Analyse von Krypto-Ransomware

Bachelor-Studiengang IT Security

Sabrina Cerepak, BSc

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage

Krypto-Ransomware ist eine schädliche Software, welche designt wurde, um den Zugriff auf Daten eines Computersystems durch Verschlüsselung zu blockieren, bis ein Lösegeld bezahlt wird. Die Entwicklung der Cyberbedrohungen der letzten Jahre zeigt, dass Ransomware in Massen auftritt und sehr hohe finanzielle Schäden verursacht. Sie hat weltweit bereits viele Millionen Systeme infiziert, der verursachte Gesamtschaden wurde mit Ende 2016 auf eine Milliarde US-Dollar geschätzt. Auch die Auswirkungen auf bestehende Infrastrukturen wie Krankenhäuser oder öffentliche Verkehrsmittel sind äußerst problematisch.

Ziel

Das Ziel der Arbeit ist, die Funktionsweise von Krypto-Ransomware zu analysieren und Wege zu finden, gegen verschlüsselnde Ransomware vorzugehen. Fehler der Schadsoftware, welche in der Vergangenheit dazu führten, Entschlüsselungstools entwickeln zu können, werden genau untersucht. Weiters sollen Schutzmaßnahmen verglichen und dargelegt werden, ob bereits zufriedenstellende Anti-Ransomware-Programme für EndbenutzerInnen sowie Organisationen zur Verfügung stehen.

Ergebnis

Die umfassende theoretische Analyse der Daten zeigte auf, wie wichtig die Arbeit der Malware-Analystinnen und -Analysten ist. Nur durch genaue Untersuchung der Krypto-Trojaner konnten Fehler in Ransomware-Beispielen entdeckt und in weiterer Folge Entschlüsselungstools entwickelt werden. Die gefundenen Fehler waren meist im Design des Programms zu finden. So konnten bei verschiedensten Varianten die zur Entschlüsselung benötigten Schlüssel in der Schadsoftware selbst oder am infizierten System gefunden werden. Manchmal wurden auch einfach umkehrbare Verschleierungstechniken anstelle sicherer Kryptosysteme zur Verschlüsselung der Daten eingesetzt.

Die Auswertung der praktischen Experimente ergab ein Bild über die aktuelle Verfügbarkeit und Effektivität von Anti-Ransomware-Programmen. Die Experimente mit Anti-Ransomware-Tools im Labor verdeutlichten, dass eine Kombination von klassischen signaturbasierten Antivirenprogrammen mit heuristischen und verhaltensbasierten Tools am effektivsten ist. Daher wird eine Inkludierung der verhaltensbasierten Methoden in herkömmliche Antivirenprogramme in weiterer Folge erwartet und begrüßt. Um den Schutz für das bedrohte System weiter zu erhöhen, sind jedoch weitere Maßnahmen vonnöten, wie z. B. aktives Update-Management und regelmäßige Back-ups. Es wird angenommen, dass in Zukunft noch viele weitere Varianten von Krypto-Ransomware entwickelt werden.