Verschlüsselt Ransomware nur die ersten KB?
Hallo!
Ich habe jetzt mehrmals gelesen, dass Ransomware immer nur die ersten KB einer Datei verschlüsselt. Ausnahmen bestätigen die Regel. Wiper werden sich wohl nicht mit den ersten KB begnügen. Sagen wir mal so, es macht Sinn nur die ersten KB zu verschlüsseln. Das ist wirtschaftlich. Das Geschäftsmodell soll ja möglichst effektiv sein und gut funktionieren. Möglicherweise erleichtert das auch das Entschlüsseln (weniger fehleranfällig).
Nun, das könnte ich mir doch zu Nutze machen oder nicht? Dann brauche ich ja nur ein Backup der jeweils ersten, sagen wir, 300 KB zu machen und bin stets auf der sicheren Seite. Das macht vor allem Sinn für GROßE Dateien. Sagen wir Filme mit 1 GB aufwärts. Ich kenne allerdings kein Programm, das das so machen würde, immer nur die erste Scheibe der Salami in Sicherheit bringen. Hat jemand eine Idee?
Es gibt zahlreiche (Multimedia) File Repair Tools. Ja, die haben aber alle einen Haken, die brauchen eine Referenz Datei (die man üblicherweise natürlich nicht hat). Das muss quasi eine Datei aus der gleichen Baureihe zu der verschlüsselten sein. Aber selbst dann dürfte der Erfolg höchst ungewiss sein. Der Film soll wieder abspielbar sein, ja aber bei gleicher Qualität! Andernfalls fahre ich mit einem Voll Backup 1000 mal besser.
Wenn die Ransomware die ganze Platte Bit für Bit verschlüsselt... Klar, dann kucke ich in die Röhre. Das gleiche gilt für MFT Varianten. Das machen aber nur wenige Varianten so. Ich kann ja zusätzlich auch noch ein Voll Backup machen, für meine wichtigsten Daten.
Ich bräuchte ein Programm, das tatsächlich nur die ersten KB sichert und natürlich eins, das im Falle eines Ransomware Angriffs die verschlüsselten Dateien mit Hilfe der unverschlüsselten KB wiederherstellt.
Besten Dank für jede Antwort!
4 Antworten
Ich habe jetzt mehrmals gelesen, dass Ransomware immer nur die ersten KB einer Datei verschlüsselt
Das ist denkbar, da viele Dateiformate (Word, PDF, Bilder, Videos, Musik, ZIP-Dateien, usw.) Metadaten enthalten, und diese befinden sich in der Regel am Anfang der Datei. Ohne diesen Metadaten lässt sich die Datei nicht öffnen und wird als "beschädigt" oder "ungültig" angezeigt.
Sagen wir mal so, es macht Sinn nur die ersten KB zu verschlüsseln. Das ist wirtschaftlich. Das Geschäftsmodell soll ja möglichst effektiv sein und gut funktionieren. Möglicherweise erleichtert das auch das Entschlüsseln
Nein, es spart lediglich Zeit. Eine 10 GB große Datei komplett zu verschlüsseln, würde sehr lange dauern.
Nun, das könnte ich mir doch zu Nutze machen oder nicht? Dann brauche ich ja nur ein Backup der jeweils ersten, sagen wir, 300 KB zu machen
Das Problem ist: Wenn du so eine Software schreibst, und diese wird von vielen Leuten benutzt, bekommen Hacker das mit. Sie überlegen sich dann neue Methoden, dich zum Zahlen zu zwingen, z.B. indem sie jeden siebzehnten Block verschlüsseln. Die meisten Dateien wären damit auch komplett unbrauchbar. Oder sie verschlüsseln tatsächlich alles, was zwar langsamer ist, dafür aber zuverlässiger. Der einzige sichere Schutz vor Ransomware ist daher ein vollständiges Backup.
Ich kenne kein solches Programm. Wenn ich eines kennen würde, würden es auch die Ersteller von Ransomware wahrscheinlich kennen.
Ich habe auch keine Lust, Praktiken zu bewerben, die dir eine falsche Sicherheit vorgaukeln. Außerdem bezweifle ich (auch wenn ich kein Sicherheitsforscher bin), dass alle (oder die meisten) Ransomware-Programme exakt so vorgehen wie von dir beschrieben. Ein Ransomware-Programm könnte die Dateien auch umbenennen und die Dateinamen verschlüsseln, dann bringt dir dein Vorschlag ebenfalls nichts.
Das beste Mittel gegen Hacker ist immer noch, Vorsicht walten zu lassen und nur vertrauenswürdige Software zu verwenden.
Ich habe jetzt mehrmals gelesen, dass Ransomware immer nur die ersten KB einer Datei verschlüsselt.
Ransomware ist nicht genormt, deshalb kann man da keine allgemeinen Aussagen machen.
Jeder Ransomware-"Entwickler" programmiert das nach seinen eigenen Vorstellungen.
Es gibt nicht "die Ransomware". Manche Verschlüsselungstools verschlüsseln tatsächlich nur Teile der Dateien, manche verschlüsseln erst Teile der Dateien und erst später den Rest, manche verschlüsseln gleich alles.
Nein.
Außerdem macht man Backups nicht nur wegen Ransomware.
Nun, ich erwarte nicht, dass Microsoft das als neues Bordmittel rausbringt. Ich meine ein Programm, das es bei Chip.de ganz legal und kostenlos zu downloaden gibt. Das zu programmieren wäre sicherlich kein großer Akt (für jemanden der das kann). Das Programm würde vielleicht 10.000 mal gezogen werden. Das ist nichts! Das spüren diese Erpresserbanden gar nicht. Das würde die Einnahmen vielleicht um 0,1 % senken. Möglicherweise aber auch erhöhen, weil dann die allgemeine Vorsicht außer Acht gelassen wird. Nichtsdestotrotz muss man die Backups natürlich gemacht haben und an einem sicheren Ort lagern. Profis haben natürlich professionelle Tools, die kosten viel Asche. Firmen gehen ja nochmal ganz anders vor. Da geht es ja mehr um Serversicherheit und Logistik. Außerdem dürfen Firmendaten auch nicht exfiltriert werden, das ist ja eher sogar noch schlimmer, wenn das passiert.
Also der Broterwerb unsere Hacker Banden in Russland dürfte auf 20 Jahre hinaus gesichert sein. Um die muss man sich nicht sorgen :-P.