Neue Version von Ransomware Cryptowall entdeckt

Sie liegt nun in unterschiedlichen Versionen für 32- und 64-Bit-Architekturen vor. Zudem benutzt sie neben Tor noch ein zweites Anonymisierungsnetzwerk namens I2P. Für die Entschlüsselung von Dateien verlangen die Hintermänner ein Lösegeld von 500 Dollar, zahlbar in Bitcoins.

Microsoft hat eine neue Variante der Erpresser-Malware Cryptowall entdeckt. Sie wird per E-Mail und auch über manipulierte Online-Anzeigen verbreitet. Neu ist, dass die Ransomware zwischen 32- und 64-Bit-Architekturen unterscheiden und unterschiedliche Versionen für die jeweilige Architektur ausführen kann. Darüber hinaus verwendet sie zwei Anonymisierungsnetzwerke, um ihre Befehlsserver zu verstecken.

security-encryption

Cryptowall 3.0 ist in der Lage, die Dateien eines Nutzers zu verschlüsseln. Die Schadsoftware zeigt anschließend eine Website mit einer Anleitung an, die ein Opfer auffordert, innerhalb von sieben Tagen 500 Dollar in Bitcoins zu zahlen, wenn sie ihre Dateien wieder entschlüsseln wollen. Nach Ablauf der Frist erhöht sich das Lösegeld auf 1000 Dollar.

Microsoft ist nach eigenen Angaben durch einen Anstieg neuer Cryptowall-Infektionen auf die Variante 3.0 aufmerksam geworden. Allein am 12. Januar registrierte der Softwarekonzern 288 Computer, die mit der Malware infiziert wurden.

Wie der Sicherheitsexperte Pierluigi Paganini in seinem Blog schreibt, hat neben Microsoft auch der französische Forscher Kafeine die neue Cryptowall-Variante analysiert. Ihm zufolge verschlüsselt sie ihre Kommunikation mit den Befehlsservern per RC4. Außerdem unterstützt sie neben Tor noch ein weiteres Anonymisierungsnetzwerk namens I2P. Die Hintermänner der Malware verbänden offenbar beide Netzwerke für die Entschlüsselung von Dateien.

Paganini weist außerdem darauf hin, dass auch der Nachfolger des Schwarzmarkts Silk Road, Silk Road Reloaded, zu I2P migriert ist. Er vermutet, dass die Cyberkriminellen es für sicherer halten als Tor.

Ransomware ist nicht nur eine Bedrohung für traditionelle PCs. Schon im Juni vergangenen Jahres hatte der slowakische Sicherheitsanbieter Eset die nach seinen Angaben erste Verschlüsselungsmalware für Android entdeckt. Zu dem Zeitpunkt war die mobile Schadsoftware allerdings nur in der Ukraine im Umlauf. Für die Freischaltung verschlüsselter Dateien verlangte sie zudem ein recht moderates Lösegeld von umgerechnet 16 Euro.

Im August war zudem eine spezialisierte Ransomware namens Synolocker aufgetaucht, mit deren Hilfe Cyberkriminelle Daten auf NAS-Systemen des taiwanischen Anbieters Synology verschlüsselten. Sie verlangten 270 Euro Lösegeld, das sich nach Ablauf von sieben Tagen ebenfalls verdoppelte. Die Schadsoftware gelangte über eine schon im Dezember 2013 geschlossene Sicherheitslücke auf ungepatchte Geräte.

Die Hintermänner der Ransomware Cryptowall verlangen mindestens 500 Dollar Lösegeld für die Entschlüsselung von Dateien (Screenshot: Microsoft).Die Hintermänner der Ransomware Cryptowall verlangen mindestens 500 Dollar Lösegeld für die Entschlüsselung von Dateien (Screenshot: Microsoft).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Cybercrime, Malware, Microsoft, Secure-IT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Neue Version von Ransomware Cryptowall entdeckt

Kommentar hinzufügen
  • Am 3. April 2015 um 14:43 von Hans Müllee

    Hallo, ich hab mir die Malware auf meinem Windows Notebook eingefangen und viele Dateien verloren.
    Bin jetzt auf Mac umgestiegen. Besteht eine Infizierung durch die Cryptowall 3.0 Malware auch für Mac Nutzer? Gibt es irgendwelche Erfahrungen?
    Mit freundlichen Grüßen
    H.M.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *