Seit Anfang des Jahres macht die Ransomware „Data Doctor 2010“ von sich reden, die sich rasant verbreitet. Sie verbindet Ransomware mit vielen Elementen von Scareware. Neu daran ist vor allem das Geschäftsmodell, erläutert Rüdiger Trost, Presales Consultant beim Security-Spezialisten F-Secure, im Gespräch mit ZDNet.
Der Hersteller der Entschlüsselungssoftware sitzt in der Ukraine und vertreibt die Utility-Sammlung „Data Doctor 2010“, die neben der „Reparatur“ von Dateien, die der Trojaner W32/DatCrypt verschlüsselt hat, auch andere Funktionen bietet, etwa das sichere Löschen von Dateien oder die Verwaltung von Autostart-Programmen.
Seine Software vertreibt er ausschließlich über Partner, die 50 Prozent der Einnahmen erhalten und allesamt Betreiber von Botnetzen sind. Sie werden auch für die Verteilung des Trojaners W32/DatCrypt verantwortlich gemacht, siehe Bild 6.
Der Hersteller des „Data Doctor 2010“ weiß offiziell nicht, dass seine Partner Botnetz-Betreiber sind und den Trojaner W32/DatCrypt auf die Rechner ahnungsloser Anwender verteilen. Er stellt mit seinem Tool, das er selbst nicht an Endkunden vertreibt, nur „zerstörte“ Dateien wieder her. In vielen Ländern befindet er sich daher in der Legalität, da ihm nicht nachzuweisen ist, dass er auch den Trojaner entwickelt hat und seine Verbreitung aktiv unterstützt.
Ein Benutzer, der sich den Trojaner einfängt, erhält zunächst eine Fehlermeldung, dass eine Datei nicht mehr lesbar ist (Bild 7). Anschließend erscheint ein Symbol in der Taskleiste, das vorgibt, eine Windows-Systemmeldung zu sein (Bild 8). Ein Klick auf die Meldung führt zum Download des „Data Doctor 2010“. Er repariert genau eine Datei, so dass sich der Nutzer davon überzeugen kann, dass das Tool funktioniert, siehe Bild 9. Für die Reparatur weiterer Dateien wird der Anwender zur Kasse gebeten.
Inzwischen bietet Sunbelt-Software ein kostenloses Tool zum Download an, dass die verschlüsselten Dateien wieder herstellt. Es muss jedoch von der Kommandozeile gestartet werden. Die meisten Antivirenprogramme erkennen die aktuellen Formen von W32/DatCrypt, jedoch treten möglicherweise Mutationen auf.
Neueste Kommentare
Noch keine Kommentare zu Das Geschäft mit der Angst: Wenn Malware Geld fordert
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.