Ist die neue Erpressersoftware Stampado nur ein fieser Marketingtrick?

foto cc0 pixabay efraimstochter kürbis katze

foto cc0

Ein Kommentar von Sicherheitsexperte Richard Werner, Business Consultant bei einem japanischen IT-Sicherheitsanbieter, zur Erpressersoftware Stampado.

Zurzeit schreckt die Nachricht den Markt auf, es sei eine »unentdeckbare« Ransomware im Umlauf und diese koste nur 39 US-Dollar. Sogar ein YouTube-Video existiert, auf dem die Hintermänner die Funktionsweise der Erpressersoftware erklären. Merkwürdig ist jedoch: Bislang fehlt jeglicher Beweis, dass es diesen Schädling überhaupt gibt.

Daher stellt sich die Frage: Was ist los im Crypto-Ransomware-Untergrund? Zuerst taucht mit Ranscam eine Variante auf, die Dateien nicht verschlüsselt, sondern löscht, und jetzt »werben« Cyberkriminelle für einen Schädling, der wahrscheinlich gar nicht existiert? Stehen wir am Beginn einer Welle mit gefälschter Anti-Ransomware, die vermeintlich vor Erpressersoftware schützt?

Als vor einigen Jahren die Schadsoftware Conficker – auch DownAD genannt – ihr Unwesen trieb, dauerte es nicht lange, bis Online-Gangster auf die Idee kamen, gefälschte Antivirenprogramme in Umlauf zu bringen, die angeblich vor dieser Bedrohung mit sehr hohen Infektionszahlen schützten. Damit haben die Cyberkriminellen das Bedrohungspotenzial von Conficker potenziert und ihren Gewinn maximiert.

Während Ranscam implizit den Sinn von Zahlungen an die Erpresser zumindest mittel- und langfristig in Frage stellt, da die Dateien ja nicht wiederhergestellt, sondern unwiederbringlich gelöscht werden, sendet das YouTube-Video zu STAMPADO das gegenteilige Signal. Aus der Sicht von Trend Micro verstecken sich dahinter drei Aussagen:

  1. »Ransomware ist nicht tot!
    Wir verteilen Erpressersoftware gerade im gesamten Cyber-Untergrund.« Die Absicht ist klar: Ransomware kann und wird jeden treffen. Und um den Schaden für die Opfer und dadurch den Gewinn für die Cyberkriminellen zu maximieren, wäre es denkbar, dass dies eine neue Welle von gefälschten Antiviren-Programmen ankündigt. Trifft dies zu, gibt es demnächst viele neue Anti-Ransomware-Tools, die damit werben, Stampado & Co zu erkennen und zu entfernen – natürlich gegen Zahlung einer Gebühr von vielleicht 20 Euro. Mit diesem Trick haben Conficker-Hintermänner Millionen »verdient«.
  2. »Installierte IT-Sicherheitslösungen nützen nichts, sie entdecken uns nicht. Unser Schädling ist nicht zu erkennen.«
    Damit wird suggeriert, dass Investitionen in IT-Sicherheitslösungen nichts bringen, weil diese angeblich wirkungslos sind. Doch das stimmt natürlich nicht.
  3. »Wer bezahlt, kann wieder auf seine Daten und Informationen zugreifen.«
    Dies könnte die Antwort auf Ranscam sein. Die Opfer sollen weiter in dem Glauben gelassen werden, dass es sich »lohnt«, den Online-Kriminellen Geld zu bezahlen. Doch so einfach ist es nicht. Es ist besser, auf die Geldforderungen nicht einzugehen.

Die Anwender – ob in Unternehmen oder privat – sind jedenfalls gut beraten, nicht auf Meldungen, sie hätten sich mit Stampado infiziert, hereinzufallen und zu zahlen. Ein Anwender, der aufgrund der aktuellen Nachrichtenlage nach Stampado recherchiert, findet vielleicht schon bald nicht mehr nur Suchtreffer, die auf die Seiten der seriösen IT-Sicherheitsanbieter verweisen, sondern auf dubiose Angebote. Dabei könnte es sich um ein Fake-Antiransomware-Werkzeug handeln. Fällt ein Anwender auf diesen Trick herein, erscheint wohl schon bald ein Popup-Fenster und meldet den Befall mit Stampado, selbst wenn gar keine Infektion vorliegt. Natürlich schlägt in einem solchen Fall kein legitimes Sicherheitsprodukt an – was dem ahnungslosen Opfer wieder die Echtheit der Aussagen im YouTube-Video suggeriert. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer zahlt, enorm.

Nie zahlen! Niemals!

Bei Ransomware gibt es keine Garantie, dass die Opfer den Schlüssel tatsächlich bekommen, um mit ihren Dateien wieder arbeiten zu können. Außerdem sind Fälle bekannt geworden, dass nach der Zahlung weitere Geldforderungen erhoben wurden, statt den Schlüssel zu liefern. Es zahlt sich also generell nicht aus, den Erpressern nachzugeben.

Nein zu Ransomware

Als erste Hilfe im Fall einer Infektion mit einigen Varianten von Erpressersoftware helfen zwei kostenlos abrufbare Tools: »Crypto-Ransomware File Decryptor« [1] und »Anti-Ransomware« [1]. Darüber hinaus empfiehlt Trend Micro Privatanwendern wie Unternehmen zwei grundlegende Strategien, um sich vor Infektionen mit Erpressersoftware zu wappnen:

  1. Backups anlegen

Eine grundlegende Möglichkeit, sich vor Erpressersoftware zu schützen, sind regelmäßige Datensicherungen (Backups). Dabei sollten die Anwender der 3-2-1-Regel folgen – drei Kopien in zwei Formaten auf einem isolierten Medium. So lassen sich zum Beispiel die Familienfotos erstens auf einem externen Speichermedium (externe Festplatte oder Stick) speichern, zweitens in der Cloud ablegen und drittens auf eine CD brennen. Der Cloud-Speicher und der nicht eingesteckte USB-Stick verhindern dabei, dass der Schädling auch die Sicherungskopien verschlüsseln und löschen kann. Sollte kein Cloud-Speicher vorhanden und der USB-Stick mit dem Rechner verbunden sein, so wären wenigstens die auf CD gebrannten Bilder sicher, selbst wenn diese im CD-Laufwerk eingelegt wäre.

Wichtig dabei ist, nicht nur die Daten und Dateien, sondern auch ein System-Image zu sichern – im Falle von Windows am besten einmal in der Woche. Hierfür eignet sich wegen der Datenmenge idealerweise eine externe Festplatte, die nur während der Sicherung mit dem Rechner per USB-Schnittstelle verbunden wird. Kommt es zu einer Infektion, ist es immer empfehlenswert, den befallenen Rechner komplett neu aufzusetzen – selbst nach geglückter Entfernung des Schädlings. Schließlich kann es immer möglich sein, dass einzelne Komponenten einer Bedrohung weiter auf dem Gerät verbleiben und bei künftigen Kampagnen wieder ihr Unwesen treiben.

  1. Mehrschichtige Sicherheitslösungen helfen

Generell sollten Anwender auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

[1] Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware
Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich durch Lösungen wie »Security«, »Smart Protection Suites«, »Worry-Free Business Security«, »Deep Discovery E-Mail Inspector«, »InterScan Web Security«, »Deep Security« und »Endpoint Application Control« vor Bedrohungen durch Erpressersoftware schützen. »Endpoint Application Control« verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (sogenanntes »Whitelisting«).

Öffentliche Verwaltungen beim Thema Ransomware zu sorglos

Ransomware: Auf Erpresser sollte man niemals eingehen

Ransomware: Tipps zum Schutz vor Online-Erpressern

Bedrohung durch Ransomware stark gestiegen

Doppelt so viele Cyberattacken in Deutschland – starker Anstieg bei Ransomware

Sägen-Horror auf dem Rechner: Neue Crypto-Ransomware löscht Daten scheibchenweise

Schreiben Sie einen Kommentar