Sicherheitsforscher melden neue Ransomware

Das geforderte Lösegeld beträgt 150 Dollar - also nur die Hälfte wie etwa bei Cryptolocker. Es kursieren mindestens 50 Varianten; eine davon hat fast 6000 PCs infiziert. Die meisten Opfer gibt es in Russland, gefolgt von den USA und den Niederlanden.

In Europa einschließlich Russland und den USA kursiert eine neue Ransomware, wie das amerikanische IntelCrawler meldet. Sie werde seit dem 5. Dezember in mindestens 50 Varianten verteilt. Für die Freigabe von ihr verschlüsselter Anwenderdaten verlange sie je nach Region um 150 Dollar – nur etwa die Hälfte wie ihr mutmaßliches Vorbild, die seit September umgehende Erpressersoftware Cryptolocker.

Ransomware

Das neue, offenbar noch nicht getaufte Schadprogramm überprüft zunächst durch einen Aufruf von www.adobe.com, ob der PC mit dem Internet verbunden ist. Dann erstellt es mit Hilfe der Bibliothek TurboPower LockBox mit AES verschlüsselte Kopien von Anwenderdaten mit der Dateiendung .perfect und löscht die Originale. In jedem Verzeichnis hinterlässt es zudem eine Datei CONTACT.TXT mit einer Lösegeldforderung. Nach Zahlung werde dem Opfer der Schlüssel zugestellt, steht darin.

Anders als beim Vorbild Cryptolocker gibt es keine Bezahlmöglichkeit in Form von Bitcoins. Das Lösegeld kann über den Peer-to-peer-Dienst Perfect Money oder über eine virtuelle Bankkarte des russischen Anbieters Qiwi Visa erfolgen.

Anders als etwa Botnetz-Software nutzt die neue Ransomware keine zentralen Kommandoserver. Stattdessen werden infizierte Systeme über eine spezielle Entschlüsselungssoftware verwaltet. IntelCrawler-CEO Andrey Komarov erklärt: „Jeder ‚Dekryptor‘ hat eine Liste fest verdrahteter IP-Adressen, wodurch jedes Exemplar komplett ohne Command&Control-Infrastruktur auskommt, sodass es außer den E-Commerce-Details keine Wurzeln gibt und der Inhaber geschützt ist.“

Im Untergrund habe man die Software in mindestens 50 Varianten angeboten gesehen, sagt Komarov. Bezahlt werde üblicherweise pro erfolgreicher Installation. Eine Variante habe fast 6000 Systeme infiziert. Die meisten Opfer gebe es in Russland, gefolgt von den USA und den Niederlanden.

Die Verteilung der Malware bleibt dem Käufer überlassen. Manche versenden sie als Spam, andere setzen falsche Server für Raubkopien von Songs auf, unter denen sich beispielsweise eine Variante mit dem Namen babyBaby.mp3.exe fand – also als Tina-Turner-Song getarnt.

Die Erkennungsrate durch Antivirenlösungen ist laut IntelCrawler allerdings sehr hoch. Eventuellen Opfern rät es, keine Dateinamen und auch nicht den Hostnamen des PCs zu ändern. Es arbeite nämlich an einer universellen Entsperrsoftware, die sonst nicht richtig funktionieren werde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, IntelCrawler, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher melden neue Ransomware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *