MarsJoke: Ransomware greift US-Behörden an und droht mit Datenlöschung

Die Erpressersoftware verbreitet sich seit fünf Tagen über gefälschte E-Mails. MarsJoke gibt seinen Opfern nur 96 Stunden für die Zahlung des Lösegelds. Derzeit können die "entführten" Dateien nicht ohne eine Lösegeldzahlung entschlüsselt werden.

Forscher des Sicherheitsanbieters Proofpoint haben eine neue Ransomware-Familie namens MarsJoke analysiert. Sie nimmt derzeit vor allem Behörden und Bildungseinrichtungen in den USA ins Visier. Betroffenen Nutzern lässt der Erpressungstrojaner nur 96 Stunden, um das geforderte Lösegeld zu zahlen. Andernfalls würden alle Dateien dauerhaft verschlüsselt und damit unbrauchbar gemacht.

Seit 22. September wird Marsjoke in einer groß angelegten E-Mail-Kampagne verbreitet. Die E-Mails selbst geben vor, Details zu einem Paket zu enthalten, dessen Sendungsstatus sich angeblich nur über den eingebetteten Link verfolgen lässt. Der Link führt jedoch zu einer Datei namens „file_6.exe“, die das System mit Marsjoke infiziert.

Lösegeldforderung der Ransomware MarsJoke (Bild: Proofpoint)Lösegeldforderung der Ransomware MarsJoke (Bild: Proofpoint)Sobald Marsjoke ausgeführt wird, beginnt die Malware mit der Verschlüsselung von Dateien. Darüber hinaus werden neue Dateien angelegt, die die Forderungen der Erpresser enthalten und eine Anleitung zur Zahlung des Lösegelds in Höhe von 0,7 Bitcoins (320 Dollar). Außerdem wird der Desktop-Hintergrund des Systems geändert, der nun besagten Countdown von 96 Stunden anzeigt.

Die Cyberkriminellen warnen zudem vor jeglichen Versuchen, MarsJoke zu entfernen. Auch hier drohen sie mit einem dauerhaften und vollständigen Datenverlust. Sie bieten ihren Opfern aber auch an, zwei Dateien kostenlos zu entschlüsseln, um zu demonstrieren, dass sie tatsächlich in der Lage sind, nach Zahlung der geforderten Summe alle gekaperten Daten wieder freizugeben.

Proofpoint weist darauf hin, dass die Lösegeldforderung ähnlich gestaltet ist wie die der Ransomware-Familie CTB-Locker. Die Ziele, sprich Behörden und Bildungseinrichtungen, habe MarsJoke indes von der jüngsten CryptFile2-Kampagne übernommen. Eine Entschlüsselung von mit MarsJoke unbrauchbar gemachten Dateien ohne Zahlung des Lösegelds sei derzeit nicht möglich.

„Bildungsrichtungen sowie lokale und staatliche Behörden werden oft als leichte Ziele angesehen, weil ihnen die Infrastruktur und auch die finanziellen Mittel für robuste Datensicherungen und starke Verteidigungsmaßnahmen zum Schutz vor Infektionen fehlen“, heißt es im Proofpoint-Blog. Aufgrund der Ziele und auch des Umfangs der Kampagne scheine MarsJoke jedoch nicht einfach nur „eine weitere Ransomware“ zu sein.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Malware, Proofpoint, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu MarsJoke: Ransomware greift US-Behörden an und droht mit Datenlöschung

Kommentar hinzufügen
  • Am 27. September 2016 um 19:32 von Andrea

    ZU dem hier:

    „Die Cyberkriminellen warnen zudem vor jeglichen Versuchen, MarsJoke zu entfernen. Auch hier drohen sie mit einem dauerhaften und vollständigen Datenverlust. Sie bieten ihren Opfern aber auch an, zwei Dateien kostenlos zu entschlüsseln, um zu demonstrieren, dass sie tatsächlich in der Lage sind, nach Zahlung der geforderten Summe alle gekaperten Daten wieder freizugeben.“

    sage ich mal:

    wenn man regelmäßige Backups von seinen Dateien hat, dann kann einen auch so eine Ransomware nicht mehr schrecken. Und dann sollte diese auf jedenfall komplett entfernt, das System komplett neu installiert werden und sicherheitshalber ein neuer Internet-Router beschafft werden, weil der alte eventuell eine Backdoor hat, ueber die die Angreifer jederzeit wieder ins System eindringen können.

    Weiterhin sollten diese us-Bildungseinrichtungen sicherheitshalber auch alle infizierten Geräte nach Entfernung entsorgen, weil eventuell noch mehr Backdoors im BIOS oder in anderen Teilen der Geräte drin sind und diese Geräte damit nicht mehr vertrauenswuerdig sind..heißt also:

    1. Backup aller Daten machen und zwar regelmäßig
    2. System komplett schrotten
    3. bestehende Partitionen ebenfalls komplett löschen
    4. Festplatte formatieren
    5. entweder ein LInux-Livesystem per usb-Stick starten oder aber eine Windows-CD ins Laufwerk legen fuer GParted und mit GParted neue Partitionen erstellen
    6. System komplett neu installieren
    7. dabei ein neues Userpasswort sowie ein neues Admin-Passowrt vergehen.
    Bei diesem Passwort darauf achten, dass es mindestens 12 Stellen hat, je mehr desto besser, dass es Buchstaben in Groß- und Kleinschreibung enthält, Sonderzeichen sowie Zahlen!

    Von daher: zeigt diesen Malware-Schmierfinken die ROTE Karte!!

    Grueße
    Andrea

  • Am 27. September 2016 um 19:34 von Andrea

    Und wenn dass hier der Fall ist:

    „„Bildungsrichtungen sowie lokale und staatliche Behörden werden oft als leichte Ziele angesehen, weil ihnen die Infrastruktur und auch die finanziellen Mittel für robuste Datensicherungen und starke Verteidigungsmaßnahmen zum Schutz vor Infektionen fehlen“, heißt es im Proofpoint-Blog.“

    dann braucht es da auch eine bessere finanzielle Ausstattung fuer Datensicherung und Verteidigung.

    Aber wie schon geschrieben: NIEMALS, NIEMALS, NIEMALS Lösgeld zahlen! Das ist das duemmste was die machen können!!

    Gruß
    Andrea

  • Am 27. September 2016 um 21:05 von AL

    Hallo

    Das scheint mir alles ein wenig zu Komisch zu sein,
    wie kann so eine Malware in den modernen Systemen wirken da scheint mir vieles Unklar zu sein.
    Auch die Algorhytmen sollten ja schon allgemein bekannt sein sicher schon bei NSA usw.

    Uns ausserdem wie werden Bitcoins zu Bargeld gemacht ?
    Da wäscht doch eine Hand die andere so wir ich weis kann man noch keine Einkäüfe mit Bitcoins machen ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *