Kaspersky warnt vor neuer Erpresser-Malware Zerolocker

Kaspersky hat eine neue Erpresser-Malware für Windows entdeckt. Ähnlich wie Cryptolocker ist auch die Zerolocker genannte Malware in der Lage, Dateien mit einem starken Algorithmus zu verschlüsseln, um Lösegeld für die Entschlüsselung zu erpressen. Allerdings geht Zerolocker dabei nicht selektiv vor, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.

„Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‚.encrypt‘ hinzu“, schreibt Kaspersky-Forscher Roel Schouwenberg in einem Blogeintrag. „Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.“ Ausgenommen seien lediglich Dateien größer 200 MByte sowie in den Verzeichnissen „Windows“, „Program Files“, „Zerolocker“ und „Desktop“. Die Malware selbst werde im Verzeichnis „C:\Zerolocker“ ausgeführt.

Von Cryptolocker haben die Hintermänner der neuen Ransomware auch die Taktik übernommen, einen Nachlass auf das Lösegeld zu gewähren, wenn ein Opfer innerhalb eines Zeitraums von fünf Tagen nach der Infektion einen Schlüssel für die Freigabe seiner Dateien kauft. Nach Ablauf der Frist steigt der Preis für den Schlüssel von 300 Dollar auf 600 Dollar. Ab dem zehnten Tag nach der Infektion verlangen die Cyberkriminellen sogar 1000 Dollar. Die Zahlung kann nur in Bitcoins erfolgen.

Sicherheitsexperten und Strafverfolger raten im Fall einer Infektion mit einer Erpresser-Malware davon ab, ein Lösegeld zu zahlen. Aufgrund eines Fehlers in Zerolocker seien die Hintermänner wahrscheinlich gar nicht in der Lage, einen korrekten Schlüssel für die Entschlüsselung zu liefern.

„Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server“, so Schouwenberg weiter. „Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.“

Der Fehler sei möglicherweise auch ein Grund für die bisher geringe Verbreitung von Zerolocker. Eine Prüfung der zum Zerolocker-Botnet gehörenden Bitcoin-Wallet-Adressen habe zudem gezeigt, dass bisher keine Transaktionen ausgeführt wurden.

Eine Wiederherstellung verschlüsselter Dateien ohne Schlüssel hält Schouwenberg allerdings auch für unwahrscheinlich. Die Cyberkriminellen hätten zwar die Größe des Schlüssels begrenzt, er sei aber immer noch so groß, dass es nicht möglich sei, den Schlüssel per Brute Force zu ermitteln.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de