Ransomware Ransoc fordert „Bußgeld“ wegen verdächtiger Downloads

Die Schadsoftware wird über Malvertising-Kampagnen verbreitet. Sie durchsucht den PC nach Dateinamen, die auf illegale Downloads hinweisen. Ransoc sammelt zugleich Informationen von Skype, Facebook und LinkedIn, um Opfer mit einer maßgeschneiderten Erpressung zur Zahlung zu bewegen.

Eine neu entdeckte Form von Schadsoftware erpresst die Opfer mit dem, was sie an Dateien auf dem Computer ausgespäht hat. Darüber hinaus greift sie auf die Kommunikationslösung Skype sowie Social-Media-Konten wie Facebook und LinkedIn zu, um eine individualisierte Geldforderung zu erstellen. In Anlehnung an Ransomware und Social Media schrieb die Sicherheitsfirma Proofpoint dem unter Windows ausführbaren Programm die Bezeichnung Ransoc zu.

Auf die fast schon zum Standard gewordene Verschlüsselung aller auf einem Rechner gespeicherten Dateien, mit der meist erpresserische Forderungen begründet werden, verzichtet diese Ransomware hingegen. Auf den ersten Blick erinnert sie vielmehr an Malware-Wellen früherer Jahre, da sie auf dem Desktop einen Browser-basierten Sperrbildschirm einblendet, der sich nur schwer wieder entfernen lässt.

Ransoc droht mit der Veröffentlichung gesammelter Daten (Bild: Proofpoint).Ransoc droht mit der Veröffentlichung gesammelter Daten (Bild: Proofpoint).

Typisch für Ransoc ist aber der gezielte Einsatz von Social Engineering, um mit einer maßgeschneiderten Erpressung die Opfer zur Zahlung zu bewegen. Wie die Analyse von Proofpoint ergab, durchsucht die Malware den befallenen PC nach Dateinamen, die möglicherweise illegalen Downloads entsprechen. Wird die Malware fündig, wird der Sperrbildschirm mit einer Geldforderung eingeblendet. Dabei wird die erwünschte Zahlung als Bußgeld bezeichnet, mit dessen Entrichtung ein Gerichtsverfahren und eine möglicherweise noch viel höhere Strafe zu vermeiden sei. Die gesetzte Zahlungsfrist kann 24 Stunden oder weniger betragen.

Dazu blenden die Erpresser noch zutreffende persönliche Daten und Fotos der Opfer ein, die von Skype und Social-Media-Profilen eingesammelt wurden. Gleichzeitig drohen sie damit, bei Nichtzahlung das gesamte „Beweismaterial“ zu veröffentlichen. Anders als bei üblicher Ransomware bieten sie nicht die Freigabe verschlüsselter Dateien an, sondern wollen die Opfer einschüchtern, damit sie aus Angst um ihre Reputation bezahlen.

Dazu passt, dass die erpresserische Software mit Malvertising-Kampagnen über eingeblendete Werbung vor allem bei pornografischen Websites verbreitet wird. Eine anschließende Erpressung soll dann erfolgen, wenn Ransoc beim Durchstöbern der Datenbestände auf Hinweise für illegale Downloads über BitTorrent oder bestimmte Formen von Pornografie stößt.

Um mehr Opfer zu einer Zahlung zu bewegen, verspricht der eingeblendete Sperrbildschirm sogar die Rückzahlung des Geldes, falls jemand innerhalb von 180 Tagen nicht wieder erwischt werde. Während andere aktuelle Ransomware typischerweise die weniger vertraute Zahlung mit der virtuellen Währung Bitcoin erwartet, macht es Ransoc den Opfern leichter, indem es die Zahlung mit Kreditkarte anbietet. Damit hoffen die Erpresser offenbar auf mehr Zahlungen – könnten vielleicht aber auch selbst leichter ermittelt werden.

[mit Material von Danny Palmer, ZDNet.com]

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Malware, Proofpoint, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Ransomware Ransoc fordert „Bußgeld“ wegen verdächtiger Downloads

Kommentar hinzufügen
  • Am 19. November 2016 um 20:05 von AL

    Mit KK Betrüger bezahlen ?,
    blöder gehts nimmer !

    Aber ich frage mich wie bekommen die bloss zugang zu den Weltweiten KK Systemen wie Mastercard oder VISA, die prüfen doch sicher wer Ihre Bezahlwesen benützen wollen ?
    Oder ?

    • Am 21. November 2016 um 10:26 von plastikschaufel

      Scheinbar tun sie das nicht.

      Vielleicht werden auch Briefkästenfirmen für so etwas benutzt.

      Und dann gibts natürlich noch Leute, die „im Internet einfach 500€ die Woche verdienen“ möchten, und sich meist unwissentlich als Geldwäscher ausnutzen lassen.

      Das schlimmste ist, dass es so viele naive Leute gibt, die das auch noch bezahlen..

  • Am 21. November 2016 um 21:02 von AL

    Okay alles Plausibel mit den Strohadressen usw.

    Aber das Geld wird doch dann sicher KK Firmen auf Konto Verbindungen
    überwiesen mit IBAN Nummern wohl kaumm auf Anoymen Kontos oder Bitcoins
    alleine schon wegen den Internationalen Geldschwäscher Vorschriften.

    Das ist alles schon sehr komisch wenn man den Internationalen Geldverkehr kennt, kann man heute kaum noch Schwarz oder Betrügergeld von A-B überweisen !.

    Vielleicht ist da Insider wissen vorhanden,
    wo nicht bekannt ist was man noch mit KK machen kann ausser dem normalen Einsatz ?.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *