Neue Ransomware: Dieses Mal ist der Wolf im Hasenpelz unterwegs

„Es war wohl tatsächlich nur eine Frage der Zeit, bis irgendjemand die Ideen und Techniken, die uns von WannaCry oder NotPetya bekannt sind, aufgreift und damit eine neue Attacke auf ahnungslose Opfer fährt.“ Die aktuelle Ransomware scheint sich nach bisherigen Erkenntnissen über einen gefälschten Installer des Adobe Flash Plyer zu verbreiten. Allerdings geht Bad Rabbit im Vergleich zu „normaler“ Ransomware noch einen Schritt weiter und hat die Möglichkeit, sich innerhalb eines einmal kompromittierten Systems proaktiv als Wurm weiter zu verbreiten – also nicht nur via Email-Anhang oder angreifbare Web-Plugins. Momentan wird davon ausgegangen, dass die gleichen Passwortdiebstahl- und Verbreitungsmechanismen zum Einsatz kommen wie bei „NotPetya“. Das bedeutet, dass „Bad Rabbit“ ein Unternehmen in kürzester Zeit vollständig unterwandern und lahmlegen kann.

Sobald Bad Rabbit einen Computer infiziert hat, scheint die Ransomware sich rasend schnell übers Netzwerk auszubreiten, indem sie eine Liste häufig genutzter Benutzernamen (Admin, FTP-User ec.) und Passwörtern (1234, qwert, password etc.) abfragt, die innerhalb der Malware gespeichert sind. Übrigens wieder einmal eine deutlicher Hinweis darauf, immer starke und unterschiedliche Passwörter zu nutzen, selbst wenn man sich hinter der Unternehmens-Firewall in Sicherheit wiegt. Sobald Bad Rabbit die Vorherrschaft übernommen hat, verschlüsselt die Malware nicht nur alle Dateien, sondern auch den Master Boot Record des Computers. Die betroffenen Nutzer werden mit den mittlerweile bekannten Nachrichten begrüßt, die ein Lösegeld fordern. Beispiel:

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You Might have been looking for a way to recover your files.
Don’t waste your time. No one will be able to recover them
without our decryption service.
We guarantee that you can recover all your files safely.
All you need to do is submit the payment and get the
decryption password.


Sophos-Lösungen erkennen die Gefahr unter dem Namen Troj/Ransom-ERK. Sophos Sandstorm und Intercept X haben die Ransomware außerdem proaktiv aufgrund ihrer Machine-Learning- und CryptoGuard-Technologie aufgedeckt.

Wer sich zusätzlich schützen will, sollte folgende Ratschläge beherzigen:

  • Software immer auf dem neuesten Stand halten
  • Regelmäßige Back-ups fahren und extern speichern – nicht nur Ransomware, sondern viele andere Gefahren wie Diebstahl, Wasserschaden oder versehentliches Löschen sorgen für Datenverlust.
  • Verschlüsselte Back-ups sorgen dafür, dass Daten nicht in die falschen Hände fallen, selbst wenn das Back-up-Gerät gestohlen wird.
  • Unternehmen sollten auf ein mehrschichtiges und kommunizierendes IT-Security-System setzen, um den immer ausgeklügelteren Angriffen der Hacker Einhalt zu gebieten.
  • Unternehmen können sich kostenlos ein Trial zu Sophos Intercept X herunterladen und damit Ransomware ausschalten.

Weitere Informationen und ein kontinuierliches Update zu Red Rabbnit finden Sie bei Naked Security unter Bad Rabbit Ransomware Outbreak

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.