koch hatte das Kleingedruckte im blauen Beipackzettel tatsächlich gelesen und zudem bemerkt, dass die Software erst nach einer bestimmten Anzahl von Programmdurchläufen Schadcode ausführte (laut späteren Analysen von Forschern nach 90 Neustarts des Systems). Der Schadcode „verwirre“ oder zerstöre gar „die Daten im Computer“. Der aufmerksame Mediziner faxte seine Beobachtung laut Ärzteblatt an verschiedene AIDS-Organisationen, die sie dann wiederum weiterverbreiteten.
Mit seiner Meldung war Koch nicht allein: Bereits ab dem ersten von insgesamt mindestens vier aufeinanderfolgenden Tagen, an denen die AIDS-Disketten in die Briefkästen flatterten, veröffentlichten vor allem Sicherheitsforscher Warnungen, das Programm keinesfalls zu installieren. Für die schnelle Kommunikation untereinander nutzten die Forscher damals unter anderem frühe Onlinekonferenzsysteme wie das britische Compulink Information eXchange (CIX) sowie Usenet-Foren und Mailinglisten. Auch Zeitungen griffen die Warnungen auf.
Nach und nach wurde klar, dass die ominöse PC Cyborg Corporation ihre Opfer gezielt ausgewählt hatte. Sie nutzte eine Abonnentenliste der Computerzeitschrift PC Business World sowie die Teilnehmerliste einer AIDS-Konferenz der Weltgesundheitsorganisation WHO. Auch Abonnenten italienischer und französischer Business-Magazine sollen laut dem Fachmagazin Virus Bulletin angeschrieben worden sein. Das Vorgehen erinnert an heutiges Spear Phishing per E-Mail.
Screen Locking und Verschlüsselung
90 Reboots erachteten die Entwickler des AIDS-Trojaners offenbar als ausreichend für die Zahlungsabwicklung nebst anschließender Postsendung aus Panama. War die Lizenzverlängerung dann noch nicht abgeschlossen, sperrte die Ransomware den Nutzer kurzerhand aus seiner eigenen Arbeitsumgebung aus – ähnlich wie diverse spätere Erpressungsschädlinge.
Dazu simulierte die Schadcodekomponente des Trojaners unmittelbar nach dem Neustart die MS-DOS-Umgebung samt der gewohnten Eingabemöglichkeit hinter dem Laufwerksbuchstaben C:>. Sie nahm laut veröffentlichter Analysen sogar bestimmte Standardeingaben entgegen, so lieferte etwa der Befehl dir wie gewohnt eine Dateiübersicht des aktuellen Verzeichnisses zurück. Diese entsprach allerdings nicht der Realität, sondern fußte auf zwischengespeicherten Listen von Datei-Klarnamen. Im Hintergrund verschlüsselte der Trojaner bereits die Dateinamen, wie im Folgenden beschrieben.
Der Trojaner zeigte immer wieder Zahlungsaufforderungen an mit dem Inhalt, die Softwarelizenz sei abgelaufen und man müsse die Lizenz erneuern, um den Rechner weiterhin benutzen zu können. Für weitere Informationen solle man seinen Drucker einschalten. Die Formulierungen variierten je nach aktuellem Systemzustand und Szenario und enthielten teilweise auch unterschwellige Drohungen, dass Dateien beschädigt werden könnten. Das Einschalten des Druckers belohnte der Schadcode bloß mit erneutem Ausdrucken des Bestellformulars.
Versuche, mit der Tastenkombination Strg+Alt+Entf einen Neustart des Systems zu erzwingen, fing der Schadcode ab, um einen Neustart vorzugaukeln und direkt wieder die Zahlungsaufforderung zu zeigen. Ein harter Reboot hatte dank einer manipulierten AUTOEXEC.BAT-Datei das gleiche Ergebnis. Letztlich waren betroffene Computer nicht mehr ohne Weiteres verwendbar.
Denkbar einfach: Die Verschlüsselung
Die Verschlüsselungsmechanismen des AIDS-Trojaners waren trivial: Er chiffrierte keine Inhalte, sondern nur Dateinamen und -endungen. Nutzer hätten die Dateien theoretisch nach manuellem Zurückbenennen weiterhin verwenden können – angesichts vieler Ordner mit jeweils vielen Dateien eine zeitintensive Herausforderung. Und die wurde auch noch erschwert, weil der Trojaner alle Dateien und Ordner mit dem Attribut „versteckt“ und Dateien zusätzlich mit „schreibgeschützt“ versah.
| Auszug aus der Dateinamen-Ersetzungstabelle | |
| Originalzeichen/-endung | ... wird geändert zu |
Endung .APP
|
. AC
|
Endung .BAK
|
. AF
|
Endung .BAT
|
. AG
|
Endung .CAT
|
. AH
|
Endung .CMP
|
. AI
|
Endung .CNF
|
. AJ
|
Endung .COM
|
. AK
|
| [...] | |
Zeichen im Namen D
|
@
|
Zeichen im Namen E
|
8
|
Zeichen im Namen F
|
!
|
| [...] | |
Zeichen im Namen S
|
&
|
Zeichen im Namen T
|
6
|
Zeichen im Namen U
|
G
|
| [...] | |
Dateiname TEST.BAT
|
68&6. AG
|
Die Verschlüsselung war nichts anderes als eine banale Buchstabenersetzung. Dafür hatte der Trojaner zwei Ersetzungstabellen, die in jeder Kopie des Trojaners identisch waren: eine für die Endungen und eine für den Dateinamen. Zunächst glich der Code die jeweiligen Dateiendungen ab. Die bereits erwähnte Analyse des Teams um Dr. Solomon listet insgesamt 85 Endungen auf, die die Malware anfasst – darunter etwa solche für ausführbare Dateien (etwa BAT, COM, EXE, SCR), Dokumente (TXT, DOC) und damals geläufige Rastergrafikformate (PIC, CAL). Die Dateiendungsliste dürfte die meisten gängigen Formate erfasst haben.
Stand die Endung einer Datei in der Tabelle, tauschte der Schadcode zunächst die Endung gegen ein fest zugeordnetes Gegenstück aus der Tabelle nach dem Schema
.[Leerzeichen][Buchstabe][Buchstabe]
aus. Anschließend verschlüsselte er den restlichen Dateinamen – und zwar durch Ersetzen jedes einzelnen Zeichens gegen ein fest zugeordnetes anderes. Groß- und Kleinschreibung ignorierte der Schadcode. Dateinamen ohne Endung verschlüsselte er ebenfalls und versah sie mit einer Ersatzendung. Das Betriebssystem und natürlich die Schadcodekomponenten ließ die Verschlüsselungsfunktion unangetastet.
Pionierarbeit beim Entschlüsseln
Letztlich war der AIDS-Trojaner vor allem ein Schaumschläger, der auf Einschüchterung, Sperrmechanismen und eine leicht reversible Verschlüsselung baute. Die Systemmodifikationen verursachten keinen dauerhaften Schaden – wohl aber übereilte Reaktionen von Admins: Unter anderem berichtete das Virus Bulletin, eine AIDS-Forschungseinrichtung in Italien habe Ergebnisse aus zehn Jahren Arbeit verloren. Zudem seien zahlreiche Administratoren verschiedener europäischer Firmen wegen nachlässiger oder falscher Reaktionen entlassen worden.
Immerhin: Dank schneller Warnungen konnten viele befallene Systeme gerettet werden. Zudem veröffentlichte der Malware-Forscher Jim Bates Anfang Januar 1990 Bereinigungs- und Entschlüsselungstools. Bates wurde vom PC Business Magazine beauftragt, den AIDS-Trojaner zu analysieren. Seine Erkenntnisse fasste er in einem ausführlichen Artikel im Virus Bulletin zusammen. Eine große Herausforderung stellte die aus damaliger Perspektive enorme Codemenge von mehreren Hundert Kilobyte dar, die es zu untersuchen galt. Gleiches galt für die Hochsprache QuickBASIC statt des für Schadcode bis dahin gebräuchlicheren Assembler.
Trotz dieser Hürden gelang es Bates, innerhalb weniger Wochen die Programme AIDSCLEAR zum Entschlüsseln der Dateinamen und AIDSOUT für die übrigen Schritte der Systembereinigung zu entwickeln. Die Weltgesundheitsorganisation (WHO), das PC Business Magazine und andere Medien weltweit berichteten über die kostenlosen Tools. Wie schon der Trojaner kamen sie auf Diskette zu den Betroffenen. Bestellungen kamen laut Virus Bulletin aus rund 90 Ländern. Bates lud die Tools außerdem ins Konferenzsystem CIX hoch und verbreitete sie über seine eigene Mailbox (Bulletin Board System, BBS).
Joseph Popp, der Mann hinter den Cyborgs
Die Aktivitäten des AIDS-Trojaners lösten polizeiliche Ermittlungen in rund 20 Ländern aus. Ermittler bezeichneten die Untersuchungen als die bis dahin umfangreichsten und teuersten im Bereich der Computerkriminalität. Im Januar 1990 verhafteten sie den US-amerikanischen Evolutionsbiologen Dr. Joseph Lewis Popp, in dessen Besitz sie später auch den vollständigen Quellcode des AIDS-Trojaners entdeckten.
Über das mitunter seltsame Verhalten des Dr. Popp, den sein Rechtsanwalt laut Virus Bulletin als „deprimiert und potenziell selbstmordgefährdet“ beschrieb, haben Medien immer wieder berichtet. Unter anderem soll er Ermittlern bereits am 24. Dezember 1989 am Amsterdamer Flughafen aufgefallen sein, weil er das Gepäck eines Mitreisenden mit den Worten „Dr. Popp wurde vergiftet!“ beschmiert hatte. Spannend ist, dass er just an jenem Tag von einem WHO-Seminar in Nairobi zurückgekehrt sein soll, nachdem er von den Vorfällen rund um den Trojaner gehört hatte. Der Biologe war unter anderem im Bereich der AIDS-Forschung tätig und arbeitete zwischenzeitlich auch tatsächlich für die WHO.
Popp wurde wegen Erpressung angeklagt. Nachdem ein Richter ihn jedoch aufgrund psychischer Labilität für verhandlungsunfähig befunden hatte, wurde das Verfahren Ende 1991 eingestellt und er kam aus der Haft frei. Zuvor hatte Popp zugegeben, die Disketten verschickt zu haben, zugleich jedoch bestritten, jemals finanziellen Nutzen daraus gezogen zu haben. Es sei ihm stets nur darum gegangen, Menschen weltweit über die AIDS-Epidemie aufzuklären.
Letztlich blieben Popps wahre Motive im Dunkeln. Ungeklärt ist unter anderem, ob er den Programmcode des AIDS-Trojaners selbst geschrieben hat und ob womöglich weitere Personen an Entwicklung und Verbreitung beteiligt waren. Ermittlungen ergaben unter anderem, dass ein angeblicher kenianischer Geschäftsmann die Adressliste der PC Business World auf legalem Wege gekauft hatte. Allerdings waren und blieben diese Person sowie auch drei weitere Kenianer als angebliche Geschäftsführer der (tatsächlich existenten) PC Cyborg Company verschwunden.
Popp eröffnete später mit seiner Tochter ein noch heute existierendes Schmetterlingshaus im Bundesstaat New York. 2006 starb er bei einem Verkehrsunfall.
Verbreitungsweg ohne Zukunft
Sicherheitsforscher schätzten, dass Popp für 20.000 Disketten, Portokosten, Firmenregistrierung und Sonstiges sowie für den Kauf der Adresslisten insgesamt über 20.000 britische Pfund ausgegeben hat. Ebenfalls beträchtlich war der Zeitaufwand, etwa für das Kopieren des Programms, das Bekleben und Beschriften der Umschläge und sämtliche organisatorischen Abläufe.
Dass die Schadcodeverbreitung per Diskette nicht nur teuer und aufwändig, sondern auch unflexibel war, verdeutlicht auch eine Diskussion zum AIDS-Trojaner auf der Mailingliste Virus-L, an der unter anderem ein gewisser John McAfee beteiligt war. Forscher berichteten dort, zwei verschiedene Versionen des Trojaners analysiert zu haben, von denen eine ihre Erpressungs-Payload bereits im ersten Durchlauf offenbarte und nicht erst nach mehreren Neustarts. Ein Programmierfehler, der Popp womöglich einige Disketten kostete und die Erpressung noch ein wenig schneller auffliegen ließ.
Immerhin: Der „Virus Bulletin“-Redakteur Edward Wilding rechnete in einem 1992 veröffentlichten Editorial vor, dass Popp bereits knapp 38.000 US-Dollar eingenommen hätte, wenn nur ein Prozent der Diskettenempfänger, also rund 200 Personen, die Minimum-Lizenzgebühr von 189 US-Dollar gezahlt hätte. Laut einem FBI-Sprecher soll der Biologe vorgehabt haben, noch zwei Millionen weitere Disketten zu verschicken.
Ob tatsächlich jemand einen Scheck nach Panama schickte, ist nicht bekannt. Es ist aber angesichts der simplen Verschlüsselungs- und Locking-Mechanismen, der relativ schnellen Verfügbarkeit von Entschlüsselungstools, einiger manueller Bereinigungsanleitungen sowie öffentlicher Warnungen vor dem Betrug zumindest unwahrscheinlich.
Wissenschaftliches Neuland: Malware-Forschung
Nach dem AIDS-Trojaner vergingen rund 15 Jahre, bevor 2004 eine neue, moderne Ransomware-Familie auf den Bildschirmen erschien. Im Zeitraum zwischen diesen Bedrohungen fallen zwei wissenschaftliche Arbeiten besonders auf, die – wenngleich mit guten Absichten veröffentlicht – auch als Inspiration für erpresserischen Schadcode gedient haben dürften.
Die erste davon veröffentlichen die US-Forscher Adam Young und Moti Yung unter dem Titel „Cryptovirology: Extortion-Based Security Threats and Countermeasures“. Die Autoren untersuchten, wie man möglichst effektiv Kryptografie für erpresserische Angriffe missbrauchen könnte. Als größte Schwäche des AIDS-Trojaners identifizierten sie seine leicht umkehrbare Verschlüsselung. Ihre Überlegung: Um die Zahlungsmoral der Opfer zu steigern, sollte man nicht mehr in der Lage sein, den Schlüssel per Codeanalyse zu ermitteln – sodass Opfer die Verschlüsselung nicht einfach selbst rückgängig machen können.
Als Lösung schlugen die Forscher eine asymmetrische Verschlüsselung vor. Dabei dient ein öffentlicher Schlüssel (Public Key) zur Verschlüsselung der Daten, während zum Entschlüsseln ein privater Schlüssel (Private Key) nötig ist. Der befindet sich idealerweise nur in den Händen des Erpressers und ist aus dem Schadcode nicht ersichtlich.
Wechselten Erpresser auf eine rein asymmetrische Verschlüsselung, gäbe es aber ein anderes Problem: Nach der Lösegeldzahlung bekäme das Opfer den privaten Schlüssel in die Hände – und könnte ihn seinerseits veröffentlichen, um alle anderen Geschädigten gleich mit zu befreien. Zudem arbeitet eine asymmetrische Verschlüsselung langsamer. „Encrypting a file directly with a public key is slow“, befanden Young und Yung. Für Erpresser ist das besonders ungünstig, schließlich sollen alle Daten verschlüsselt werden, bevor ein Anwender etwas davon bemerkt und eingreifen kann – eine schon recht moderne Denkweise, wie sie auch für aktuelle Ransomware relevant ist, die oft auf große Firmennetze zielt.
Hybridverschlüsselung
Um die Vorteile symmetrischer und asymmetrischer Verfahren in ihrem Schadcode zu vereinen, schlugen die Forscher als Konzept der Hybridverschlüsselung vor:
- Zunächst generiert der Schadcode zur Laufzeit einen zufälligen Schlüssel (Session Key, SK) und einen zufälligen Initialisierungsvektor (IV) als Startwert für den symmetrischen Verschlüsselungsalgorithmus.
- Dann folgt die symmetrische und damit schnelle Verschlüsselung von Daten auf dem jeweiligen System mithilfe des Session Keys und des Initialisierungsvektors.
- Im nächsten Schritt verwendet der Schadcode einen immer gleichen, im Schadcode fest hinterlegten öffentlichen Schlüssel, um den Session Key zusammen mit dem Initialisierungsvektor zu verschlüsseln.
- Nun zeigt die Malware die Lösegeldforderung mitsamt dem Ciphertext aus Session Key und Initialisierungsvektor an, der wahrscheinlich für jedes Opfer anders aussieht. Für die Entschlüsselung der Daten nach einer Lösegeldzahlung muss der Angreifer seinen Private Key nicht preisgeben. Stattdessen fordert er das Opfer auf, ihm den Ciphertext des symmetrischen Schlüssels zu schicken.
- Sofern das Opfer auf die Forderung eingeht, entschlüsselt der Angreifer den Ciphertext mit dem Private Key ...
- ... und schickt das Resultat an das Opfer zurück, damit dieses seine Daten wieder entschlüsseln kann.
Die Antwort besteht also wieder aus dem zuvor zufällig erzeugten symmetrischen Schlüssel. Mit dem kann ein anderes Opfer aber nichts anfangen, weil der bei ihm höchstwahrscheinlich anders lautet.
Spätere Ransomware-Autoren griffen das Konzept der Hybridverschlüsselung auf, und sieht man einmal von einigen Details der Umsetzung ab, ist es auch heute noch die Grundlage vieler verschlüsselnder Ransomware-Familien.
Veröffentlichen statt verschlüsseln
Von Adam Young stammt auch die Untersuchung „Non-zero sum games and survivable malware“ aus dem Jahr 2003. In ihr klingt bereits eine Form der Erpressung an, die kaum aktueller sein könnte, nämlich jene mit sensiblen Daten. Der Autor greift auf Konzepte aus der Spieltheorie zurück, um Schadcode innerhalb eines öffentlichen Netzwerks auch nach der Entdeckung eine möglichst lange Lebensdauer zu garantieren. Statt zu verschlüsseln, schlägt Young hier eine andere Strategie vor, bei der das Opfer den Zugriff auf den eigenen Datenbestand behält – stattdessen könnte die Malware mit einer Veröffentlichung der Daten drohen.
Schwenken Angreifer von Datenverschlüsselung auf Datenveröffentlichung um, ändern sich die Anforderungen bei der Auswahl der Angriffsziele: Auf den Systemen potenzieller Opfer müssen Daten liegen, die so vertraulich sind, dass man den Besitzer mit der Veröffentlichung erpressen kann. Auch hier war Young eine Art Visionär: Seit etwa 2019 sind Double-Extortion-Angriffe gegen hochkarätige Unternehmen Teil des modernen Ransomware-Repertoires – also die Drohung mit sowohl der Verschlüsselung als auch der Veröffentlichung sensibler Daten.
Fazit
Beim Pionier der Erpressungstrojaner handelte es sich um keine sonderlich bequeme Methode, um an Geld zu kommen – Herstellung und Versand der Disketten waren aufwendig und kostspielig, und das Internet war allenfalls im akademischen Umfeld bekannt. Ebenso waren Scheckzahlungen an eine eigens dafür gegründete Firma nicht nur umständlich, sondern auch alles andere als anonym.
Trotz dieser Beschränkungen wies der AIDS-Trojaner Eigenschaften auf, die sich bis heute in moderner Ransomware wiederfinden: Verschlüsselung wichtiger Daten, Screen Locking, IDs zur Zahlungsabwicklung und die Strategie, befallene Systeme nicht sofort lahmzulegen, um einer unbemerkten Verbreitung Zeit zu geben. Einzigartig war und blieb allerdings die Verknüpfung von erpresserischen Schadfunktionen mit nützlichem Programmcode zum Zweck einer trojanerartigen Tarnung.
Auch die frühe Ransomware-Forschung von Young und Yung barg Licht und Schatten: Einerseits war sie interessant für die Sicherheitsforschung, andererseits auch eine Inspiration für künftige Ransomware-Generationen. Und noch ein Fun Fact: Wie sowohl die mit dem AIDS-Trojaner konfrontierten Schadcode-Analysten als auch Young und Yung betonten, hätten regelmäßige Backups wichtiger Dateien Erpressungsversuchen den Wind aus den Segeln genommen. Gleiches raten wir bis heute: kein Backup – kein Mitleid!
Ab 2004 begannen Kriminelle, Ransomware massiv über das World Wide Web zu verbreiten. Wie ihnen dabei Erkenntnisse aus der frühen Malware-Forschung von Young und Yung halfen, lesen Sie im zweiten Teil dieser Artikelreihe in einer späteren Ausgabe der c’t.
Dieser Artikel erschien ursprünglich auf heise+ und wurde für c’t überarbeitet und aktualisiert. (jss@ct.de)