zurück zur Übersicht

Doppelt gemoppelt – Stampado verschlüsselt verschlüsselte Daten

hackerhackerSicherheitsforscher haben eine neuartige Ransomware namens Stampado (mehr Infos hier) entdeckt. Das Besondere an dieser Variante: Sie verschlüsselt die Daten gezielt auch dann, wenn diese schon durch andere Ransomware verschlüsselt wurde. Das Opfer müsste in diesem Fall gleich zweimal Lösegeld für seine Daten bezahlen. Laut Experten habe es so etwas bisher noch nicht gegeben und so markiert Stampado den aktuellen Gipfel der Hinterlist. Aufgetaucht ist der Schädling erstmals Mitte Juli diesen Jahres.

Der Gipfel der Hinterlist: Stampado tritt anderer Ransomware auf die Füße

Auf das besonders böswillige Verhalten stießen Experten beim Reverse Engineering der Software durch die Analyse der Dateierweiterungen, die sich Stampado zum Verschlüsseln vornimmt. Wie bei Ransomware üblich, werden private Daten, wie Fotos, Musik und Dokumente verschlüsselt. Zusätzlich nimmt sich Stampado aber auch Dateien mit Erweiterungen vor, die auf bereits verschlüsselte Dateien anderer Ransomware hindeuten. Darunter sind beispielsweise Erweiterungen wie: *.locky, *.surprise, *.encrypt, *.zyklon und viele weitere mehr. So betrifft die erneute Verschlüsselung Daten, die bereits durch Ransomware wie Kimcil, Cerber, TeslaCrypt, LeChiffre, Locky, Coverton oder PadCrypt verschlüsselt wurden. Dieses Vorgehen nimmt explizit auch die Erfolgschancen anderer Angreifer aufs Korn.

An sich ist dieses Konzept nicht neu. Bereits TeslaCrypt bemächtigte sich kurzerhand der Webseite des „Konkurrenzproduktes“ Cryptowall (wir berichteten). Wenn sich Ransomwares jetzt schon gegenseitig verschlüsseln wird die Wahrscheinlichkeit, dass das Opfer überhaupt bezahlt, mit Sicherheit geringer.

Abhilfe in Sicht

Im Fall von Stampado verpufft das Schadenspotential relativ schnell, denn es gibt bereits Abhilfe. Auf der Homepage von Emsisoft gibt es ein Entschlüsselungstool gratis zum Download. Damit die Daten wieder entschlüsselt werden können, wird die E-Mail Adresse des Erpressers und die ID des Opfers aus der Erpresserbotschaft benötigt. Es wird jedoch dringend empfohlen, die verschlüsselten Daten zu sichern, bevor ein Entschlüsselungsversuch unternommen wird, um Datenverlust im Fehlerfall zu verhindern.

Dennoch zeigt dieser Fall deutlich, dass die Ransomwarewelle weit davon entfernt ist auszurollen. Im Gegenteil: Sie hat inzwischen eine derartige Dynamik entwickelt, dass immer mehr Kriminelle zum Surfbrett greifen um darauf mitzureiten. Auch wenn der Versuch in diesem Fall eher unbedarft war, ist das eine sehr bedenkliche Entwicklung.


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer