Lord Ransomware

Der Schutz von Computern und Mobilgeräten vor moderner Schadsoftware ist wichtiger denn je. Die Bedrohungen sind ausgefeilter, zerstörerischer und können sowohl Privatpersonen als auch Unternehmen langfristig schädigen. Zu diesen sich ständig weiterentwickelnden Gefahren zählt eine Ransomware-Variante namens Lord Ransomware. Diese Schadsoftware verschlüsselt die Dateien ihrer Opfer, erpresst Lösegeld und gefährdet sensible Daten.

Eine neue Variante mit vertrauten Wurzeln

Lord Ransomware wurde im Zuge von Untersuchungen zu neu aufgetretenen Schadsoftware-Aktivitäten entdeckt. Die Ermittler stellten fest, dass sie sich nahezu identisch zu früheren Varianten wie Heda und Sauron verhält, was bestätigt, dass sie zur selben Ransomware-Familie gehört. Nach der Ausführung auf einem System verschlüsselt sie Dateien und ändert deren Namen, indem sie die eindeutige ID des Opfers, eine Kontakt-E-Mail-Adresse und die Dateiendung „.rmg“ hinzufügt. Eine harmlose Datei wie „1.png“ wird so zu „1.png.[ID-976FC69B].[davidrmg2219@gmail.com].rmg“, was sofort signalisiert, dass die Daten beschlagnahmt wurden.

Zusätzlich zur Datensperrung ersetzt die Malware das Desktop-Hintergrundbild und legt eine Textdatei mit dem Namen '#HowToRecover.txt' ab, die als Lösegeldforderung dient.

Im Inneren der Lösegeldforderung

In der Lösegeldforderung wird behauptet, die Angreifer hätten mithilfe eines hochentwickelten Angriffs wichtige Informationen verschlüsselt und gestohlen. Es wird darauf bestanden, dass nur ihr eigens entwickeltes Entschlüsselungstool den Zugriff wiederherstellen könne. Die Nachricht enthält eine Kennung für das Opfer und fordert es auf, sich über die E-Mail-Adresse „davidrmg2219@gmail.com“ oder über Telegram unter „@davidrmg2219“ zu melden.

Darüber hinaus wird versucht, Dringlichkeit und Angst zu erzeugen, indem davor gewarnt wird, dass verzögerte Kommunikation zu Datenlecks oder -verkäufen führen könnte. Um externe Hilfe zu verhindern, wird behauptet, dass Datenrettungstools von Drittanbietern Daten irreparabel beschädigen könnten – eine gängige Einschüchterungstaktik bei Erpressungen.

Auswirkungen auf Opfer und Daten

Nach der Verschlüsselung lassen sich die betroffenen Dateien weder öffnen noch anderweitig verwenden. Der einzige zuverlässige Weg, ohne Zusammenarbeit mit den Kriminellen wieder Zugriff zu erhalten, sind saubere, unveränderte Backups. Die Zahlung des Lösegelds birgt erhebliche Risiken, da die Angreifer das Geld möglicherweise einstreichen, ohne ein funktionierendes Entschlüsselungsprogramm bereitzustellen. Selbst wenn sie ein solches Programm bereitstellen, gibt es keine Garantie, dass die gestohlenen Daten nicht später zum Verkauf angeboten oder für andere Straftaten missbraucht werden.

Die Entfernung der Ransomware nach ihrer Erkennung ist unerlässlich. Zwar können bereits verschlüsselte Dateien dadurch nicht wiederhergestellt werden, doch die Beseitigung der Schadsoftware verhindert weitere Verschlüsselung, stoppt die Ausbreitung im Netzwerk und schließt die Tür für erneute Infektionsversuche durch denselben Schadprogramm-Typ.

Wie sich Lord Ransomware verbreitet

Cyberkriminelle setzen stark auf Täuschung, um Menschen zur Installation von Ransomware zu verleiten. Lord ist dafür bekannt, über Dateien verbreitet zu werden, die legitim aussehen, aber Schadcode enthalten. Dazu gehören beispielsweise ausführbare Anwendungen, Skripte, Office- oder PDF-Dokumente, Archive wie ZIP- oder RAR-Dateien und andere getarnte Inhalte. Angreifer kombinieren diese Dateien oft mit Social-Engineering-Methoden, um ihre Erfolgschancen zu erhöhen.

Weitere häufige Infektionsvektoren sind:

• Betrügerische E-Mails mit schädlichen Anhängen oder Links zu kompromittierten Websites
• Schädliche Werbung, manipulierte Suchergebnisse, Raubkopien, unsichere Installationsprogramme, infizierte USB-Geräte, Peer-to-Peer-Netzwerke und Seiten, die vorgeben, technischen Support anzubieten.

Stärkung der Gerätesicherheit gegen Ransomware

Eine gute digitale Hygiene verringert das Risiko von Ransomware-Angriffen erheblich. Eine mehrstufige Strategie ist am effektivsten. Zu den wichtigsten Maßnahmen gehören:

• Um ausnutzbare Sicherheitslücken zu beseitigen, sollten Betriebssysteme, Browser und Anwendungen stets auf dem neuesten Stand sein.
• Verwenden Sie seriöse Sicherheitssoftware mit Echtzeitschutz und verhaltensbasierter Erkennung.
• Deaktivieren Sie Makros und andere potenziell gefährliche Automatisierungsfunktionen in Office-Dokumenten.
• Vermeiden Sie das Herunterladen von gecrackten Programmen, inoffiziellen Installationsprogrammen oder Dateien aus nicht verifizierten Quellen.

• Um einen Single Point of Failure zu vermeiden, speichern Sie Sicherungskopien an mehreren Orten.
• Überprüfen Sie regelmäßig die Backups, um sicherzustellen, dass sie im Notfall wiederhergestellt werden können.

Über diese strukturierten Schritte hinaus sollten Nutzer vorsichtige Alltagsgewohnheiten entwickeln, wie z. B. unerwartete Nachrichten auf Anzeichen von Phishing zu überprüfen, impulsive Klicks auf Anzeigen oder Pop-ups zu vermeiden und besonders vorsichtig mit unerwünschten Dateien umzugehen.

Schlussbetrachtung

Lord Ransomware ist ein ausgeklügeltes Erpressungswerkzeug, das schwerwiegende Datenverluste und anhaltende Betriebsunterbrechungen verursachen kann. Um den Schaden zu minimieren, ist es unerlässlich zu verstehen, wie es sich verhält, wie es sich verbreitet und wie man sich davor schützen kann. Durch die Kombination von wachsamem Verhalten und konsequenten Sicherheitsmaßnahmen können Benutzer das Risiko, Opfer dieser oder anderer Ransomware-Bedrohung zu werden, deutlich reduzieren.