Liska/Gallo: "Ransomware: Defending Against Digital Extortion". O'Reilly 2016

Besprechung von: Allan Liska & Timothy Gallo: Ransomware – Defending Against Digital Extortion. O’Reilly UK Ltd. Dezember 2016. Taschenbuch. 173 Seiten. Englisch. ISBN-13 978-1-491-96788-1. EUR 25,95

Das mit den Krypto- bzw. Erpressungs-Trojanern verbundene “Geschäftsmodell” stammt bereits aus den späten 80er Jahren1, und ist recht einfach gestrickt: die von versteckten kriminellen Banden verbreitete Software wird über das Internet auf so viele Rechner wie möglich geschleust und verschlüsselt dort unbemerkt von deren Benutzern flink eine Vielzahl der dort gespeicherten Dateien, was diese damit praktisch unbrauchbar macht. Daraufhin meldet sich der Trojaner auf dem Rechner mit einem Verkaufsangebot über eine Entschlüsselungslösung für die betroffenen Daten inklusive dem dafür erforderlichen kryptografischen Gegenschlüssel. Ohne diesen sind wenn man Pech hat die verschlüsselten Dateien auch von Experten nicht wiederherstellbar, wenn vorher keine Backups angefertigt worden sind. Für die anonyme Bezahlung wird gemeinhin eine bestimmte Summe in Bitcoins verlangt, während um zusätzlichen Bezahlungsdruck auszuüben oftmals eine Uhr abläuft für den begrenzten Zeitraum, in dem das Angebot zur Verfügung steht. Oftmals wird dann die meistens noch ertragbare Forderung zu bezahlen als die einfachste Lösung angesehen um Dokumente, Fotosammlungen und andere Dateien wieder zu bekommen.

Ansatzweise schon in 2015, aber vor allem im vergangenen Jahr haben sich Kryptotrojaner für digitale Erpressung zu einer regelrechten Massenplage entwickelt2. Eine ganze Reihe von teilweise relativ einfach geschriebenen, aber sehr effektiven Trojanern bedroht dabei hauptsächlich Rechner mit Microsoft Windows als Betriebssystem3 bei Privatanwendern, in Unternehmen und Institutionen weltweit4. Dabei werden bei den dahinter stehenden, oft sehr geschickt international agierenden Tätern – denen tatsächlich kaum beizukommen ist5 – Einnahmen im mehrstelligen Millionenbereich vermutet.

Zu den Familien von Kryptotrojanern, die einen Verbreitungsgrad erreicht haben, gehören zum Beispiel TeslaCrypt6, CryptoWall7, und Bart8. Vergangenes Jahr wütete aber vor allem der Schädling Locky9, “einer der erfolgreichsten und gefährlichstes Vertreter seiner Gattung.”10 Locky benutzt wie viele seiner miesen Genossen als Angriffsvektor hauptsächlich die Anhänge von Spam-Emails11. Es handelt sich dabei um Emails von angeblich plausiblen Absendern, die den Empfänger irgendwie dazu bewegen sollen, die im Anhang versendeten Dateien zu öffnen. “So werden angebliche Rechnungen, Bestellbestätigungen, Paketempfangsbestätigungen, eingescannte Dokumente, empfangene Faxe, teilweise unter Verwendung von echten Firmennamen und -adressen und zum Teil in perfekter Nachahmung tatsächlicher Firmen-E-Mails, versendet” (BSI-Report 2.1.1). Dinge wie wichtig tuende gefälschte Behördenschreiben oder leere Versprechungen wie “xyz Sextape hier klicken” gehören in den Bereich des “social engineering”. Diese Mails werden meist durch Botnetze vertrieben, wobei der Versand oft absichtlich in Schwellen- oder Entwicklungsländern ausgelöst wird. Im Februar 2016 war zu beobachten, dass das Botnetz einer Gruppe, die sich selber “Evil Corp.” nennt, von der Verbreitung des Banking-Trojaners Dridex auf die Verbreitung von Locky umgestellt worden ist (BSI-Report 2.1.1).

Im Anhang dieser Emails befinden sich Microsoft Office- oder Excel-Dokumente mit eingebetteten, stark verschleierten schädlichen VBA-Makro, das bei zu schwach eingestellten Sicherheitseinstellungen in Word bzw. Excel direkt ausgeführt wird – oftmals wird aber auch mit einem Trick dazu aufgefordert, die Makroausführung extra zu aktivieren. Andere Trojaner greifen mit Javascript- oder VisualBasic-Skripten an, wobei die Anhänge oft auch noch in verschlüsselte Zip-Archive eingepackt sind, um Virenscanner zu hintergehen. Als eine weitere Methode werden die Trojaner bei ihrer Streuung häufig immer ein klein wenig verändert, um dafür eventuell bereits vorhandene Virensignaturen auszutricksen. Diese Makros bzw. Skripte sind bei Krypto-Trojanern die sogenannten “Dropper” (Platzierer), die per HTTP die aktuelle Version der Hauptkomponente des Trojaners als “Fracht” (payload) von einem meist gekaperten Server auf den infizierten Rechner herunterladen und ausführen. Ein anderer hinterhältiger Infektionsweg für Krypto-Trojaner sind Driveby-Downloads, wobei von speziell präparierten Webseiten gezielt aktuelle Sicherheitslücken im Browser oder bei Plugins (beliebt ist dabei unter anderem der Flashplayer mit seinen häufigen Sicherheitsproblemen) ausgenutzt werden, um die Malware auf Rechnern von Benutzern zu platzieren, welche diese Seiten besuchen. Und bei Locky und anderen Trojanern war zu beobachten, dass die Software zunächst nur gestreut wurde, um sie dann für eine Angriffswelle flächendeckend zu einem bestimmten Zeitpunkt zu aktivieren.

Nimmt die dazu geladene Hauptkomponente ihre Arbeit auf, dann geht es meist sehr schnell. Es wird zunächst Verbindung zu einem Command-and-Control-Server (C&C) aufgenommen, und von dort ein speziellen für den bestimmten Rechner erstellter individueller öffentlicher Schlüssel heruntergeladen. Dann werden damit alle erreichbaren Dateien des Benutzers – ohne das Administratoren-Rechte benötigt werden – aus einer langen Reihe von Formaten mit dem AES-Verfahren verschlüsselt, dazu gehören Fotos- und Musiksammlungen, Dokumente, Datenbanken, aber auch Zertifikate und PGP-Schlüssel. Einbezogen werden dabei auch eingebundene Verzeichnisse im Netzwerk und Clouddienste. Die Dateien sind dann mit einer weiteren Endung (.locky) versehen, und lassen sich nicht mehr öffnen. Für einige Kryptotrojaner bzw. Trojaner-Familien sind Verfahren gefunden worden, auch ohne den kryptografischen Gegenschlüssel (für das in Kombination verwendete RSA-Verfahren) und ohne Backup die Dateien wiederherzustellen, und es gibt manchmal sogar spezielle Recovery-Software12. Beim sehr professionell gemachten, “kriminellen Meisterstück” (Kevin Beaumont) Locky und gleichrangigen Produkten gelten die Dateien hingegen als praktisch unknackbar. Zu spät.

Einer der bemerkenswertesten Aspekte der Welle von Krypto-Trojanern im Frühjahr 2016 ist ihr Einschlag in Teilbereichen der sogenannten Kritischen Infrastrukturen der Bundesrepublik, durch den unerwartete und alarmierende strukturelle Sicherheitslücken in diesem empfindlichen Bereich des öffentlichen Lebens offenbar geworden sind. Jenseits der private Computerbesitzer gehört zu den Opfern von Locky unter anderem das Fraunhofer-Zentrum für Hochtemperatur-Leichtbau (HTL) in Bayreuth, in dem 60 PC-Arbeitsplätze betroffen waren, die über einen zentralen Server infiziert worden sind13. Die Stadtverwaltung des unterfränkischen Dettelbach ist von TeslaCrypt befallen und lahmgelegt worden14. Aber es gibt sogar auch eine ganze Reihe von Krankenhäusern in Nordrhein-Westfalen, die wegen Kryptotrojanern zum Teil schwerwiegende Probleme in ihren Arbeitsabläufen bekommen haben15. Kritische Infrastrukturen (KRITIS) sind diejenigen Einrichtungen, “deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen würde.”16 Die Zugriffs- und Nutzungsverhinderung der Dateien bzw. von gesamten Systemen wie ihn Kryptotrojaner auslösen bedroht Unternehmen und Institute über die Lösegeldforderung hinaus mit weiteren Kosten durch eventuelle Betriebsunterbrechnung und aufwendige Wiederherstellung der Daten durch externe Dienstleister. Bei Krankenhäusern aber besteht grundsätzlich “die Gefahr, dass Ausfälle und Störungen der IT wichtige Prozesse erheblich beeinträchtigen und in Folge die Gesundheit und das Leben von Patienten gefährd[et] sein können” (BSI-Leitfaden, S. 5).

Ein nicht unerheblicher Fall ist das Lukaskrankenhaus in Neuss17. Als man dort den Befall mit einem Krypto-Trojaner im Frühjar 2016 bemerkte wurde sofort das gesamte IT-System heruntergefahren, um die weitere Ausbreitung der Schadsoftware zu verhindern. Auch wenn keine medizinischen Geräte betroffen gewesen sind, so waren doch hunderte von Arbeitsrechnern bereits befallen. Die seit Jahre komplett digital arbeitende Klinik musste daraufhin auf stark eingeschränkten Notbetrieb umstellen, Operationen sind verschoben worden, Herzinfaktpatienten mussten aufwendig auf andere Krankenhäuser verteilt werden, und das Labor konnte nur noch eine geringe Anzahl von Blutproben bearbeiten. Als Infektionsquelle ist ein im Haus unachtsam geöffneter Email-Anhang ausgemacht worden. Bei Kritischen Infrastrukturen wie Krankenhäusern besteht ein besonderes öffentliches Interesse an der IT-Sicherheit, so dass dem Thema “Kryptotrojaner” angesichts dieser Fälle eine zusätzliche Relevanz zukommt.

Mit dem hier besprochenen Buch ist nun im renommierten O’Reilly-Verlag eine umfangreiche Abhandlung des Themas in Englischer Sprache erschienen. Bei den beiden Autoren handelt es sich um ausgewiesene Fachautoren mit einigen Jahren praktischer Erfahrung im Bereich IT-Sicherheit, von denen sich eine Reihe weiterer Publikationen aus diesem Bereich auch zu reinen Spezialistenthemen finden lassen (z.B. zur Sicherheit beim Network Time Protocol und DNS-Server). Der englische Titel “Ransomware” lässt sich dabei als “Erpressungssoftware” oder vielleicht auch spezieller als “Erpressungsmalware” übersetzen (”is a blanket term used to describe a class of malware that is used to digitally exort victims into payment of a specific fee)“, besprochen werden in dem Buch aber hauptsächlich Kryptotrojaner im Sinne von Trojanern (trojanische Pferde), die auf angegriffenen Rechnern Dateien kryptografisch verschlüsseln, so wie bisher in dieser Besprechung thematisiert (der eigentliche Trojaner ist dabei im Grunde aber nur der Dropper bzw. Loader).

Das erste der zehn Kapitel des Buches (1. Introduction to Ransomware) bringt für die Einführung in das Thema zunächst eine brauchbare Systematik davon, wie ein Angriff mit dieser Art von Software abläuft. Dabei werden fünf Stufen bzw. Phasen (stages) auseinander gehalten, “deployment”, “installation”, “command-and-control”, “destruction” und “exortion”. Für das “deployment”, das Aufspielen bzw. “Draufbekommen” der Malware werden zusätzlich zu den hier oben genannten zwei Methoden (Phising-Emails und Drive-by downloads) noch weitere beschrieben, die gezielte “Wasserloch”-Angriffsmethode (strategic web compromise) und das systematische Durchscannern von Internetteilnehmern nach ausnutzbaren Sicherheitslücken. Der Installation ist dann der Vorgang mit dem die eigentliche Infektion eingeleitet wird. Clever gemachte Dropper prüfen zuallererst, ob sie in einer virtuellen Maschine laufen um eventuell analysiert zu werden und löschen sich dann sofort selbst – im Buch findet sich ein interessanter Codeausschnitt dafür von CryptoWall2. Die “Command-and-control”-Phase unterscheidet sich von der vorherigen dadurch, das für die Vollendung des Angriffs Kontakt zu einem Kontrollserver aufgenommen wird bzw. aufgenommen werden muss, wie die Autoren definieren (”all actions require some form of command-and-control systems to effectively determine the next actions to take”). Zwar sind mittlerweile auch Locky-Varianten aufgetaucht, die auch offline zuschlagen können18, allerdings wird dabei notgedrungen ein und derselbe Schlüssel für alle Opfer benutzt, was bei Mehrfachbefall etwa in einem Unternehmen sozusagen eine “Rabattmöglichkeit” einräumt – der Funktionsumfang ist ohne Online-Zugriff also auf jeden Fall stark eingeschränkt. In der martialisch aber treffend bezeichneten “Zerstörungsphase” werden die Dateien dann verschlüsselt. Darauf folgt die eigentliche Erpressung (extortion). Hier positionieren sich Autoren schon einmal auf Seiten der Bezahlungsgegner, räumen aber ein, dass sich das als kategorische Entscheidung nicht immer aufrecherhalten lässt – bezüglich dieses Aspektes von Erpressungstrojanern schließt direkt ein eigenes Kapitel an (2. Pros and Cons of Paying the Ransom).

Die “destruction”-Phase wird daraufhin noch eingehender thematisiert, wobei auf den Unterschied von symmetrischer und asymmetrischer Verschlüsselung eingegangen wird (ausgeklügelte Kryptotrojaner kombinieren beide Verfahren). Für die symmetrische Verschlüsselung (AES) wird ein Verfahren vorgestellt, mit welcher der Schlüssel unter bestimmten Umständen aus dem RAM rekonstruiert, und dann zur Dechiffrierung eingesetzt werden kann. Desweiteren wird in diesem Kapitel die Browser locking-Methode beschrieben, und der starke Anstieg der Infektionsraten diskutiert.

Im dritten Kapitel (3. Ransomware Operators and Targets) geht auf den kriminalistischen Hintergrund der Kryptotrojaner ein und stellt unter anderem die Frage, was in diesem Bereich wohl noch zu erwarten ist. Zunächst weisen die Autoren darauf hin, dass wir uns mit den neuen, modernen Trojanern trotzdem wohl erst in einer Art Anfangsphase (infancy) befinden, und das trotz der derzeitigen Professionalisierung sogar noch ein großer Spielraum für die Weiterentwicklung und -Treibung dieses Phänomens besteht (”there is also a sophisticated underground infrastructure in place to foster the rapid development and deployment of new ransomware families”)19. Das mit Bitcoin mittlerweile eine zuverlässige, anonyme und unmittelbare Bezahlungsmethode zur Verfügung steht, und das sich die verfügbaren Verschlüsselungsmethoden immer weiter verbessern unterstützt diesen Trend. Die bisherigen Angriffe haben ihre Ziele hauptsächlich “zufällig” ins Visier genommen, aber mit Sicherheit wohl auch noch einiges im Bereich der gezielten Angriffe mit Kryptotrojanern zu erwarten. Mit Locky hat ein äußerst “gelungene” Massenabschöpfung stattgefunden, aber gerade die weniger erfolgreichen Gruppen überlegen sich möglicherweise, vom Phishing auf gezielte Angriffe umzusteigen, bei dem – je nachdem, wen man ins Visier nimmt – wesendlich höhere Einzelforderungen erhoben werden können.

Die Autoren bringen dann einige gesammelte Hintergrundinformationen zu abgeschlossenen “Kampagnen” (Einsatzperioden) von Kryptotrojanern. Die TeslaCrypt-Bande zum Beispiel hat im Mai 2016 abgebrochen und den privaten Schlüssel veröffentlicht und sich öffentlich entschuldigt, wohl nachdem es ihr offensichtlich zu “heiss” geworden war. Die Macher von CryptXXX hatten zunächst Programmierfehler bei der Verschlüsselung, was es beim Antivirenprogramm-Hersteller Kaspersky Labs möglich machte schnell ein Recovery-Werkzeug zur Verfügung zu stellen. Bei CryptoWall wurde im Laufe der Zeit auf die Verteilung des Trojaners mittels bekannter Exploit-Kits wie Angler, Magnitude und Nuclear umgestellt20. Das hatte den Vorteil für die Hintermänner, das unter anderem manipulierte Werbebanner für das Deployment eingesetzt werden konnten (Stichwort: malvertisements). Die eigentlich “dumme” Methode von Locky mit Microsoft Office-Dokumente im Anhang von Spam-Emails, der von den Angegriffenen noch extra geöffnet werden müssen, wird von den Autoren zutreffend als überraschend erfolgreich (surprisingly effective) bezeichnet. Und Javascript-Dateien im Anhang als alternativer Verteilungsweg haben den Vorteil, dass Sicherheitssoftware diese gemeinhin seltener überprüft. Ein interessantes Detail bei Locky ist, dass die Kommunikationsroutine mit dem C&C-Server ein Feld names “affid” (affiliate ID) führt. Das ist wohl ein Hinweis darauf, dass der Kryptotrojaner wohl gleichzeitig von verschiedenen Gruppen bzw. Untergruppen eingesetzt worden ist.

Dann wird auch noch die Ranscam-Familie von Kryptotrojanern besprochen, die nach erfolgter Bezahlung einfach behaupten dass keine Bezahlung stattgefunden hätte, eine neue Forderung wird aufgestellt, und um zusätzlichen Druck auszuüben werden dann erst einmal einige Dateien gelöscht. Auch wenn man bei den “seriösen” Kryptotrojanern weiß, dass die Einhaltung des Verkaufsversprechens lukrativer ist und letztendlich mehr Leute verleitet zu bezahlen, so kann man sich bei Erpressung generell doch nicht darauf verlassen, dass auf der anderen Seite die “Spielregeln” eingehalten werden. Es zeigt sich, dass die Software zumindest immer genau auf den ganz konkreten Ablauf einer Kampagne hin zugeschnitten ist. Beim Fall des Lukaskrankenhauses in Neuss sehen die Autoren übrigens die Verwendung von Ransomware als einen Fall von “advanced persistent threat” (APT)21, also als einen gezielten Angriff, und es gibt hier eine Reihe von interessanten technischen Hintergrundinformationen zu diesem Fall, der wohl weltweit für Aufsehen gesorgt hat.

Schließlich wird in diesem Kapitel das gruselige Phänomen von “Ransomware-as-a-service” (RaaS) besprochen22. Im Darknet werden mittlerweile maßgeschneiderte Kryptotrojaner aus “Baukästen” verkauft oder sogar in Gewinnbeteiligungs-Modellen inklusive der benötigten Infrastruktur (Botnetz-Zugriff, C&C-Server) angeboten. Das sind alles sehr interessante Hintergrundinformationen, es lassen sich in diesem Kapitel allerdings auch einige Widersprüchlichkeiten aufdecken. Zum Beispiel wird gesagt, dass zu den Absichten einer Gruppe auch der Datendiebstahl gehören kann, und dass es wichtig ist, diesen und andere Beweggründe als “tactics, techniques und procedures” (TTP) zu durchschauen, um einen Ransomware-Angriff erfolgreich stoppen zu können. Erpressungssoftware, bei der die Zieldaten per Definition nicht abgeschöpft werden, eignet sich allerdings eher nicht für Datendiebstahl.

Das folgende Kapitel (4. Protecting Workstations and Servers) stellt eine ganze Reihe von Sicherheitsmaßnahmen vor, mit dem die Infektion mit einem Kryptotrojaner am aller besten natürlich verhindert, oder die Ausbreitung bzw. Festsetzung auf dem System zumindest eingedämmt werden soll. Zunächst werden das Email-System und der Webbrowser als typische Einfallstore hervorgehoben, und neben Office-Dokumente mit Makrofunktion wird als Randbemerkung auch auf die Gefahr von verseuchten PDF-Dokumenten in Verbindung mit angreifbaren Versionen des Adobe Reader hingewiesen. Der Flashplayer sollte in Unternehmen generell von Windows-Rechnern entfernt werden, und die andere relevante Software laufend aktuell gehalten werden (”keep any applications that touches the internet of interacts with email fully patched and updated to the latest version”). Die Autoren führen an, dass 2015 48% aller erfolgreichen Angriffe mit Exploit-Kits auf Grundlage von CVE-2012-1058 erfolgt sind, einer altbekannten Sicherheitslücke in älteren Versionen von Microsoft Word. Daraufhin werden einige Ansatzpunkte den “attack chain” aufzubrechen bzw. einen eingefangenen Kryptotrojaner in der eigenen IT trocken zu legen vorgestellt. Hier sehr verkürzt: Die Makroausführung bei Microsoft Office kann global ausgeschaltet werden. Die Ausführung von Programmen in den üblichen Ablageordnern wie “\Downloads”, “\Temp” kann generell über die Group Policy Management Console (GPMC) verhindert werden – das behindert unter Umständen auch die Hauptkomponente von Kryptotrojanern (“%temp%\svchost.exe” ist diejenige von Locky). App-Locker können eingesetzt werden. Der Trojaner kann daran gehindert werden, die Windows-Registry zu manipulieren, und bleibt so beim beim nächsten Systemstart unaktiviert (das hilft in dem Falle dass die Hauptkomponente zunächst nicht zuschlägt sondern “schlummert”, oder auf die Möglichkeit wartet auf das Internet zugreifen zu können). Einige weitere Maßnahmen werden vorgeschlagen, diese hier komplett aufzuführen würde allerdings den Rahmen der Besprechung sprengen. Es handelt sich hierbei um ein sehr starkes, reichhaltiges Kapitel.

Angesichts der massenhaften Verbreitung dieser Art von Malware mit ihrem doch immensen Schadenspotential tatsächlich auch Großteile eines Unternehmens in Windeseile lahm zu können gehören Kenntnisse und Fähigkeiten im Bereich “Kryptotrojaner” heutzutage auf jeden Fall zu den Grundanforderungen für Administratoren von (bisher hauptsächlich) Windows-IT, und der weiterhin bzw. immer stärker bestehenden Bedrohung muss aktiv und vorsorglich begegnet werden. Das um nicht kalt erwischt zu werden, und dann anzufangen starke kryptografische Verschlüsselung zu knacken bzw. hintergehen zu wollen oder zu müssen. Zu den Abwehrmaßnahmen gehören auch Aktionen für eine erfolgreiche Mitarbeiterschulung bzw. -Sensibilierung, wie sie im fünften Kapitel (5. Protecting the Workforce) des hier thematisierten Buches besprochen werden. Das sechsten Kapitel (6. Thread Intelligence and Ransomware) gibt ein paar Hinweise, wie im Unternehmen eine “threat intelligence” gegen Kryptotrojaner-Angriffe aufgebaut werden kann23, für die detaillierte Informationen bzgl. womöglich bevorstehender Angriffe gesammelt und vorsorglich ausgewertet werden. In diesem Kapitel merkt man wieder, dass die Autoren über eine reichhaltige praktische Erfahrung aus modernen IT-Abteilungen verfügen, die begriffen haben in welche Richtung die Entwicklung geht24 und sich geradezu militärisch mit eigener Aufklärung aufstellen. Ein mal eben ausgeknipstes Krankenhaus als “Beifang”: das spricht für sich selbst. In den folgenden drei Kapiteln werden einige ausgewählte Trojaner-Familien sehr ausführlich besprochen (7. Cerber, 8. Locky, 9. CryptXXX), während in letzten Kapitel (10. Other Ransomware Families) in kürzerer Weise noch auf einige weitere Exemplare dieser Gattung eingegangen wird. Zu allen Themenbereichen finden sich das gesamte Buch hindurch interessante Fußnoten mit Verweisen auf einschlägige Webseiten und Artikel. Ein ausführlicher Index schließt das besprochene Werk ab.


  1. Dennis Schirrmacher: Erpressungs-Trojaner – Geschäftsmodell: Ihre Daten als Geisel. In: C’t Nr.7/2016, S. 76-77 [return]
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI): Ransomware – Bedrohungslage, Prävention & Reaktion. 11.3.2016 [return]
  3. Es sind aber auch schon Kryptotrojaner für Mac OS X (z.B. KeRanger und FileCoder) aufgetreten, Android-Geräte werden anvisiert, und vereinzelt wird auch über Trojaner berichtet, die Linux-Server angreifen (wie Fairware und Encoder.1). [return]
  4. Understanding the depth of the global ransomware problem. An Osterman Research Survey Report. August 2016 [return]
  5. Tobias Haar: Geld her! Juristische Aspekte der Erpressung mittels Ransomware. In: iX 05/2016, S. 50-51 (dieser Artikel geht auch auf die rechtlichen und steuerlichen Aspekte des Bezahlens ein) [return]
  6. Thomas Gronenwald, Stefan Becker: Digitale Erpressung. In: IT-Administrator 09/2015, S. 58-60 [return]
  7. Cyber Threat Alliance: Lucrative ransomware attacks: analysis of the CryptoWall Version 3 threat. Report vom Oktober 2015 [return]
  8. Thomas Gronenwald: Fieser Bart – Ransomware und kein Ende. In: IT-Administrator 09/2016, S. 57 [return]
  9. Thomas Gronenwald: Ransomware-Tsunami – Verschlüsselungstrojaner Locky. In: IT-Administrator 04/2016, S. 68-69 [return]
  10. Ronald Eikenberg, Jürgen Schmidt: Trojaner auf Raubzug – Verschlüsselungs-Malware analysiert. In: C’t Nr.7/2016, S. 86-87 [return]
  11. Stefan Mey: Postgefahr – Spam zwischen Plage und Bedrohung. In: iX 11/2016, S. 72-77. [return]
  12. Dennis Schmirrmacher: Schädlinge eliminieren, Daten retten – erste Hilfe für Opfer. In: C’t Nr.7/2016, S. 82-85. [return]
  13. Friedhelm Greis: Krypto-Trojaner Locky ― Mehr als 5.000 Infektionen pro Stunde in Deutschland. Golem.de am 19.2.2016 [return]
  14. Lösegeld für Daten. Plusminus-Sendung vom 27.7.2016 [return]
  15. Thomas Bär: Diagnose: Infektion – Ransomware in Krankenhäusern. In: IT-Administrator 6/2016, S. 82-85 [return]
  16. Bundesamt für Sicherheit in der Informationstechnik (BSI): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT. Leitfaden vom 28.3.2013 [return]
  17. Computer-Virus legt das Lukaskrankenhaus lahm. NGZ-Online vom 11.2.2016 [return]
  18. István Tamás: Locky geht offline (by design). Avira-Blog am 14.7.2016 [return]
  19. Hacker demonstrieren Ransomware für Heizungsthermostat. In: Linux-Magazin 10/2016, S. 7 [return]
  20. Olivia von Westernhagen: Einbruch mit Komfort – Exploit-Kits als Basis moderner Cyber-Crime. In: C’t Nr.18/2015, S. 78-83 [return]
  21. Jens Stark: Gezielte Angriffe – Absichern gegen Advanced Persistent Threats. In: com!professional 08/2016, S. 118-122 [return]
  22. Michael Phan, Thomas Stasch: Daten als Geisel – Warum “Ransomware as a Service” (noch) kein Trend ist. In: iX 05/2016, S. 46-49 [return]
  23. Stefan Strobel: Schlaue Hilfe – Threat Intelligence: neuer Hype oder wirksam gegen Cyberrisiken? In: iX 08/2015, S. 92-94 [return]
  24. Marc Oliver Scheben: Auf dem Vormarsch – Studie: Bedrohung durch E-Crime wächst. In: iX 4/2015, S. 30 [return]