Was ist 0xxx Ransomware? Erkennung, Schutz und Wiederherstellung
<> & & 0xxx ist eine Art von Ransomware, die erstmals Anfang 2021 aufgetaucht ist und seitdem Organisationen auf der ganzen Welt massiven Schaden zufügt. Im Grunde genommen handelt es sich bei 0xxx um eine Ransomware-Infektion, die Dateien auf dem PC eines Benutzers verschlüsselt, indem sie gängigen Dateiendungen wie .txt, .docx, .xlsx die Endung .0XXX hinzufügt. Nach der Infektion können Benutzer nicht mehr auf die umbenannten Dateien zugreifen. Um wieder Zugriff auf die gesperrten Daten zu erhalten, wird das Opfer aufgefordert, ein Lösegeld in Bitcoin zu zahlen. Die Cyberkriminellen hinter der 0xxx-Infektion behaupten dann, dass sie im Gegenzug eine Entschlüsselung zur Verfügung stellen werden.
Nach einer kurzen Einführung über Ransomware und ihre beiden Haupttypen behandelt dieser Blogbeitrag die 0xxx-Ransomware, Methoden zur Datensicherheit und das Wiederherstellen von Daten, wenn Ihr System infiziert ist.
Was ist Ransomware?
Ransomware ist eine Art von Malware, die sich in der Regel ohne Wissen oder Zustimmung des Benutzers auf einem Gerät installiert. In den meisten Fällen verschlüsselt Ransomware nach der Infektion eines Geräts einige oder alle Dateien, und Cyberkriminelle verlangen eine Zahlung als Gegenleistung für ein Tool zur Entschlüsselung (das auch nach Zahlung des Lösegelds möglicherweise nicht bereitgestellt wird). Ransomware wird meist durch Anklicken von Links in Phishing-E-Mails oder durch Öffnen bösartiger Anhänge von unbekannten Absendern installiert.
Ransomware blockiert nicht nur den Zugriff auf Dateien, sondern kann sich auch von einem Gerät auf ein anderes innerhalb eines Netzwerks ausbreiten, indem sie sich selbst in Speichergeräte oder cloudbasierte Speicherkonten kopiert. Allein dadurch gilt Ransomware als eine der gefährlichsten Formen von Malware und Cyberbedrohungen im Allgemeinen.
Die Idee hinter Ransomware ist es, den Opfern die Wiederherstellung ihrer Daten so schwer wie möglich zu machen. Einige Ransomware-Varianten opfern nach der Verschlüsselung die Datenintegrität oder ermöglichen es Hackern sogar, Änderungen vorzunehmen oder Dateien zu löschen. Dies erschwert es den Opfern erheblich, ihre Daten wiederherzustellen, und kann zu einem dauerhaften Datenverlust führen, wenn keine Backups für eine zeitpunktgenaue Wiederherstellung vorhanden sind.
Arten von Ransomware
Ransomware kann in zwei Haupttypen unterteilt werden: nicht verschlüsselnde und verschlüsselnde.
Nicht verschlüsselnde Ransomware verschlüsselt keine Dateien. Stattdessen nimmt sie Ihr System als Geisel. Diese Art von Ransomware zeigt beim Start des Betriebssystems oder beim Öffnen eines Browsers eine Anzeige an, dass das verwendete Gerät aufgrund illegaler Aktivitäten von der Regierung (oder einer Regierungsbehörde) übernommen wurde. Als Gegenleistung für die Aufhebung der angeblichen Anklage gegen Sie und die Entsperrung Ihres Geräts wird ein Lösegeld verlangt. Im Allgemeinen beeinträchtigt nicht verschlüsselnde Ransomware die Integrität Ihrer Daten nicht und kann von einem Gerät entfernt werden.
Auf der anderen Seite infiltriert verschlüsselnde Ransomware Ihr Gerät, in der Regel über einen bösartigen E-Mail-Anhang oder einen Phishing-Link, und blockiert den Zugriff auf Dateien und Programme auf diesem Gerät, bis Sie das geforderte Lösegeld zahlen. Aber selbst nach Zahlung des Lösegeldes ist nicht garantiert, dass Sie ein Tool für die Entschlüsselung erhalten, um wieder Zugriff auf Ihre Dateien zu erhalten. In einigen Fällen drohen Angreifer auch damit, sensible Daten zu veröffentlichen.
Verschlüsselnde Ransomware ist die schädlichste Art von Ransomware und wohl eine der bösartigsten Cyber-Bedrohungen der letzten Jahre. Unternehmen, die große Summen zahlen, um ihre Daten zurückzubekommen, ermutigen Cyberkriminelle, ihre Aktivitäten auszuweiten und mehr Opfer ins Visier zu nehmen.
Was ist 0xxx?
0xxx ist eine Art von verschlüsselnder Ransomware, die die Algorithmen AES und RSA zur Verschlüsselung von Dateien verwendet. AES und RSA sind leistungsstarke Standards für die Sicherheit der Verschlüsselung, die von Regierungen und Organisationen mit sensiblen Daten verwendet werden. Im Laufe der Jahre haben sich die AES- und RSA-Standards langsam zu einem festen Bestandteil der Ransomware-Welt entwickelt, da beide Algorithmen als die treibende Kraft hinter einigen der berüchtigtsten Varianten wie Cryptolocker und Teslacrypt gelten.
Genau wie andere Ransomware derselben Kategorie, beispielsweise Redeemer, Ouelezin Zebi und Iqll, verweigert 0xxx den Zugriff auf Dateien, indem es diese verschlüsselt, ihre Erweiterungen umbenennt und in jedem einzelnen Ordner auf dem infizierten Laufwerk eine Textdatei mit einer Lösegeldforderung erstellt.
Die erstellte Datei „!0XXX_DECRYPTION_README.TXT” enthält eine Reihe von Anweisungen, die die Opfer befolgen müssen, um ihre Daten zu entschlüsseln. Zunächst werden die Opfer jedoch darüber informiert, dass alle ihre Dateien mit dem 0xxx-Virus verschlüsselt wurden und dass ein Tool für die Entschlüsselung mit Bitcoin gekauft werden kann.
Anschließend werden die Opfer aufgefordert, die ihnen zugewiesene eindeutige ID (ein 32-stelliger Hex-Code in Großbuchstaben) zusammen mit drei verschlüsselten Dateien an die angegebene E-Mail-Adresse zu senden. Als Proof of Concept erhalten die Opfer eine E-Mail mit den drei zuvor gesendeten Dateien zurück, die vollständig entschlüsselt und virenfrei sind. In derselben E-Mail erhalten die Opfer die Bitcoin-Wallet-Adresse, an die das angegebene Lösegeld überwiesen werden muss. Schließlich versprechen die Cyberkriminellen hinter dem 0xxx-Virus, das Tool für die Entschlüsselung zu senden, sobald die Zahlung erfolgt ist.
Hier ist ein Screenshot einer 0xxx-Ransomware-Textdatei, in der das Opfer über die Zahlung des Lösegeldes informiert wird:
Wie infiziert 0xxx Computer?
Während Ransomware zur Verbreitung auf eine Vielzahl von Infektionsvektoren zurückgreift, sind die beiden häufigsten Methoden, mit denen Cyberkriminelle heutzutage 0xxx verbreiten, Phishing-E-Mails und Trojaner-Malware.
Phishing ist der am weitesten verbreitete aller Vektoren und ist mittlerweile raffinierter und gefährlicher denn je. Eine Phishing-E-Mail ist eine Betrugs-E-Mail, die den Empfänger dazu verleitet, auf einen Link zu klicken oder schädliche Inhalte herunterzuladen, die zu einem Ransomware-Angriff führen können. Phishing-E-Mails sind so gestaltet, dass sie den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen, beispielsweise einer Bank oder einem Kreditkartenunternehmen. Solche E-Mails können Dateien enthalten, die als Träger für Ransomware dienen. Sobald sie heruntergeladen und installiert sind, können die schädlichen Dateien das System sofort mit der Ransomware 0xxx infizieren.
Ein Trojaner ist eine Art von Malware, die oberflächlich betrachtet wie eine legitime Software aussieht, aber so programmiert ist, dass sie Daten auf einem System oder Netzwerk beschädigt. Trojaner werden oft versehentlich von verdächtigen Websites heruntergeladen, die behaupten, illegale Aktivierungstools (auch als „Crack” bezeichnet) und gefälschte Updates für Anwendungen wie Google Chrome oder Microsoft Office zu hosten. Nach der Installation kann die Trojaner-Malware eine Hintertür für einen böswilligen Akteur öffnen, der dann Daten auf dem Host-System ansehen und manipulieren kann. Wenn es dem Täter gelingt, vollständigen Zugriff auf das System zu erlangen, kann er leicht Ransomware wie 0xxx einschleusen.
Wie kann man 0xxx Ransomware erkennen?
Es gibt einige Anzeichen, anhand derer Sie 0xxx Ransomware auf Ihrem Gerät erkennen können:
- Verdächtige Änderungen an Dateinamenerweiterungen: Die erste Aktion der 0xxx Ransomware besteht darin, allen Dateierweiterungen .0XXX hinzuzufügen. Diese spezielle Ransomware behält die ursprünglichen Dateinamen bei. Beispiel: document.pdf wird zu document.pdf.0XXX. Dies ist keine einfache Umbenennung der Dateiendung, sondern ein Hinweis darauf, dass die Datei durch Verschlüsselung geschützt wurde.
- Hohe CPU-Auslastung: Die Ransomware 0xxx verbraucht viele Ressourcen, wodurch Programme deutlich langsamer laufen und laden können. Das Verschlüsseln und Umbenennen Tausender Dateien ist eine CPU-intensive Aufgabe und kann Ihr System so stark verlangsamen, dass es nicht mehr reagiert.
- Unmöglichkeit, auf Dateien zuzugreifen: Das Hauptziel der Ransomware 0xxx ist es, Ihnen den Zugriff auf Dateien zu verweigern. Nach der Verschlüsselung können Dateien und Dokumente nicht mehr geöffnet werden und erfordern ein Tool für die Entschlüsselung, um in ihren ursprünglichen Zustand zurückversetzt zu werden. Das Tool für die Entschlüsselung kann nur bereitgestellt werden, wenn das festgelegte Lösegeld gezahlt wurde.
- Anormale Netzwerkkommunikation: Wenn Ihr System mit der Ransomware 0xxx infiziert ist, kann es zu einer Verlangsamung der Internetverbindung kommen. Cyberkriminelle, die hinter Ransomware-Angriffen stehen, können ein Kommunikationssystem zwischen ihren Servern und infizierten Computern einrichten, um Dateien zu manipulieren. Dies kann zu ständigen Verbindungsproblemen führen.
Wie schützt man Systeme vor Ransomware?
Unternehmen jeder Größe dürfen die Bedrohung durch Ransomware nicht unterschätzen. Unabhängig davon, wie robust Ihr Sicherheitssystem ist, kann Ransomware dennoch auf Ihren Computer oder den Computer eines Mitarbeiters gelangen. Kein Unternehmen ist vollständig immun gegen die Bedrohung durch Ransomware. Um die Daten Ihres Unternehmens vor jeder Form von Ransomware zu schützen, müssen Sie daher einen mehrschichtigen Ansatz verfolgen.
Schulen Sie Ihre Mitarbeiter
Erstellen Sie ein effektives Schulungsprogramm für Mitarbeiter zum Thema Ransomware, um Ihre Kollegen darüber aufzuklären, was Ransomware ist und wie sie funktioniert. Sie sollten auch behandeln, wie man eine Infektion mit Malware vermeidet und wie man auf einen Ransomware-Angriff reagiert, falls es doch einmal dazu kommen sollte.
Es ist empfehlenswert, Mitarbeiter regelmäßig per E-Mail über Neuigkeiten zu Ransomware und die mit Cyber-Bedrohungen verbundenen Gefahren zu informieren, insbesondere wenn der Arbeitsablauf Ihres Unternehmens auf cloudbasierten Produktivitäts- und Kollaborationstools wie Microsoft Office 365 basiert.
Die Durchführung regelmäßiger Schulungen zum Thema Ransomware kann Mitarbeitern dabei helfen, zwischen betrügerischen und legitimen Inhalten in E-Mails, Anhängen und Websites zu unterscheiden. Dadurch kann die Wahrscheinlichkeit von Fehlhandlungen wie dem Öffnen von Phishing-Links und dem Herunterladen von Schadsoftware erheblich verringert werden.
E-Mail-Filter konfigurieren
Die meisten großen E-Mail-Dienste verfügen über Filter, die Sie und Ihre Kollegen vor Cyber-Bedrohungen, einschließlich Ransomware, schützen können. Einige Dienste bieten erweiterte Maßnahmen zur Sicherheit, wie die Automatische Erkennung und Ablehnung verdächtiger E-Mails von nicht vertrauenswürdigen oder unbekannten Quellen. Ich habe zuvor unter beschrieben, wie Sie Microsoft Defender für Office 365 Anti-Phishing- und Anti-Identitätsdiebstahl-Richtlinien konfigurieren und alle erforderlichen Schritte zur Maximierung der E-Mail-Sicherheit aufgelistet.
Scannen und überwachen Sie Ihr System
Die Durchführung geplanter vollständiger Systemscans mit einem aktualisierten Antiviren- oder Anti-Malware-Programm kann dabei helfen, verdächtige Aktivitäten wie die massenhafte Umbenennung von Dateiendungen oder ungewöhnliche Festplattennutzung zu erkennen. Ein Antivirenprogramm mit den neuesten Definitionen kann eine Ransomware-Bedrohung neutralisieren, indem es die heruntergeladene Malware-Software unter Quarantäne stellt und so die Ausbreitung der Infektion in Ihrem System und Netzwerk begrenzt. Stellen Sie außerdem sicher, dass Sie die aktuellsten Sicherheitspatches für Ihr Betriebssystem installieren, sobald diese verfügbar sind.
Datensicherung
Regelmäßige Backups nach der 3-2-1-Regel stellen sicher, dass Ihre Daten einen Angriff mit Ransomware mit minimalem Schaden überstehen. Die 3-2-1-Regel ist eine häufig verwendete und effektive Methode zum Sichern von Daten. Die Regel besagt, dass Sie mindestens drei Kopien Ihrer Daten behalten und diese auf zwei verschiedenen Medien speichern sollten, wobei eine der Kopien außerhalb des Standorts aufbewahrt werden sollte.
Außerdem sollten Sie möglicherweise neue Backup-Technologien wie unveränderliche Backups einsetzen, um Ihre Datenbestände vor Ransomware zu schützen. Bei unveränderlichen Backups, die auf dem WORM-Modell (Write Once Read Many) basieren, werden Ihre Daten auf einem Speichermedium gesichert, das nur einmal beschrieben werden kann. Auf die Daten auf diesem Volume kann mehrfach zugegriffen werden, sie können jedoch für einen bestimmten Zeitraum nicht überschrieben, geändert oder gelöscht werden.
Wie kann man Dateien nach einem 0xxx-Ransomware-Angriff wiederherstellen?
Wenn Ihr Computer mit 0xxx-Ransomware infiziert ist, können Sie keine Dateien wiederherstellen, es sei denn, Sie zahlen das Lösegeld – zumindest wollen die Cyberkriminellen Ihnen das glauben machen. Antiviren- oder Anti-Malware-Software kann zwar die Malware entfernen und ihre Verbreitung einschränken, bietet Ihnen jedoch keine Option, bereits infizierte Dateien wiederherzustellen. Die einzige Lösung besteht darin, die Dateien aus einem Backup wiederherzustellen, sofern vor der Infektion ein solches erstellt und an einem anderen Standort gespeichert wurde.
Wenn Sie auf der Suche nach einer umfassenden Lösung für die Datensicherheit sind, sollten Sie die Bereitstellung von NAKIVO Backup & Replikation in Betracht ziehen. NAKIVO Backup & Replikation bietet hochwertigen Schutz für alle Umgebungen, einschließlich virtueller, physischer, Cloud- und SaaS-Umgebungen. Verwenden Sie die Lösung zum Schutz von VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Amazon EC2, Windows-/Linux-Rechnern und Microsoft 365-Daten.
NAKIVO Backup & Replication bietet Ihren gesicherten Daten eine zusätzliche Schutzebene vor Ransomware. Mit dieser Lösung können Sie Ihre Backup-Daten so lange unveränderlich machen, wie Sie es benötigen, sowohl im lokalen Linux-OS-Speicher als auch in Amazon S3-Buckets. Auf diese Weise können Ihre Backupkopien bis zum Ablauf dieses Zeitraums nicht verändert, überschrieben oder gelöscht werden. Durch die Sperrung Ihrer Backups sind die Backup-Daten vor einer Verschlüsselung durch Ransomware geschützt, und Sie können sie schnell wiederherstellen, wenn ein böswilliger Angriff wie 0XXX Ihre Systeme trifft.
