Ransomware-Schutz
Ransomware zaehlt zu den zerstoererischsten Bedrohungen fuer Endgeraete. Superheld soll Ransomware nicht durch klassische Signaturerkennung erkennen, sondern durch die Analyse der Angriffspfade, ueber die Ransomware auf ein Geraet gelangt.
Angriffspfade und Erkennung
Abschnitt betitelt „Angriffspfade und Erkennung“1 · Fake-IT-Support-Betrug
Abschnitt betitelt „1 · Fake-IT-Support-Betrug“| Angriffsablauf | Anruf von angeblichem Microsoft-/Apple-Support → Erzeugung von Panik (“Ihr Gerät ist infiziert”) → Aufforderung zur Installation von Fernzugriffs-Software → Angreifer installiert Ransomware über Remote-Session |
| Bedrohungskategorie | remote_control + phone_scam |
| Schweregrad | Critical |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| Anruf von unbekannter Nummer mit langer Dauer | Call-Monitor | Mittel |
| Installation einer Fernzugriffs-App während aktivem Anruf | App-Monitor + Call-Monitor | Critical (Compound) |
| Fernzugriffs-Session wird aufgebaut | Prozess-Monitor | Hoch |
| Rufnummer in Scam-Datenbank | Cloud Enrichment | Bestätigung |
Superheld-Mitigation:
- Block — Installation der Fernzugriffs-App wird blockiert, solange ein Anruf aktiv ist
- Alert — “Verdacht auf Tech-Support-Betrug. Legen Sie auf.”
- Guardian-Alert — Vertrauenspersonen werden sofort benachrichtigt
- Event — Vorfall wird im Audit-Trail dokumentiert
Details: Fernzugriffsschutz
2 · Phishing-Downloads
Abschnitt betitelt „2 · Phishing-Downloads“| Angriffsablauf | E-Mail oder SMS mit dringendem Vorwand (“Rechnung”, “Paket”, “Kontosperrung”) → Link zu gefälschter Website → Download einer als PDF/Rechnung getarnten ausführbaren Datei → Ausführung startet Verschlüsselung |
| Bedrohungskategorie | phishing + malicious_app |
| Schweregrad | High |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| URL mit Homoglyph-Angriff oder kürzlich registrierter Domain | ML-Modell (Stufe 2) | Hoch |
| URL in Phishing-Datenbank | Cloud Enrichment | Hoch |
| Nachricht mit Dringlichkeitsmerkmal + URL | ML-Modell (Stufe 2) | Multiplikator |
| Download einer ausführbaren Datei von unbekannter Quelle | App-Monitor | Hoch |
Superheld-Mitigation:
- Block — Zugriff auf erkannte Phishing-Seiten wird blockiert
- Warn — Bei verdächtigen Downloads: “Diese Datei stammt von einer unbekannten Quelle”
- Anzeige — Tatsächliche Ziel-URL wird dem Benutzer angezeigt
- Cloud-Abgleich — SHA-256-Hash der heruntergeladenen Datei wird gegen Malware-Datenbank geprüft
Die konkrete Blockierungsebene ist im aktuellen Workspace nicht als einheitliche Runtime-Garantie belegt und hängt vom jeweiligen Integrations- und Plattformpfad ab.
3 · Drive-by-Downloads
Abschnitt betitelt „3 · Drive-by-Downloads“| Angriffsablauf | Besuch einer kompromittierten oder bösartigen Website → Exploit-Kit analysiert Browser/OS-Schwachstellen → Automatischer Download und Ausführung von Ransomware ohne Benutzerinteraktion |
| Bedrohungskategorie | malicious_app |
| Schweregrad | High |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| Verbindung zu bekanntem Exploit-Kit-Server | Netzwerk-Monitor + Cloud Enrichment | Hoch |
| Unerwarteter Download ohne Benutzerinteraktion | App-Monitor | Hoch |
| Neue unbekannte App wird ohne Store-Installation gestartet | App-Monitor | Mittel |
| DNS-Anfrage an verdächtige Domain | Netzwerk-Monitor | Mittel |
Superheld-Mitigation:
- Block — Verbindungen zu bekannten Exploit-Kit-Domains werden blockiert
- Warn — Bei unerwarteten Downloads ohne Benutzerinteraktion
- Netzwerk-Analyse — Verdächtige DNS-Anfragen und Verbindungsaufbauten werden erkannt
Der genaue Umfang der Netzwerk-Analyse ist im aktuellen Workspace nicht als vollständiger Produktvertrag belegt. Diese Beschreibung ist als Zielbild zu lesen.
4 · Gefälschte Software-Updates
Abschnitt betitelt „4 · Gefälschte Software-Updates“| Angriffsablauf | Pop-up oder Benachrichtigung imitiert ein System-Update (“Kritisches Sicherheitsupdate erforderlich”) → Benutzer lädt vermeintliches Update herunter → Datei ist Ransomware-Dropper → Ausführung startet Verschlüsselung |
| Bedrohungskategorie | social_engineering + malicious_app |
| Schweregrad | High |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| App-Installation aus unbekannter Quelle (Sideload) | App-Monitor | Hoch |
| Installationsquelle ist nicht der offizielle Store | App-Monitor | Mittel |
| App fordert übermäßige Berechtigungen | App-Monitor | Mittel |
| App-Signatur unbekannt oder nicht verifizierbar | App-Monitor + Cloud Enrichment | Hoch |
Superheld-Mitigation:
- Block — Sideload-Installationen werden je nach Profil blockiert oder erfordern explizite Genehmigung
- Warn — “Dieses Update stammt nicht aus dem offiziellen Store”
- Cloud-Abgleich — SHA-256-Hash wird gegen Malware-Datenbank geprüft
- Familienprofil — Bei Kind/Senior-Profilen: automatische Blockierung aller Sideloads
5 · Credential Theft (Zugangsdaten-Diebstahl)
Abschnitt betitelt „5 · Credential Theft (Zugangsdaten-Diebstahl)“| Angriffsablauf | Phishing-Mail mit Link zu gefälschter Login-Seite → Benutzer gibt Unternehmens- oder Cloud-Zugangsdaten ein → Angreifer nutzt Zugangsdaten für Remote-Zugriff auf das Gerät → Installation von Ransomware über legitimen Remote-Zugang (RDP, VPN) |
| Bedrohungskategorie | phishing |
| Schweregrad | High |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| URL imitiert bekannte Login-Seite (Homoglyph, Typosquatting) | ML-Modell (Stufe 2) | Hoch |
| SSL-Zertifikat verdächtig (DV-only, kurze Laufzeit, kürzlich ausgestellt) | Netzwerk-Monitor | Mittel |
| Domain in Phishing-Datenbank | Cloud Enrichment | Hoch |
| Formular auf unbekannter Domain fragt nach Passwort | ML-Modell (Stufe 2) | Hoch |
Superheld-Mitigation:
- Block — Zugriff auf erkannte Phishing-Login-Seiten blockieren
- Warn — “Diese Seite ähnelt [echte-domain.de], ist aber eine andere Domain”
- Anzeige — Tatsächliche Domain wird prominent angezeigt
6 · USB-Infektionen
Abschnitt betitelt „6 · USB-Infektionen“| Angriffsablauf | Präparierter USB-Stick wird angeschlossen (z. B. als Werbegeschenk, “verlorener” Stick) → Automatische Ausführung eines Ransomware-Droppers über AutoRun oder HID-Emulation (Rubber Ducky) → Verschlüsselung beginnt |
| Bedrohungskategorie | malicious_app |
| Schweregrad | High |
| Plattformen | Windows, macOS, Linux (mobile Geräte nicht betroffen) |
Erkennungssignale:
| Signal | Quelle | Gewicht |
|---|---|---|
| Neues USB-Gerät verbunden | System-Monitor | Niedrig (Kontext) |
| Ausführbare Datei wird von externem Datenträger gestartet | Prozess-Monitor | Hoch |
| Unbekanntes HID-Gerät sendet Tastatureingaben | System-Monitor | Critical |
| Prozess mit erhöhten Rechten gestartet nach USB-Verbindung | Prozess-Monitor | Hoch |
Superheld-Mitigation:
- Warn — Bei Ausführung von Programmen von externen Datenträgern
- Block — Bei erkannter HID-Emulation (Rubber Ducky / BadUSB)
- Event — USB-Ereignisse werden im Audit-Trail dokumentiert
Der genaue USB-Monitoring-Umfang und insbesondere HID-Emulationserkennung sind im aktuellen Workspace nicht als breit verfügbare Runtime-Fähigkeit bestätigt.
7 · Massenverschlüsselung (Ransomware-Payload)
Abschnitt betitelt „7 · Massenverschlüsselung (Ransomware-Payload)“| Angriffsablauf | Ransomware ist bereits auf dem Gerät aktiv → Massenhaftes Umbenennen und Verschlüsseln von Dateien → Lösegeldforderung wird angezeigt |
| Bedrohungskategorie | malicious_app |
| Schweregrad | Critical |
Erkennungssignale (eingeschränkt):
| Signal | Quelle | Gewicht |
|---|---|---|
| Unbekannter Prozess mit hoher Dateisystem-Aktivität | Prozess-Monitor | Hoch |
| Massenhaftes Umbenennen von Dateien (bekannte Ransomware-Endungen) | System-Monitor | Critical |
| Ungewöhnlich hohe CPU-Auslastung durch unbekannten Prozess | System-Monitor | Mittel |
Superheld-Mitigation:
- Alert — Sofortige Warnung bei Anzeichen von Massenverschlüsselung
- Guardian-Alert — Alle Vertrauenspersonen werden benachrichtigt
- Empfehlung — “Trennen Sie das Gerät sofort vom Netzwerk und wenden Sie sich an IT-Support”
Der Umfang der Dateisystem-Überwachung und die Plattformabdeckung sind im aktuellen Workspace nicht als vollständiger Laufzeitvertrag bestätigt.
Erkennungsarchitektur
Abschnitt betitelt „Erkennungsarchitektur“Das folgende Diagramm zeigt, wie Superheld die verschiedenen Ransomware-Angriffspfade über die Erkennungspipeline abfängt:
Beispiel: Ransomware über Tech-Support-Betrug
Abschnitt betitelt „Beispiel: Ransomware über Tech-Support-Betrug“Schutzwirkung nach Angriffspfad
Abschnitt betitelt „Schutzwirkung nach Angriffspfad“| Angriffspfad | Primäre Erkennung | Schutzwirkung | Einschränkungen |
|---|---|---|---|
| Fake IT-Support | Call + App-Korrelation | Hoch — Blockierung vor Fernzugriff | Angreifer ohne Fernzugriffs-Tool (z. B. mündliche Anleitung) |
| Phishing-Downloads | URL-Analyse + Cloud-Abgleich | Hoch — Blockierung vor Download | Unbekannte Phishing-Domains ohne Cloud-Eintrag |
| Drive-by-Downloads | Netzwerk-Analyse + Cloud-Abgleich | Mittel — abhängig von Exploit-Kit-Erkennung | Zero-Day-Exploits ohne bekannte Signatur |
| Fake Updates | Sideload-Erkennung + Signaturprüfung | Hoch — Sideload-Blockierung bei restriktiven Profilen | Benutzer mit Experten-Modus kann Sideloads erlauben |
| Credential Theft | Phishing-URL-Erkennung | Hoch — Blockierung der Phishing-Seite | Perfekte Domain-Imitation ohne Cloud-Eintrag |
| USB-Infektionen | Prozess-/System-Monitor | Mittel — plattformabhängig | Nur Desktop-Plattformen, eingeschränkter Umfang |
| Massenverschlüsselung | Dateisystem-Monitor | Niedrig — nicht primärer Schutzansatz | Dedizierte EDR-/AV-Lösung empfohlen |
Empfehlungen für maximalen Ransomware-Schutz
Abschnitt betitelt „Empfehlungen für maximalen Ransomware-Schutz“- Superheld als erste Verteidigungslinie — Erkennung und Blockierung der Angriffspfade, bevor Ransomware auf das Gerät gelangt
- Betriebssystem-Updates — Aktuelles OS schließt bekannte Schwachstellen, die Drive-by-Downloads ausnutzen
- Dedizierter Virenscanner — Für die Erkennung bereits installierter Malware auf Desktop-Systemen (z. B. Windows Defender)
- Regelmäßige Backups — Offline-Backups sind der letzte Schutz gegen erfolgreiche Verschlüsselung
- Restriktive Familienprofile — Kind- und Senior-Profile blockieren Sideloads und erfordern Guardian-Genehmigung
Weiterführende Informationen
Abschnitt betitelt „Weiterführende Informationen“- Erkennungspipeline — Die sechs Stufen der Signalverarbeitung
- Context Risk Engine — Compound-Risk-Bewertung durch Signalkorrelation
- Fernzugriffsschutz — Schutz vor Remote-Access-Betrug
- Schutz vor Manipulation — Erkennung psychologischer Manipulation
- Bedrohungsmodell — Alle Bedrohungskategorien im Detail
- Scope und Nicht-Ziele — Was Superheld schützt und was nicht
- Apps & Plattformen — Plattformspezifische Schutzfunktionen