DeadLock Ransomware

Moderne Ransomware-Kampagnen sind darauf ausgelegt, Ihre persönlichen oder Unternehmensdaten zu missbrauchen. Sobald kritische Dateien verschlüsselt sind, haben Angreifer alle Trümpfe in der Hand, sofern Sie sich nicht rechtzeitig darauf vorbereitet haben. Strenge Sicherheitsmaßnahmen, mehrschichtige Abwehrmaßnahmen und robuste Backup-Strategien reduzieren das Risiko, dass ein einziger bösartiger Anhang, ein geknacktes Installationsprogramm oder ein betrügerischer Download zu Geschäftsunterbrechungen oder dauerhaftem Datenverlust führt, drastisch. DeadLock Ransomware ist ein gutes Beispiel dafür, warum diese Grundlagen wichtig sind.

Was DeadLock auszeichnet

DeadLock ist eine dateiverschlüsselnde Ransomware-Familie, die jedes Opfer mit einer eindeutigen Kennung versieht. Während eines Angriffs verschlüsselt DeadLock Benutzerdaten und benennt jede verschlüsselte Datei um, indem die ID des Opfers und die Erweiterung „.dlock“ an den ursprünglichen Dateinamen angehängt werden. Beispiel: Aus „1.png“ wird „1.png.F8C6A8.dlock“ und aus „2.pdf“ „2.pdf.F8C6A8.dlock“. Diese ID wird während des gesamten Erpressungsprozesses verwendet, um das Opfer zu verfolgen und Zahlungen mit Entschlüsselungsschlüsseln zu verknüpfen. DeadLock hinterlässt außerdem eine Lösegeldforderung, deren Dateiname dieselbe Kennung enthält (z. B. „READ ME.F8C6A8.txt“), und ändert das Desktop-Hintergrundbild, um zu verdeutlichen, dass das System kompromittiert wurde.

Im Lösegeldbrief

Der Hinweis enthält mehrere wichtige Punkte, die das weitere Vorgehen des Opfers beeinflussen sollen. Er behauptet, dass verschlüsselte Dateien ohne einen „einzigartigen Entschlüsselungsschlüssel“, den nur die Angreifer besitzen, nicht wiederhergestellt werden können. Die Opfer werden aufgefordert, den datenschutzorientierten Session Messenger zu installieren und sich über eine bereitgestellte Session-ID (die wiederum auf die in den Dateinamen eingebettete Kennung des Opfers verweist) zu melden. Die Angreifer fordern das Opfer auf, eine verschlüsselte Datei und den „persönlichen Schlüssel“ (die eindeutige ID) zur Verifizierung zu senden. Dies ist eine gängige Taktik, um durch die Entschlüsselung einer harmlosen Datei Vertrauen aufzubauen.

Zahlungs- und Drucktaktiken

Die Betreiber von DeadLock verlangen Kryptowährung, insbesondere Bitcoin oder Monero. Sie versprechen, nach Zahlung einen funktionierenden Entschlüsseler zu liefern. Wie bei den meisten Ransomware-Operationen gibt es keine durchsetzbare Garantie. Die Mitteilung schürt zudem Angst, um von unabhängigen Wiederherstellungsversuchen abzuschrecken: Sie warnt Opfer davor, verschlüsselte Dateien umzubenennen und keine Entschlüsselungstools von Drittanbietern auszuprobieren, da solche Aktionen die Daten dauerhaft beschädigen oder die Kosten für die Wiederherstellung in die Höhe treiben könnten. Diese Warnungen sind teils technischer Natur (unsachgemäße Handhabung kann die Wiederherstellung tatsächlich erschweren), teils psychologischer Natur.

Realitätscheck zur Entschlüsselung

Erfahrungen mit Ransomware im Allgemeinen und die Aussagen der Betreiber selbst belegen eine harte Wahrheit: In den meisten Fällen lassen sich durch DeadLock verschlüsselte Dateien ohne die Mitarbeit und die Tools der Angreifer nicht entschlüsseln. Daher gibt es zwei realistische Wiederherstellungswege: (1) funktionierende Backups, die zum Zeitpunkt des Angriffs offline, extern, versioniert oder anderweitig für die Malware nicht zugänglich waren; oder (2) die Zahlung des Lösegelds in der Hoffnung, dass die Kriminellen die Abmachung einhalten. Die Zahlung ist riskant: Angreifer könnten verschwinden, einen defekten Entschlüsseler liefern oder die Zahlung als Zeichen dafür nutzen, dass Sie ein leichtes Ziel für zukünftige Erpressungen sind. Verlassen Sie sich nach Möglichkeit auf nicht betroffene Backups, anstatt Lösegeld zu zahlen.

Warum eine vollständige Entfernung wichtig ist

Selbst nach Abschluss der Verschlüsselung ist es gefährlich, Ransomware auf dem System zu belassen. Verbleibende Komponenten können neu erstellte Dateien erneut verschlüsseln, Anmeldeinformationen abgreifen, Hintertüren öffnen oder versuchen, sich lateral im lokalen Netzwerk auszubreiten. Um erneuten Schaden zu verhindern, ist die Beseitigung durch Endpunkt-Scans, Speicherprüfungen und die Überprüfung geplanter Aufgaben, Starteinträge und Domänencontroller entscheidend.

Häufige DeadLock-Infektionsvektoren

Angreifer benötigen einen ersten Ansatzpunkt. Ransomware-Kampagnen werden mit verschiedenen Vertriebskanälen in Verbindung gebracht, die das Vertrauen und die Neugier der Nutzer ausnutzen und Kosten sparen:

• Raubkopien oder „geknackte“ kommerzielle Software, einschließlich gebündelter Schlüsselgeneratoren und Tools zur Lizenzumgehung, die heimlich Malware installieren.
• Software-Cracks, Keygens und inoffizielle Aktivatoren von Warez- oder Torrent-Sites.
• Schädliche E-Mail-Anhänge: mit Sprengfallen versehene Word-Dokumente (oft mit Makros), PDFs, ZIP-Archive, Skriptdateien oder ausführbare Nutzdaten, die als Rechnungen, Versandbenachrichtigungen oder dringende HR-Formulare getarnt sind.
• Malvertising (bösartige Anzeigen), die Benutzer auf Exploit-Kits oder betrügerische Downloadseiten umleiten.
• Peer-to-Peer-Sharing-Plattformen und Download-Hubs von Drittanbietern, die Installationsprogramme mit versteckten Nutzdaten neu verpacken.
• Wechselmedien (z. B. infizierte USB-Laufwerke), die automatisch ausgeführt werden oder Benutzer dazu verleiten, kontaminierte Dateien zu starten.
• Gefälschte technische Supportportale, die Benutzer unter Druck setzen, „Fixes“ oder „Updates“ herunterzuladen, die tatsächlich den Ransomware-Loader enthalten.
• Kompromittierte legitime Websites, die mit Drive-by-Downloads oder eingeschleusten Skripts infiziert wurden, die die Nutzlast bereitstellen.

Bewährte Sicherheitspraktiken zur Stärkung Ihrer Verteidigung

Mehrschichtige Sicherheit reduziert den Wirkungsradius eines Ransomware-Angriffs deutlich. Nachfolgend finden Sie priorisierte Abwehrmaßnahmen, die DeadLock und ähnliche Bedrohungen verhindern:

• Führen Sie zuverlässige Offline-Backups kritischer Daten durch.
• Patchen Sie Betriebssysteme, Anwendungen und Firmware umgehend, insbesondere exponierte Dienste und Produktivitätssuiten, die anfällig für Makro- oder Exploit-Missbrauch sind.
• Verwenden Sie zuverlässigen Endpunktschutz/EDR mit verhaltensbasierter Ransomware-Erkennung und automatischer Isolierung.
• Erzwingen Sie Benutzerkonten mit den geringsten Berechtigungen; deaktivieren Sie den lokalen Administrator, wenn dieser nicht benötigt wird; trennen Sie Administratoranmeldeinformationen vom täglichen Gebrauch.
• Schränken Sie die Ausführung von Makros, Skriptinterpretern und nicht signierten Binärdateien über Gruppenrichtlinien, Anwendungs-Whitelists und kontrollierten Ordnerzugriff ein.
• Setzen Sie E-Mail-Sicherheitsfilter ein: Sandbox-Anhänge, überprüfen Sie Links und kennzeichnen Sie verdächtige Dateitypen oder gefälschte Absenderdomänen.
• Deaktivieren Sie die automatische Ausführung auf Wechselmedien und scannen Sie USB-Geräte vor dem Mounten.
• Fordern Sie eine Multifaktor-Authentifizierung (MFA) für Fernzugriff, Administratorkonsolen und Backup-Verwaltungsschnittstellen.

Langzeitunterricht

DeadLock verstärkt ein wiederkehrendes Muster bei Ransomware-Familien: Angreifer benötigen keine hochmodernen Exploits, wenn Endbenutzer regelmäßig gecrackte Tools herunterladen, nicht verifizierte Anhänge öffnen oder in nicht vertrauenswürdigen Werbenetzwerken surfen. Grundlegende Sicherheitstechniken, regelmäßiges Patching, Zugriffskontrollen, überwachte Backups und aufmerksame Benutzer machen aus einer potenziellen Krise ein wiederherstellbares Ereignis. Investieren Sie jetzt in diese Abwehrmaßnahmen; die Kosten sind deutlich geringer als ein unter Druck gezahltes Lösegeld.

Abschließende Gedanken

Die Widerstandsfähigkeit gegen Ransomware wird lange vor einem Angriff auf Ihren Bildschirm aufgebaut. Wenn Sie die Funktionsweise von DeadLock verstehen und mehrschichtige Präventions- und Wiederherstellungsmaßnahmen implementieren, sind Sie in der Lage, dieser und ähnlichen Bedrohungen standzuhalten. Bleiben Sie skeptisch gegenüber allem, was Sie nicht gezielt gesucht oder überprüft haben. Wachsamkeit ist die erste und oft beste Verteidigungslinie.