Kaspersky warnt vor neuer Erpresser-Malware Zerolocker

Sie verlangt ein Lösegeld zwischen 300 und 1000 Dollar. Im Gegensatz zu Cryptolocker verschlüsselt Zerolocker nahezu alle Dateien eines Rechners. Ausgenommen sind nur Daten in den Verzeichnissen "Windows", "Desktop" und "Program Files".

Kaspersky hat eine neue Erpresser-Malware für Windows entdeckt. Ähnlich wie Cryptolocker ist auch die Zerolocker genannte Malware in der Lage, Dateien mit einem starken Algorithmus zu verschlüsseln, um Lösegeld für die Entschlüsselung zu erpressen. Allerdings geht Zerolocker dabei nicht selektiv vor, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.

Verschlüsselung

„Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‚.encrypt‘ hinzu“, schreibt Kaspersky-Forscher Roel Schouwenberg in einem Blogeintrag. „Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.“ Ausgenommen seien lediglich Dateien größer 200 MByte sowie in den Verzeichnissen „Windows“, „Program Files“, „Zerolocker“ und „Desktop“. Die Malware selbst werde im Verzeichnis „C:\Zerolocker“ ausgeführt.

Von Cryptolocker haben die Hintermänner der neuen Ransomware auch die Taktik übernommen, einen Nachlass auf das Lösegeld zu gewähren, wenn ein Opfer innerhalb eines Zeitraums von fünf Tagen nach der Infektion einen Schlüssel für die Freigabe seiner Dateien kauft. Nach Ablauf der Frist steigt der Preis für den Schlüssel von 300 Dollar auf 600 Dollar. Ab dem zehnten Tag nach der Infektion verlangen die Cyberkriminellen sogar 1000 Dollar. Die Zahlung kann nur in Bitcoins erfolgen.

Sicherheitsexperten und Strafverfolger raten im Fall einer Infektion mit einer Erpresser-Malware davon ab, ein Lösegeld zu zahlen. Aufgrund eines Fehlers in Zerolocker seien die Hintermänner wahrscheinlich gar nicht in der Lage, einen korrekten Schlüssel für die Entschlüsselung zu liefern.

„Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server“, so Schouwenberg weiter. „Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.“

Der Fehler sei möglicherweise auch ein Grund für die bisher geringe Verbreitung von Zerolocker. Eine Prüfung der zum Zerolocker-Botnet gehörenden Bitcoin-Wallet-Adressen habe zudem gezeigt, dass bisher keine Transaktionen ausgeführt wurden.

Eine Wiederherstellung verschlüsselter Dateien ohne Schlüssel hält Schouwenberg allerdings auch für unwahrscheinlich. Die Cyberkriminellen hätten zwar die Größe des Schlüssels begrenzt, er sei aber immer noch so groß, dass es nicht möglich sei, den Schlüssel per Brute Force zu ermitteln.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

zerolockerscreen-kaspersky-620x501

Themenseiten: Cybercrime, Kaspersky, Malware, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Kaspersky warnt vor neuer Erpresser-Malware Zerolocker

Kommentar hinzufügen
  • Am 21. August 2014 um 11:17 von Dirk Hartenstein

    Ja prima, danke für die Warnung.
    Was sind denn nun die Möglichkeiten bei Befall? Rechner neu aufsetzen? Virusentfernung mit Boot-Medium? Rechner zurücksetzen?
    Diese Infos fehlen in dem Artikel leider.

  • Am 21. August 2014 um 13:24 von Tobias Meyer

    Wie bei anderen Verschlüsselungsviren auch, hilft eigentlich nur ein Datenbackup (vor dem Virenbefall) und das neu Aufsetzen des Computers. Eine Virusentfernung durch ein Anti Viren Programm entfernt zwar den Virus, aber die verschlüsselten Daten bleiben und unlesbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *