Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Malware-Analyse

G Data: GandCrab-Ransomware besonders penetrant



Andreas Th. Fischer ist freier Journalist in München. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Die Entwickler der GandCrab-Ransomware setzen laut G Data auf einfache Lösungen wie ein hundertmaliges Aufrufen der Benutzerkontensteuerung, um ihre kriminellen Ziele zu erreichen.

Mitarbeiter des Security-Spezialisten G Data haben sich weiter intensiv mit GandCrab beschäftigt, einer neuen Ransomware, die sich derzeit stark verbreitet. Die Entwickler von GandCrab setzen dabei nach Aussage des G-Data-Analysten Robert Michel auf Einfachheit.

GandCrab-Ransomware: Einfache, aber effektive Methoden, um fremde Rechner zu infizieren.
GandCrab-Ransomware: Einfache, aber effektive Methoden, um fremde Rechner zu infizieren.
Foto: Zephyr_p - shutterstock.com

Statt selbst komplizierte Lösungen zu entwickeln, versuchen sie stattdessen, den Nutzer zur Mithilfe zu bewegen. Rund 100 Mal ruft GandCrab laut Michel die Benutzerkontensteuerung von Windows auf und bittet um erweiterte Rechte. Klickt der Anwender nur einmal auf »Ja«, dann hat er damit die Installation des Erpresser-Trojaners ermöglicht. Anschließend beginnt die Malware damit, wichtige Dateien und Dokumente zu verschlüsseln, um danach ein Lösegeld zu fordern.

Eine weitere Besonderheit an GandCrab ist, dass er nicht versucht, sich dauerhaft im System festzusetzen. Nach einem Reboot ist er wieder weg. Der Grund dafür ist laut G Data, dass der Schädling nach der Verschlüsselung der Daten seine eigentliche Aufgabe bereits erfüllt hat. Danach wird er auf dem Zielsystem nicht mehr benötigt. Michel betont jedoch, dass sich hier nicht alle untersuchten Malware-Versionen gleich verhalten haben. Eine spätere Variante sei durchaus auch nach einem Neustart noch vorhanden gewesen.

Für Michel ist GandCrab ein gutes Beispiel dafür, dass auch Kriminelle unnötigen Aufwand vermeiden wollen und versuchen, möglichst kosteneffektiv zu arbeiten.