Die Ransomware Analyse
Wie winfuture.de, unter Berufung auf die Sicherheitsforscher von CoveWare berichtete, zeigte sich, dass es sich bei dem Schädling im Wesentlichen um eine Wiederverwertung der Ransomware Dharma handelt, die schon im letzten Jahr für einige Aufregung sorgte. Es ist auch wahrscheinlich, dass die gleichen Leute hinter beiden Kampagnen stecken. Allerdings wurde bei Phobos auch Code der CrySiS-Malware integriert, weshalb manche Virenscanner einen vermeintlichen CrySiS-Befall melden.
Die Besonderheit von Phobos liegt im Wesentlichen im Verbreitungsweg über RDP. Wenn es dem Schädling gelingt, sich so in ein Firmennetz einzuschleusen und verschiedene Rechner zu befallen, kommt es zur üblichen Verschlüsselung von Daten und der Forderung eines Lösegeldes in Bitcoin.
Phobos-Vorgänger verursachte größte Schäden
Schon das Design der Meldung, in der die Nutzer über die Forderung der Angreifer informiert werden, macht klar, dass man es mit einem Dharma-Ableger zu tun hat, wie es weiter dazu heißt.
Bis auf einige kleinere Änderungen gleichen sich die Einblendungen sehr stark. Die Sache ist vor allem daher beachtenswert, weil Dharma zu den Ransomwares gerechnet wird, die im vergangenen Jahr mit den größten Schaden angerichtet haben.
Wie soll man sich schützen?
Um sich vor dem Problem zu schützen, ist die Absicherung der RDP-Schnittstellen sicherlich die wichtigste Maßnahme. Und wo Phobos wirklich zu nennenswerten Datenverlusten führt, stimmt auch etwas mit der Organisation der IT-Abteilung nicht. Denn betroffen sind hier eben meist Firmen - und diese sollten deutlich klarere Backup-Strategien haben als ein Privatnutzer. Entsprechend sollte es eigentlich immer möglich sein, befallene Systeme aus der Sicherung wiederherzustellen, ohne auf die Forderungen eingehen zu müssen, so winfuture.de.
Weiterführende Links:
winfuture.de : Phobos: Schlimmste 2018er Ransomware hat schon einen Nachfolger
