Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Einleitung

Im Jahr 2016 hat Ransomware ihren verheerenden Marsch um den gesamten Globus fortgesetzt und dabei Daten und Geräte, Heimanwender und Unternehmen fest in ihren Klammergriff genommen.

Die Zahlen sprechen für sich:

• Insgesamt 62 neue Ransomware-Familien sind in Erscheinung getreten.
• Die Zahl der Ransomware-Modifikationen hat um das 11-Fache zugenommen: von 2.900 neuen Modifikationen im Januar bis März auf 32.091 im Juli bis September.
• Die Zahl der Angriffe auf Unternehmen hat sich zwischen Januar und Ende September verdreifacht: Das bedeutet, die Zeit zwischen zwei Angriffen hat sich von 2 Minuten auf 40 Sekunden verringert.
• Bei den Angriffen auf Einzelperson verringerte sich dieser Zeitraum von 20 auf 10 Sekunden.
• Eines von fünf kleinen und mittleren Unternehmen, die das geforderte Lösegeld gezahlt haben, hat seine Daten nie zurückerhalten.

Im Jahr 2016 haben aber auch Komplexität, Raffinesse und Vielfalt von Ransomware zugenommen, was sich beispielsweise an den folgenden Fakten festmachen lässt: Wandel bei der Entdeckung von Finanz-Software, Programmierung in Scripting-Sprachen, Beschreiten neuer Infektionswege, zunehmende Zielgerichtetheit und für technisch weniger Versierte das Angebot, fertige Ransomware-as-a-Service-Lösungen, Ressourcen oder Zeit bereitzustellen – all das mit Hilfe eines gedeihenden und immer effizienter werdenden Untergrund-Ökosystems.

Gleichzeitig begann sich die Welt im Jahr 2016 im Kampf gegen Ransomware zusammenzutun:

Das Projekt NoMoreRansom.org startete im Juli und brachte die niederländische Polizei, Europol, Intel Security und Kaspersky Lab an einen Tisch. Weitere 13 Organisationen kamen im Oktober hinzu. Zu den Ergebnissen dieser Zusammenarbeit gehören unter anderem eine Reihe von kostenlosen Dechiffrierungstools, die bisher tausenden Ransomware-Opfern dabei geholfen haben, ihre Daten wiederherzustellen.

Das ist nur die Spitze des Eisbergs und es gibt noch viel zu tun. Gemeinsam können wir weitaus mehr erreichen als jeder einzelne von uns für sich allein.

Ransomware: die wichtigsten Trends und Entdeckungen des Jahres 2016

Neuerscheinungen und Auslaufmodelle

Neuerscheinungen: Im Jahr 2016 sagte die Welt „Hallo“ zu Cerber, Locky und CryptXXX – sowie zu 44.287 neuen Ransomware-Modifikationen

Cerber und Locky gaben ihr Debüt im frühen Frühjahr. Bei beiden handelt es sich um bösartige, aggressive Ransomware-Familien, die – in erster Linie mittels Spam-Attachments und Exploit-Kits – weit verbreitet werden. Sie haben sich mit Angriffen auf Individuen und Unternehmen gleichermaßen rasch selbst als „wichtige Player“ auf der Cybercrime-Bühne etabliert. Kurz darauf folgte CryptXXX. Alle drei Familien entwickeln sich fortwährend weiter und zeigen der Welt, was Ransomware – über die alt eingesessenen Schädlinge wie CTB-Locker, CryptoWall und Shade hinaus – bedeutet.

Die Ransomware-Familie Locky hat sich bisher in 114 Ländern verbreitet. #KLReport

Tweet

Stand Oktober 2016: Die Top 10 der von Kaspersky-Lab-Produkten detektierten Ransomware-Familien:

* Die vorliegende Statistik basiert auf den von Kaspersky-Lab-Produkten detektierten Objekten, deren Nutzer ihre Zustimmung zur Übermittlung von statistischen Daten gegeben haben.
** Prozentualer Anteil der von einer konkreten Familie von Verschlüsselungs-Ransomware ins Visier genommenen Nutzer an allen von Verschlüsselungs-Schädlingen anvisierten Nutzern.

Auslaufmodelle: Auf Wiedersehen Teslascrypt, Chimera und Wildfire – so schien es zumindest…

Die vermutlich größte Überraschung des Jahres 2016 war die Stilllegung von TeslaCrypt und die darauffolgende Veröffentlichung des Master Keys, vermutlich durch die Malware-Autoren selbst.

TeslaCrypt „begeht Selbstmord“ – währenddessen erledigt die Polizei Encryptor RaaS und Wildfire. #KLReport

Tweet

Encryptor RaaS, einer der ersten Trojaner, der anderen Cyberkriminellen als Ransomware-as-a-Service-Modell zur Verfügung stand, wurde stillgelegt, nachdem ein Teil seines Botnetzes von der Polizei unschädlich gemacht worden war.

Im Juli wurden dann etwa 3.500 Schlüssel für die Chimera-Ransomware öffentlich gemacht – von Individuen, die behaupteten, hinter der Erpressersoftware Petya/Mischa zu stecken. Da Petya einen Teil des Chimera-Quellcodes für seine eigene Ransomware verwendete, könnte durchaus ein und dieselbe Gruppe für beide Bedrohungen verantwortlich sein, die ihre Produkte aktualisiert und Chaos gestiftet hat.

Auch die Familie Wildfire, deren Server beschlagnahmt wurden, und für die dank der gemeinsamen Anstrengungen von Kaspersky Lab, Intel Security und der niederländischen Polizei ein Dechiffrierungsschlüssel entwickelt werden konnte, scheint nun unter dem Namen Hades wiederbelebt worden zu sein.

Missbrauch von „Weiterbildungs-Ransomware“

Wohlmeinende Forscher haben Ransomware zu Lernzwecken entwickelt, um Systemadministratoren ein Tool an die Hand zu geben, mit dem sie Angriffe von Erpressersoftware simulieren und ihre Abwehr auf den Prüfstand stellen können. Doch Cybergangster haben sich diese Tools schnell angeeignet, um sie zu ihren eigenen böswilligen Zwecken zu nutzen.

Zu „Lernzwecken“ entwickelte Ransomware bringt Ded_Cryptor und Fantom hervor – und viele andere Trojaner. #KLReport

Tweet

Die Entwickler der Lern-Ransomware Hidden Tear & EDA2 veröffentlichten den Quellcode hilfsbereit auf GitHub. Unweigerlich erschienen daraufhin im Jahr 2016 zahlreiche bösartige Trojaner, die auf eben diesem Code basieren. Dazu zählt auch Ded Cryptor, der den Bildschirmhintergrund auf dem Computer des Opfers gegen ein Bild eines bösartig aussehenden Weihnachtsmannes austauschte und als Lösegeld satte zwei Bitcoins (etwa 1.300 €) verlangte. Ein anderes Programm dieser Art war Fantom, das einen täuschend echt aussehenden Windows-Update-Bildschirm anzeigte.

Unkonventionelle Ansätze

• Warum sich mit einer Datei herumschlagen, wenn du die ganze Festplatte haben kannst?

  Zu den neuen Ansätzen im Bereich Ransomware-Attacken, die erstmals im Jahr 2016 beobachtet wurden, gehört die Verschlüsselung der Festplatte, wobei die Angreifer entweder den Zugriff auf die Dateien blockieren oder gleich alle Dateien auf einmal chiffrieren. Petya ist ein Beispiel für die Anwendung dieser Methode, wobei sie den Master Index (MFT) der Festplatte verschlüsselt und so einen Reboot unmöglich macht. Ein anderer Trojaner mit dem Namen Dcryptor, auch bekannt als Mamba, ging noch einen Schritt weiter und blockierte die gesamte Festplatte. Diese Ransomware ist ganz besonders unangenehm, da sie jeden Festplattensektor, inklusive Betriebssystem, geteilter Dateien und aller persönlicher Daten chiffriert – mit Hilfe einer Kopie der Open-Source-Software DiskCryptor.

  Angreifer haben es heute auf Backups und Festplatten abgesehen – und sie knacken Passwörter mittels Brute-Forcing. #KLReport

  Tweet

• Die „manuelle„ Infektionstechnik

  Die Infektion mit Dcrypter wird manuell vollzogen, wobei die Angreifer die Passwörter für den entfernten Zugriff auf den Rechner des Opfers via Brute-Forcing knacken. Wenn er auch nicht neu ist, so hat dieser Ansatz im Jahr 2016 doch deutlich an Beliebtheit zugelegt, häufig als Methode, um Server anzugreifen und sich Zutritt zu Unternehmenssystemen zu verschaffen.

  Ist der Angreifer erfolgreich, installiert und verschlüsselt der Trojaner die Dateien auf dem Server und möglicherweise auf allen von ihm aus erreichbaren Netzwerkteilen. Kaspersky Lab hat die Gruppe TeamXRat identifiziert, die diesen Ansatz nutzt, um ihre Ransomware auf brasilianischen Servern zu verbreiten.

• Zwei-in-eins-Infektion

  Im August entdeckten wir ein Sample von Shade, das mit einer unerwarteten Funktionalität ausgestattet war: es stellte sich heraus, dass ein Computer zu einem Finanzservice gehört, so wurde statt Ransomware ein Spionageprogramm heruntergeladen und installiert, möglicherweise mit einem längerfristigem Ziel als dem Diebstahl von Geld.

  Bei Identifizierung von Finanz-Software lädt Shade Spyware herunter. #KLReport

  Tweet

Ransomware in Skriptsprachen

Ein weiterer Trend, der unsere Aufmerksamkeit im Jahr 2016 auf sich zog, ist die zunehmende Zahl von Verschlüsselungsschädlingen, die in Skriptsprachen programmiert sind. Allein im dritten Quartal stießen wir auf mehrere Familien, die in Python geschrieben wurden, darunter HolyCrypt und CryPy, sowie Stampado – programmiert in der Automatisierungssprache AutoIt.

Eine lange Reihe von Dilettanten und Nachäffern

Viele der im Jahr 2016 neu entdeckten Erpressertrojaner waren von geringer Qualität: simpel gestrickt, mit Software-Mängeln und Flüchtigkeitsfehlern in den Lösegeldforderungen.

Ransomware von minderer Qualität erhöht das Risiko, dass die Daten für immer verloren sind. #KLReport

Tweet

Dieser Trend ging einher mit einer Zunahme nachgemachter Ransomware. Unter anderem fielen uns die folgenden Punkte auf:

• Bart kopiert die Lösegeldforderung und die Aufmachung von Lockys Bezahlseite.
• Eine auf AutoIt basierende Kopie von Locky (genannt AutoLocky) verwendete dieselbe Erweiterung – „.locky“.
• Crusis (alias Crysis) benutzt die Erweiterung „.xtbl“, die ursprünglich von Shade verwendet wurde.
• Xorist kopiert das gesamte Namensschema der von Crusis verschlüsselten Dateien.

Die prominenteste Kopie, die wir dieses Jahr fanden, ist möglicherweise Polyglot (alias MarsJoke). Dieser Schädling übernimmt vollständig das Erscheinungsbild und die Dateiverarbeitungsmethode von CTB-Locker.

Wir vermuten, dass sich diese Trends im Jahr 2017 verstärken werden.

Die florierende Ransomware-Industrie

Der Aufstieg von Ransomware-as-a-Service

Ransomware-as-a-Service ist zwar kein neuer Trend, doch im Jahr 2016 hat sich dieses Ausbreitungsschema weiterentwickelt und immer mehr Ransomware-Entwickler bieten ihr schädliches Produkt jetzt „nach Bedarf“ an. Dieser Ansatz hat sich als sehr reizvoll für Kriminelle erwiesen, denen es an technischen Fähigkeiten, Ressourcen oder Lust mangelt, ihre eigene Erpressersoftware zu entwickeln.

Ransomware wird im kriminellen Untergrund zunehmend vermietet. #KLReport

Tweet

Bemerkenswerte Beispiele für Ransomware, die im Jahr 2016 auf den Plan trat und dieses Modell anwendet, sind die Schadprogramme Petya/Mischa und Shark, das später unter dem Namen Atom neu aufgelegt wurde.

Dieses Geschäftsmodell wird immer raffinierter:

Die Partner-Webseite der Ransomware Petya

Die Partner einigen sich dabei auf ein traditionelles Arrangement auf Kommissionsbasis. Laut Petya-„Preisliste“ bleiben einem Angreifer von 125 in der Woche erpressten Bitcoins nach Abzug der Kommission 106,25 Bitcoins Gewinn.

Petya-Preisliste

Es gibt auch einmalige Nutzungsgebühren. Wer beispielsweise die Ransomware Stompado verwenden will, ist mit nur 39 US-Dollar dabei.

Da andere Kriminelle ihre Dienste unter anderem beim Spam-Versand und bei der Erstellung von Lösegeldforderungen anbieten, kann ein motivierter Angreifer jederzeit loslegen.

Von Netzwerken auf Provisionsbasis zu Kunden-Support und Branding

Die wirklich „professionellen“ Angreifer boten ihren Opfern einen Helpdesk und technischen Support an, um sie reibungslos durch den Kaufprozess von Bitcoins zu geleiten, mit denen dann das Lösegeld bezahlt werden soll. Manchmal sind sie sogar zu Verhandlungen bereit. Jeder weitere Schritt ermutigt das Opfer, zu zahlen.

Die Kriminellen bieten Kunden-Support an, um sicherzustellen, dass mehr Opfer zahlen. #KLReport

Tweet

Experten von Kaspersky Lab, die sich mit Ransomware in Brasilien beschäftigt haben, konnten zudem feststellen, dass die Markenentwicklung, also das Branding der Ransomware, von nicht unerheblicher Bedeutung ist. Diejenigen, die die Aufmerksamkeit der Medien auf sich ziehen und den Nutzern Angst einjagen wollen, entscheiden sich für aktuelle, reißerische Themen oder originelle Aufhänger. Dagegen widerstehen diejenigen, die lieber im Verborgenen agieren, der Versuchung des Ruhmes und hinterlassen ihren Opfern nur eine E-Mail mit den Kontaktdaten der Erpresser und eine Bitcoin-Adresse, an die gezahlt werden soll.

Es geht immer noch um Bitcoins

Das gesamte Jahr 2016 hindurch bevorzugten die führenden Ransomware-Familien wie gehabt Zahlungen in Bitcoins. Die meisten Lösegeldforderungen waren nicht übertrieben. Sie bewegten sich im Rahmen von durchschnittlich 300 US-Dollar, obwohl einige weitaus höher angesetzt – und auch bezahlt – wurden.

Im Rahmen anderer, meist regional beschränkter und maßgeschneiderter Operationen wurden lokale Zahlungsmethoden bevorzugt, obwohl das auch bedeutet, dass sich die Erpressung nicht so leicht verbergen lässt und nicht im allgemeinen Ransomware-Getöse untergeht.

Ransomware nimmt Unternehmen ins Visier

In den ersten drei Monaten des Jahres 2016 richteten sich 17 Prozent der Ransomware-Attacken gegen Unternehmen – das bedeutet, dass alle zwei Minuten irgendwo auf der Welt ein Unternehmen von Erpressersoftware angegriffen wurde^[i]. Zum Ende des dritten Quartals 2016 war dieser Wert auf 23,9 Prozent gestiegen, was einer Attacke alle 40 Sekunden gleichkommt.

Alle 40 Sekunden wird ein Unternehmen von Ransomware angegriffen. #KLReport

Tweet

Gemäß den Studien von Kaspersky Lab wurde im Jahr 2016 eines von fünf Unternehmen weltweit Opfer eines IT-Sicherheitsvorfalls infolge einer Ransomware-Attacke.

• 42 Prozent aller kleinen und mittleren Unternehmen wurden in den letzten zwölf Monaten von Ransomware angegriffen.
• 32 Prozent dieser Unternehmen zahlten Lösegeld.
• Eines von fünf dieser Unternehmen erhielt seine Dateien nicht zurück, auch nicht nach der Zahlung des Lösegeldes.
• 67 Prozent der von Ransomware angegriffenen Unternehmen verloren ihre gesamten oder einen Teil ihrer Geschäftsdaten, und eines von vier versuchte wochenlang, den Zugriff auf die Daten wiederherzustellen.

Eines von fünf KMUs erhielt seine Daten – auch nach Zahlung des Lösegeldes – nie zurück. #KLReport

Tweet

Social Engineering und menschliche Fehlbarkeit spielen eine Schlüsselrolle bei der Angreifbarkeit von Unternehmen. In einem von fünf Fällen mit bedeutendem Datenverlust war der Schaden auf Sorglosigkeit oder mangelndes Sicherheitsbewusstsein der Mitarbeiter zurückzuführen.

„Wir haben es zunehmend mit zielgerichteter Ransomware zu tun, wobei kriminelle Gruppen ihre Ziele sorgfältig aufgrund der Daten, die diese Ziele besitzen, und/oder aufgrund der Abhängigkeit von der Verfügbarkeit dieser wertvollen Daten auswählen und sie dann mittels Spear-Phishing angreifen.“ John Fokker, Team-Koordinator bei der Dutch National High Tech Crime Unit

Einige Branchen sind stärker betroffen als andere, aber unsere Studien zeigen, dass ausnahmslos alle potenziell gefährdet sind.

Keine Branche ist mehr sicher vor Ransomware. #KLReport

Tweet

Ransomware-Attacken, die Schlagzeilen machten

• Krankenhäuser haben sich zu einem Hauptziel entwickelt, mit potenziell verheerenden Auswirkungen: Operationen mussten abgesagt, Patienten in andere Krankenhäuser verlegt werden und so weiter.

  • Das eklatanteste Beispiel für eine Ransomware-Attacke ereignete sich im März, als Cyberkriminelle die Computer des Hollywood Presbyterian Medical Center in Los Angeles so lange blockierten, bis das Krankenhaus 17.000 US-Dollar zahlte.
  • Innerhalb weniger Wochen wurde eine Reihe von Krankenhäusern in Deutschland angegriffen.
  • In Großbritannien haben 28 Einrichtungen des National Health Service eingeräumt, im Jahr 2016 angegriffen worden zu sein.

• Der Hosted Desktop und Cloud Provider VESK zahlte fast 23.000 US-Dollar Lösegeld, um den Zugriff auf seine Systeme nach einem Angriff im September wiederherzustellen.

• Führende Medien, unter anderem die New York Times, die BBC und AOL, wurden im März 2016 von Malware attackiert, die Ransomware auslieferte.

• Die University of Calgary in Kanada, ein führendes Forschungszentrum, räumte ein, um die 16.000 US-Dollar bezahlt zu haben, um die E-Mails wiederherzustellen, die eine Woche lang verschlüsselt waren.

• Ein kleines Polizeirevier in Massachusetts bezahlte letztlich 500 US-Dollar Lösegeld (in Bitcoin), um wichtige fallbezogene Daten zurückzuerhalten, nachdem ein Beamter einen verseuchten E-Mail-Anhang geöffnet hatte.

• Selbst der Motorsport war betroffen: Ein führendes NASCAR-Team verlor Daten im Wert von Millionen von US-Dollar infolge einer TeslaCrypt-Attacke im April.

Abwehr

Durch Technologie

Die neusten Versionen der Kaspersky-Lab-Produkte für kleinere Unternehmen wurden um eine Anti-Kryptomalware-Funktionalität erweitert. Zudem wurde ein neues, kostenloses Anti-Ransomware-Tool für Unternehmen jeder Art zum Download und zum Gebrauch bereitgestellt, ganz unabhängig davon, welche Sicherheitslösung verwendet wird.

Ein neues, kostenloses, AV-unabhängiges Anti-Ransomware-Tool ist jetzt verfügbar. #KLReport

Tweet

Das Anti-Ransomware-Tool für Unternehmen von Kaspersky Lab ist eine „leichte“ Lösung, die parallel zu anderer Antiviren-Software laufen kann. Das Tool verwendet zwei Komponenten, die für die Detektion von Trojanern in einem frühen Stadium benötigt werden: das verteilte Netzwerk Kaspersky Security Network sowie System Watcher, eine Komponente, die die Aktivität von Anwendungen überwacht.

Das Kaspersky Security Network überprüft mit hoher Geschwindigkeit die Reputation von Dateien und Website-URLs über die Cloud. System Watcher beobachtet das Verhalten von Programmen und bietet proaktiven Schutz vor bisher unbekannten Trojaner-Versionen. Am wichtigsten ist, dass das Tool in der Lage ist, eine Sicherheitskopie von Dateien zu erstellen, die von verdächtigen Apps geöffnet wurden. Außerdem kann es Änderungen zurücksetzen, wenn sich die von einem Programm vorgenommenen Aktionen als schädlich erweisen.

Durch Zusammenarbeit: Die Initiative „NoMoreRansom.org“

Am 25. Juli 2016 gaben die niederländische Polizei, Europol, Intel Security und Kaspersky Lab den Start des Projekts NoMoreRansom.org bekannt – eine nicht kommerzielle Initiative, die öffentliche und private Organisationen vereint. Ihr Ziel ist es, die Öffentlichkeit über die Gefahren zu informieren, die von Ransomware ausgehen, und den Opfern dabei zu helfen, ihre Daten wiederherzustellen.

Das Online-Portal stellt aktuell acht Entschlüsselungstools zur Verfügung, von denen fünf von Kaspersky Lab entwickelt wurden. Mit Hilfe dieser Tools können Daten wiederhergestellt werden, die von über 20 Arten von Kryptomalware verschlüsselt wurden. Zum gegenwärtigen Zeitpunkt haben über 4.400 Opfer ihre Daten zurückerhalten und dabei etwa anderthalb Millionen US-Dollar an Lösegeld NICHT gezahlt.

„NoMoreRansom.org“ hat bisher Daten von 4.400 Opfern wiederhergestellt – und die Erpresser damit um mehr als 1,5 Millionen US-Dollar Lösegeld gebracht. #KLReport

Tweet

Im Oktober haben sich die Strafverfolgungsbehörden weiterer 13 Länder dem Projekt angeschlossen. Mit dabei sind jetzt auch Bosnien und Herzegowina, Bulgarien, Frankreich, Irland, Italien, Kolumbien, Lettland, Litauen, Portugal, Schweiz, Spanien, Großbritannien und Ungarn.

Eurojust und die Europäische Kommission unterstützen die Ziele des Projektes ebenfalls. Es wird erwartet, dass schon bald neue Partner aus dem privaten Sektor sowie auch Strafverfolgungsbehörden ihre Mitarbeit bekanntgeben werden.

„Öffentliche und private Partnerschaften sind der Kern und die Stärke der NMR-Initiative. Sie sind unerlässlich, um das Problem effektiv und wirkungsvoll anzupacken, da sie uns ein Potenzial und eine Reichweite bieten, die Strafverfolgungsbehörden allein nicht bieten können.“ Steven Wilson, Leiter des EC3 von Europol

Ransomware Paroli bieten – so bleibt man auf der sicheren Seite

1. Erstellen Sie regelmäßig Sicherheitskopien.
2. Verwenden Sie eine verlässliche Sicherheitslösung und denken Sie daran, Schlüsselfunktionen wie zum Beispiel System Watcher immer aktiviert zu haben.
3. Halten Sie die Software auf allen benutzten Geräten immer auf dem aktuellen Stand.
4. Behandeln Sie E-Mail-Anhänge oder Nachrichten von Personen, die Sie nicht kennen, mit Vorsicht. Sollten Sie Zweifel haben, öffnen Sie sie nicht.
5. Wenn Sie ein Unternehmen leiten, sollten Sie ihre Mitarbeiter und IT-Teams schulen; verwahren Sie sensitive Daten separat; beschränken Sie den Zugriff; und erstellen Sie Sicherheitskopien von allem, jederzeit.
6. Sollten Sie das große Pech haben, Opfer einer Ransomware-Attacke zu werden, verfallen Sie nicht in Panik. Verwenden Sie ein sauberes System, um auf der Webseite von „NoMoreRansom.org“ nach einem Entschlüsselungstool zu suchen, das Ihnen dabei hilft, Ihre Daten wiederherzustellen.
7. Last but not least: Vergessen Sie nicht, dass eine Ransomware-Attacke eine strafbare Handlung ist. Melden Sie den Vorfall der Polizei vor Ort.

„Wir raten den Anwendern eindringlich dazu, Attacken zu melden. Jedes Opfer verfügt über ein wichtiges Beweisstück, das uns unschätzbare Erkenntnisse bietet. Im Gegenzug halten wir sie auf dem Laufenden und schützen sie vor zwielichtigen „Angeboten“ Dritter, die Daten zu entschlüsseln. Aber wir müssen dafür sorgen, dass mehr Strafverfolgungsbehörden lernen, richtig mit digitaler Kriminalität umzugehen.“ Ton Maas, Team-Koordinator bei der Dutch National High Tech Crime Unit

Warum Sie nicht zahlen sollten – ein Ratschlag von der Dutch National High Tech Crime Unit

1. Sie werden zu einer noch größeren Zielscheibe.
2. Kriminellen ist nicht zu trauen – möglicherweise bekommen Sie Ihre Daten auch dann nicht zurück, wenn Sie zahlen.
3. Die nächste Lösegeldforderung wird höher sein.
4. Sie ermutigen die Verbrecher.

Können wir den Kampf gegen Ransomware jemals gewinnen?

Wir glauben, ja – jedoch nur, wenn wir zusammenarbeiten. Ransomware ist ein lukratives kriminelles Geschäft. Um ihm Einhalt zu gebieten, muss die Welt sich vereinen, um die zerstörerische Kette der Kriminellen zu unterbrechen und es ihnen zunehmend zu erschweren, ihre Attacken durchzuführen und von ihnen zu profitieren.

[i]

Die Schätzungen basieren auf den folgenden Daten: 17 Prozent von 372.602 individuellen Nutzern, bei denen im ersten Quartal 2016 von Kaspersky-Lab-Produkten Ransomware-Attacken blockiert wurden, und 23,9 Prozent von 821.865 individuellen Nutzern, bei denen im dritten Quartal 2016 von Kaspersky-Lab-Produkten Ransomware-Attacken blockiert wurden.