02 Feb Ransomware Rdapdylvb – Neuer Erpressertrojaner greift Unternehmen an
Erpressertrojaner Rdapdylvb auf dem Vormarsch
Der nahezu unaussprechliche Name der jüngst erst entdeckten Ransomware basiert auf der Dateierweiterung, die den verschlüsselten Dateien gegeben wird. Denn ist ein System einmal mit dem Erpressertrojaner infiziert, werden sofort und ohne vorherige Ankündigung alle darauf befindlichen Daten verschlüsselt, was man spätestens an der Dateierweiterung .rdapdylvb erkennen kann, und verwendet damit hochleistungsfähige Chiffren, die eine hybride AES- und RSA-Kryptographie sind. Parallel dazu taucht dann eine neue Textdatei auf dem Rechner auf.
Die Bezeichnung selbiger ist dann weniger kryptisch: Ihr Name lautet schlicht und ergreifend „HOW TO RESTORE YOUR FILES.TXT“. Darin enthalten: Die Lösegeldforderung, wenn man denn seine Daten gern wieder hätte. Die Höhe des Lösegeldes scheint dabei übrigens recht individuell und kein Standardbetrag zu sein.
Aus Hacker-Sicht macht dies auch absolut Sinn, denn naturgemäß ist bei Unternehmen wesentlich mehr zu holen als bei Lieschen Müller und Otto Normalverbraucher. Was im Übrigen aber nicht heißt, dass nicht auch Privatnutzer Opfer der neuen Ransomware werden können.
Neue Ransomware Rdapdylvb greift großflächig an
Die Ransomware Rdapdylvb wird ersten Berichten zufolge über mehrere klassische Kanäle verteilt, was daraus schließen lässt, dass die Erfinder des Trojaners durchaus auf die breite Masse abzielen. Im Einzelnen sollen besonders die folgenden „Vertriebswege“ zum Einsatz kommen:
- E-Mail bzw. Phishing-Kampagnen
- verseuchte Links im Internet
- Spam-Kampagnen
- gebündelte Software-Installer (meist Freeware und Shareware)
- P2P-Dateifreigabeoptionen
Bedeutet leider: Das Risiko, sich Rdapdylvb einzufangen, ist verhältnismäßig hoch. Das gilt natürlich insbesondere dann, wenn keine entsprechenden Sicherheitsmechanismen wie beispielsweise eine gute Anti-Virus-Software und Firewall aktiviert sind. Auch der „gesunde Menschenverstand“ spielt wieder einmal eine Rolle. Denn selbst modernste Security-Tools sind nicht immer in der Lage, brandneue Malware sofort zu erkennen.
Ist dies der Fall, liegt die Verantwortung auch ein Stück weit beim Nutzer – und der ist leider oftmals noch immer zu gutgläubig. Schnell ist der Download-Link geklickt oder die verseuchte Datei geöffnet und dann ist das Kind auch schon in den Brunnen gefallen.
Daten nach Lösegeldzahlung wieder verfügbar
Tatsächlich gibt es aber auch gleich zwei gute Nachrichten zur neuen Ransomware (auch wenn der Begriff „gut“ in diesem Zusammenhang recht fragwürdig klingt). Fangen wir mit der ersten an: Die Initiatoren hinter Rdapdylvb halten Wort. Das heißt: Wer das geforderte Lösegeld zahlt, erhält auch wieder Zugriff auf seine Daten und deaktiviert damit die Verschlüsselung.
Das machen die Hacker nicht unbedingt, weil sie in Wahrheit doch einen guten und menschlichen Kern haben. Vielmehr geht um ihre eigene Glaubwürdigkeit und Authentizität. Denn man stelle sich nur einmal vor, es würde bekannt, dass die Daten trotz Lösegeldzahlung weiterhin verschlüsselt bleiben. Dann würde künftig wohl kein Opfer mehr zahlen und das Geschäftsmodell wäre zerstört.
Kleine Exkursion in diesem Zusammenhang: Tatsächlich gibt es leider auch Erpressertrojaner (z. B. Wiper und Eraser), bei denen sich im Anschluss an die Lösegeldzahlung keiner der Initiatoren in der Verantwortung sieht, die Daten wieder freizugeben. Unter dem Großteil der Cyberkriminellen selbst sind diese Exemplare jedoch verpönt, weil sie wie oben beschrieben einen schlechten Einfluss auf das Geschäftsmodell und „Image“ haben.
Hier lesen Sie den vollständigen Beitrag auf IT-SERVICE-NETWORK