Haben erneut gesetzestreue Sicherheitsspezialisten die Seite gewechselt und sind zu feindlichen Hackern geworden? Es sieht zumindest danach aus, wenn wir den Newcomer in Sachen Wiper-Malware betrachten. Unterschrieben von der Person Vitali Kremez oder dem Firmennamen MalwareHunterTeam erscheinen nach einem erfolgten Hack seltsame Meldungen statt der gewohnte Startbildschirm auf dem Monitor.
Wiper-Malware: Meister der Zerstörung
Sie ist innerhalb der Ransomware eine Klasse für sich. Viele Vertreter kennen wir bereits zu Genüge: Da wären der Trojaner Emotet, Erpresser Ryuk oder Banking-Virus Trickbot. Oft sind sie sogar eng miteinander verwoben und agieren gemeinsam. Auch Wiper treten nicht zwangsläufig allein auf. Obwohl die meisten Beispiele enge Gemeinsamkeiten aufweisen, stufen wir Wiper-Malware als am gefährlichsten ein. Denn dieser Schädling hat es nicht nur auf den Datendiebstahl abgesehen, er will die Festplatte des Computers komplett zerstören.
Mit der Übersetzung “Wischer” klingt der Begriff erst einmal wenig bedrohlich. Wenn Sie das Wort “Wiper” in der Google-Suche eingeben, erhalten Sie zu allererst Treffer für Mähroboter und eine amerikanische Punkband. Wenn Sie jedoch etwas weiter nach unten scrollen oder auf die nächsten Seiten blättern, finden Sie eher das, wovon wir heute sprechen: Hacker-Tools zur Datenlöschung.
Bei den besagten zwei Vertretern der Wiper-Malware handelt es sich um Angreifer, die den Master Boot Record (MBR) zum Ziel haben. Speichermedien werden infiziert und über eine Art Scheibenwischmechanismus überschrieben, im schlimmsten Fall bis zur vollständigen Löschung. Dabei verwischt nicht nur der Schmutz (der wahre Verursacher bleibt im Dunkeln), auch vertraute Dateien werden mit neuen Bildern oder Texten überlagert.
Wiper-Malware: Segeln unter falscher Flagge
Die angeblichen Urheber Vitali Kremez und MalwareHunterTeam hinterlassen auf dem infizierten Rechner Botschaften. In einer heisst es beispielsweise nicht gerade freundlich “I infected your stupid PC, you idiot”. Gleichzeitig bietet sie einen Ansprechpartner für das Problem unter “write me in Twitter … /malwrhunterteam” und ist namentlich unterzeichnet.
Tatsache ist allerdings, dass weder Herr Kremez noch das genannte Team irgendetwas mit diesen Nachrichten zu tun haben. Wer die Beiden nicht kennt: Vitali Kremez ist Leiter des Unternehmens “Sentinel Labs” und auf Investigation von Cyberkriminalität spezialisiert. Nach seiner früheren Karriere beim New Yorker Department ist er auch heute noch ehrenvoller Vertreter der IT-Security-Branche. Seine Firma besitzt eine starke Stimme unter allen ehrenwerten “Bedrohungsjägern”.
Das MalwareHunterTeam bildet quasi eine gegnerische Partei der Hacker-Bösewichte: Unter anderem betreibt es den Service “ID Ransomware”, mit dem Trojaner identifiziert und nach Möglichkeit beseitigt werden können.
False Flag Operations
Schon wieder ein neuer Begriff, der uns mit Wiper-Malware begegnet. Eigentlich stammt er aus der Seefahrt und gilt für geschickte Täuschungsmanöver oder auch verdeckte Operationen bei Militär und Geheimdienst. Alle Aktionen werden einem Dritten zugeschrieben (der meist überhaupt nichts davon weiss) beziehungsweise in seinem Namen publiziert. Kurzum, man schiebt jemand Anderem die Schuld in die Schuhe. So eine Strategie ist im Grunde nichts Neues für uns. Ähnlich den Fake News dient sie vorrangig der Verbreitung von Fehlinformationen.
Der Master Boot Record: Sektor und Kern des Geschehens
Befassen wir uns jetzt damit, warum Wiper-Malware so gefährlich ist und was genau sie überhaupt tut. Angriffspunkt ist der MBR. Er ist erster Sektor eines jeden Speichermediums, also auch des Paradebeispiels Festplatte. Jeder MBR enthält zwei wesentliche Dinge: das Startprogramm sowie eine Partitionstabelle. Ohne MBR ist ein Datenträger nicht startfähig.
Laienhaft umschrieben sorgt das Startprogramm (wie der Name schon verrät) für den erfolgreichen Start des Betriebssystems. Die Partitionstabelle liefert dabei die Informationen über die Aufteilung des Datenspeichers. Auf den meisten gängigen Speichermedien sind wir in der Lage, nach Belieben mehrere Partitionen zu erstellen. In der Regel sind sie voneinander unabhängig und überlappen sich nicht, es gibt jedoch auch Ausnahmen.
Wiper-Malware kann sowohl Startprogramm an sich als auch einzelne Partitionstabellen infizieren. Ist eine Tabelle fehlerhaft oder fehlt ganz, kann sie nicht korrekt gelesen und somit auch nicht geladen werden. Das Startprogramm ist gesperrt und Windows taucht gar nicht erst auf. Allem voran steht die Firmware BIOS, die alle im PC verbauten Hardwarekomponenten miteinander verbindet. Ist ein Rechner mit MBR-Malware infiziert, kommen wir nicht über den BIOS-Bildschirm hinaus.
Geschmacklose Scherze
Weder die Betitelung als Idiot noch die Forderung, den Angreifer zu kontaktieren, sind höfliche Druckmittel. Schon in der Vergangenheit gab es unzählige weitere Arten, Wiper-Malware bildlich oder textuell zu gestalten. In 2012 wanderte zum Beispiel das Bild einer brennenden US-Flagge an Stelle des Startbildschirms. Auch das Foto des zwei Jahren alten Alan Kurdi, der auf der Flucht aus Syrien ertrunken ist, bewegte sich im Jahr 2016 fern abseits jeglicher Moral. Hintergrund dieser beiden Beispiele bildeten die Malware “Shamoon” und “Flame”.
2017 riss die Bedrohung lange nicht ab. Nicht nur in der Ukraine machte sich “Petya” einen traurigen Namen. Ebenso wie artverwandte Wiper hat sie Starttabellen des MBR verschlüsselt und mittels Meldungen ein Lösegeld gefordert, um sich von der Infektion zu befreien. (Auch nach Zahlung der Lösegelder wurden die Datenverschlüsselungen nicht rückgängig gemacht.) Was Petya so geschmacklos machte, ist die Namensübersetzung aus dem Russischen, denn sie steht für den verniedlichten Kosenamen “Peterlein”.
Noch heute existieren und kursieren viele Wiper-Varianten. Nicht einmal Petya ist endgültig gebannt. Tatsächlich scheint er sich sogar stetig weiterzuentwickeln, denn wir zählen neben dem Original mindestens vier Abkömmlinge. Die erste kennzeichnet sich durch einen roten Totenkopf, der auf dem Startbildschirm erscheint. Nicht sehr kreativ kam später ein grüner Totenkopf hinzu, Petya fand mit “Mischa” Unterstützung. “Goldeneye” ist ein weiterer von vielen Wipern, die unverändert gefährlich sind.
Nicht zu fachlich – Praxistipps gegen Wiper-Malware
Irgendwie muss sie ja überhaupt erst auf den Computer gelangen, um aktiv zu werden. Zur akuten Bedrohung durch den falschen Vitali Kremez / MalwareHunterTeam ist noch nicht ausreichend bekannt, weder zum Umfang, noch wie er sich tarnt. Allerdings können wir in der Gegenwart immer noch enorm viel aus Vergangenem lernen.
Petya zum Beispiel wurde bevorzugt über Email-Anhänge übertragen. Unternehmen öffneten arglos geschickt als Bewerbungsschreiben getarnte Dateien und schon übernahm der Wiper den MBR. Nach wie vor gibt es ausserdem mehrstufige Tarnungen. Ein Dropbox-Link gibt einen falschen Betreff vor, die Datei zum Download ist kein .pdf, sondern ein eigenständiges Programm.
Die Tipps im Detail
- Beim Anbieter ID Ransomware können Sie verdächtige Dateien hochladen, unabhängig davon, ob Sie sie selbst öffnen können (eventuell kommen sie verschlüsselt bei Ihnen an). Gemäss dem GI Joe Zitat “Wissen ist halb gewonnen” erfahren Sie, ob die erhaltene Datei Malware beinhaltet.
- Auf derselben Website können Sie alternativ direkt die Email-Adresse eingeben, von der die Datei stammt. Das Eingabefeld können Sie genauso gut dafür nutzen, angebliche Kontaktdaten von Erpressern zu prüfen.
- Besser Vorsicht als Nachsehen: Erstellen Sie einen Systemreparaturdatenträger. In der Systemsteuerung finden Sie auch die Option, ein Systemwiederherstellungsabbild zu speichern.
- Nicht zuletzt kann die ursprüngliche Betriebssystem-Installation-CD Hilfe bieten. Sie ist genauso Notfallsystem wie der Datenträger unter Punkt 3.
- Mit sogenannten MBRLockers soll es möglich sein, den infizierten MBR zu “ersetzen” und ein geschütztes Backup zu erstellen. Eine solche Funktion sollte allerdings den IT-Spezialisten unter Ihnen vorbehalten bleiben und ist mit grosser Vorsicht zu geniessen. Davon abgesehen kann es schwierig sein, unter dem Vielzahl an Angeboten seriöse Software auszumachen.
- In Ausnahmefällen gab es bestimmte Tastenkombinationen, um sowohl den MBR wiederherzustellen als auch den Computer zum Start zu zwingen. Auch hier gilt: Nicht zu riskant experimentieren, um am Ende nicht mehr Schaden als Nutzen anzurichten.
Sie waren oder sind ebenfalls Opfer eines Wiper-Malware Angriffs? Nutzen Sie die Funktion unter diesem Blog-Beitrag, Ihr und unser Wissen zu vereinen und es mit Anderen auf Facebook, Twitter und Co. zu teilen.