Melanie Hahner, März 2024

Ransomware Extensions: Alles was Sie darüber wissen müssen

Table of contents

Newsletter

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Ransomware ist ein ernstzunehmendes Risiko: alle paar Sekunden wird ein Unternehmen angegriffen. Jeden Tag infiltrieren Hacker die Systeme eines Unternehmens und fordern Millionen von Dollar, um die Daten zurückzugeben. Ein wesentliches Anzeichen dafür, dass Sie von Ransomware betroffen sind, ist die Änderung Ihrer Dateinamen. Plötzlich erhalten sie eine neue Dateierweiterung, die zuvor nicht vorhanden war.

Dieser Artikel führt Sie durch die Bedeutung von Ransomware-Extensions, wie sie Ihnen helfen können, die Ransomware zu identifizieren, und vor allem, wie Sie Ihre Organisation verteidigen können.

Was Sind Ransomware-Extensions?

Ransomware-Extensions, oder auf Deutsch auch (Datei-)Erweiterungen, sind eindeutige Suffixe, die den Namen verschlüsselter Dateien hinzugefügt werden.

Wenn Ransomware das System Ihrer Organisation infiziert, verschlüsselt sie Ihre Dateien und macht sie unzugänglich. Und dann ändert sie die Dateinamen, indem sie spezifische Erweiterungen hinzufügt.

Wenn Sie beispielsweise eine Datei mit dem Namen „quarterly_report.docx“ haben, könnte ein Ransomware-Angriff sie in „quarterly_report.docx.locky“ oder „quarterly_report.docx.wannacry“ ändern, je nach Art der Ransomware.

Was bedeuten Ransomware-Extensions?

Ransomware-Erweiterungen sind ein klares Anzeichen dafür, dass Ihre Dateien kompromittiert wurden – ähnlich wie die Unterschrift eines Cyberkriminellen.

Die Erweiterung kann manchmal auf die für den Angriff verantwortliche Ransomware-Variante hinweisen. Diese Information kann Cybersicherheitsexperten helfen, die Malware zu identifizieren. Zum Beispiel weist eine .locky-Erweiterung auf die Locky-Ransomware hin.

Was sind einige gängige Ransomware-Erweiterungen?

Einige der bekanntesten Erweiterungen stammen von bekannten Ransomware-Stämmen wie .wannacry, .locky und .badrabbit. Es gibt jedoch noch viele weitere.

Hier sind einige der häufigsten Ransomware-Erweiterungen und ihre Bedeutung. Wenn Ihr System bereits infiziert wurde, können Sie diese Liste verwenden, um festzustellen, mit welcher Art von Ransomware Sie es zu tun haben:

  • .wannacry – Die WannaCry-Ransomware ist bekannt für ihre schnelle globale Verbreitung und ihre erheblichen Auswirkungen auf verschiedene Branchen.
  • .locky – Die Locky-Ransomware ist für ihre aggressive Verschlüsselungsstrategie bekannt.
  • .cryptolocker – CryptoLocker, einer der ersten und bekanntesten Ransomware-Typen, verwendet diese Erweiterung und ebnete den Weg für viele, die folgten.
  • .petya – Die Petya-Ransomware verschlüsselt ganze Festplattenpartitionen, was sie besonders zerstörerisch macht.
  • .badrabbit – Die Bad Rabbit Ransomware verschlüsselt Dateien und ist für ihre gezielten Angriffe bekannt.
  • .notpetya oder .nopetya – Eine virulentere Variante von Petya, die NotPetya-Ransomware, stört infizierte Systeme erheblich.
  • .ryuk – Die Ryuk-Ransomware zielt auf große Organisationen ab und fügt verschlüsselten Dateien diese Erweiterung hinzu, wobei sie Lösegeld in Kryptowährung fordert.
  • .djvu – Eine Variante der STOP-Ransomware, die stark aktiv war, um persönliche Daten zu verschlüsseln und eine Zahlung für die Entschlüsselung zu fordern.
  • .phobos – Die Phobos-Ransomware ist für ihre schnelle Verschlüsselungsgeschwindigkeit und das Hinzufügen von Erweiterungen wie .phobos, .deimos oder .epic zu Dateinamen bekannt.
  • .dharma – Dharma (oder CrySiS) Ransomware-Varianten entwickeln sich weiter und verwenden unter anderem Erweiterungen wie .dharma, .wallet und .java.
  • .cont – Verwendet von der Conti-Ransomware, einem Nachfolger von Ryuk, die Gesundheitseinrichtungen und Regierungsbehörden ins Visier genommen hat.
  • .nephilim – Die Nephilim-Ransomware, die ihre eigene Erweiterung hinzufügt und dann Lösegeld fordert, hat verschiedene Branchen mit sensiblen Informationen ins Visier genommen.
  • .avaddon – Die Avaddon-Ransomware verbreitete sich durch Phishing-Kampagnen und verschlüsselte Dateien mit der .avaddon-Erweiterung.
  • .makop – Die Makop-Ransomware ist für ihre benutzerdefinierte Verschlüsselungsmethode bekannt.
  • .ransomexx – RansomExx (auch bekannt als Defray777) zielt auf hochkarätige Einrichtungen ab.
  • .egregor – Die Egregor-Ransomware, die als erhebliche Bedrohung aufgetreten ist, indem sie Unternehmen mit individuellen Lösegeldnotizen und Dateierweiterungen ins Visier nimmt.
  • .hellokitty – Die HelloKitty-Ransomware richtet sich an Einzelpersonen und Unternehmensnetzwerke.

Warum Verwenden Angreifer Ransomware-Erweiterungen?

Erweiterungen signalisieren nicht nur einen erfolgreichen Angriff, sondern sind Teil des psychologischen Spiels der Cyberkriminellen.

Indem sie klar kennzeichnen, welche Dateien verschlüsselt wurden, erinnern sie das Opfer daran, was sie verlieren könnten, wenn sie nicht zahlen. Diese Änderung von Dateien trägt zur Dringlichkeit und Angst bei und drängt Einzelpersonen oder Unternehmen dazu, die Lösegeldzahlung in Betracht zu ziehen.

Was sollten Sie tun, wenn Sie Ransomware-Erweiterungen feststellen?

Das Feststellen von Ransomware-Erweiterungen auf Ihren Dateien kann alarmierend sein, da es darauf hinweist, dass Ihre Daten kompromittiert wurden. Es ist wichtig, schnell zu handeln, um den Schaden zu begrenzen und den Wiederherstellungsprozess zu beginnen.

Es ist wichtig zu verstehen, dass das einfache Entfernen oder Ändern der Erweiterung in den ursprünglichen Zustand Ihre Dateien nicht entsperrt. Die Verschlüsselung, die bei diesen Angriffen verwendet wird, ist anspruchsvoll und kann nur mit einem einzigartigen Entschlüsselungs-Key, den die Angreifer besitzen, oder mit spezialisierten Entschlüsselungs-Tools rückgängig gemacht werden.

Wenn Ihr System von Ransomware infiltriert wurde, sollten Sie den Incident Response Plan Ihrer Organisation konsultieren, um die nächsten Schritte zu bestimmen. Hier sind die Schritte, die Sie im Allgemeinen nach einem Angriff durchführen müssen:

  1. Trennen Sie sich von der Quelle: Isolieren Sie sofort das kompromittierte Gerät oder den Server, indem Sie es von Ihrem Netzwerk trennen. Dadurch wird verhindert, dass sich die Ransomware auf andere Geräte und Systeme ausbreitet. Achten Sie jedoch darauf, keine Daten zu zerstören, die für forensische Untersuchungen wichtig sein könnten.
  2. Bewerten Sie die Situation: Mit der unmittelbaren Bedrohung eingedämmt, identifizieren Sie die Ransomware-Variante, mit der Sie es zu tun haben, und überlegen Sie Ihre nächsten Schritte und verfügbaren Werkzeuge. Ihr Incident Response Plan sollte die Notfallmaßnahmen umreißen, die Sie ergreifen können, um den Schaden zu minimieren.
  3. Kommunizieren Sie mit den Führungskräften: Informieren Sie alle relevanten Abteilungen und Interessengruppen, einschließlich der Führungsebene, Rechtsabteilung, PR und Personalwesen, um Ihre interne und externe Kommunikationsstrategie zu koordinieren.
  4. Bestimmen Sie Ihre Reaktionsstrategie: Überlegen Sie genau, welche Optionen Ihnen zur Verfügung stehen. Es ist normalerweise keine gute Idee, das Lösegeld zu zahlen, da dies die Angreifer ermutigt, erneut zuzuschlagen. Und es gibt keine Garantie dafür, dass Sie Ihre Daten auch tatsächlich zurück erhalten. Stattdessen sollte Ihr Incident Response Plan alle relevanten Interessengruppen, Abteilungen und möglichen Drittanbieter (wie forensische Ermittler und Incident Response Retainers) umfassen. Dies hilft Ihnen herauszufinden, welcher Bereich des Unternehmens ausgenutzt wurde, und Prozesse und Richtlinien einzuführen, um die Bedrohung zu beseitigen.
  5. Daten wiederherstellen und Sicherheitslücken schließen: Stellen Sie die betroffenen Dateien wieder her und untersuchen Sie den Eingangspunkt des Sicherheitsverstoßes, um zukünftige Vorfälle zu verhindern.

Prävention ist die beste Verteidigung gegen Ransomware-Erweiterungen

Warten Sie nicht, bis Sie Ransomware-Erweiterungen in Ihrem Netzwerk sehen. Prävention ist die beste Form des Schutzes vor Ransomware. Und heutzutage geht es nicht darum, ob Angreifer zuschlagen werden, sondern wann. Daher ist es wichtig, vorbereitet zu sein.

ProLions CryptoSpike blockiert Ransomware-Erweiterungen automatisch, um zu verhindern, dass bösartige Software Ihr System infiziert. Es identifiziert auch verdächtiges Verhalten und verhindert, dass der Hacker auf Ihr Netzwerk zugreift. Und mit ProLion DataAnalyzer erhalten Sie die richtigen Tools, um Ihre aktuellen Daten zu bewerten.

Im unwahrscheinlichen Fall eines erfolgreichen Angriffs kann Ihnen ProLion helfen, die spezifischen Dateien wiederherzustellen, die Sie benötigen. Die Wiederherstellung einzelner Dateien ist schneller und zuverlässiger als traditionelle Backups und kann Ihnen helfen, sofort wieder auf Kurs zu kommen.

Um mehr darüber zu erfahren, wie Sie Ihre Organisation vor Ransomware-Angriffen schützen können, lesen Sie unser kostenloses Whitepaper oder treten Sie mit unserem Team in Kontakt.