Categories: SicherheitVirus

LovxCrypt: Cylance meldet neue Ransomware-Variante

Die Sicherheitsfirma Cylance berichtet von einer neuen Variante der im April 2015 erstmals aufgetauchten Ransomware CrypVault. Die beschriebenen Angriffe mit LovxCrypt erfolgen mit einem E-Mail-Anhang, bei dem es sich angeblich um den Lebenslauf eines Bewerbers handelt. Eine solche Verbreitungsmethode, auch wenn sie längst nicht mehr originell ist, kann offenbar immer wieder zu Infektionen in Unternehmen führen.

Auch LovxCrypt als neue Variante widersetzt sich dem aktuellen Trend von zunehmend komplexer Ransomware. Schon CrypVault beruhte schlicht auf Windows-Skriptsprachen. Für Cyberkriminelle ist es daher relativ leicht, durch geringfügige Veränderungen des Codes neue Varianten zu schaffen. „Wie üblich sehen wir Angreifer, die niedrig hängende Früchte pflücken wollen – mit ein wenig einfachem Code, um schnelles Geld zu machen“, kommentiert das Cylance Threat Guidance Team in einem Blogeintrag.

Die Spam-E-Mail transportiert LovxCrypt über ein angehängtes ZIP-Archiv, das eine Datei mit der Endung .CHM enthält. Das bezeichnet ein Format Microsofts für Windows-Hilfedateien. CHM-Dateien sind wiederum komprimierte Archive, die ihrerseits verschiedene Dateien enthalten können. Auf einen Doppelklick hin kann eine CHM-Datei JavaScript, VBScript und ein PowerShell-Script ausführen. Da es außerhalb des Browsers läuft, greifen wesentliche Sicherheitsvorkehrungen für die Scripts nicht, was die Beliebtheit dieses Formats bei Malware-Autoren erklärt.

Wie schon beim früheren CrypVault ist die Hauptkomponente eine Windows-Batchdatei, die alle Aktivitäten der Schadsoftware steuert. Dazu gehört die Konfiguration der GnuPG-Umgebung für die Verschlüsselung aller wesentlichen Dateien auf dem Computer des Opfers. Die Batchdatei fällt laut Cylance außerdem durch eine Art von Spaghetti-Code auf, der die Analyse erschweren soll. Selbst zufällige Zeichenfolgen seien mit enthalten, die mit der Aufgabe des Codes überhaupt nichts zu tun hätten. Sie dienten nur dazu, die Erkennung durch herkömmliche Antivirus-Signaturen zu vermeiden.

Nach der Verschlüsselung erzeugt die Ransomware eine Lösegeldforderung. Jeder Klick auf eine der verschlüsselten Dateien, die jetzt mit der Endung .LOVX versehen sind, präsentiert dem Opfer die Erklärung der Erpresser, dass er einen Schlüssel für die Dechiffrierung seiner Dateien benötigt.

„Wie wir gezeigt haben, ist eine funktionierende und effektive Ransomware wie LovxCrypt leicht zu schaffen durch die alleinige Kombination von Skriptsprachen sowie bekannten Verschlüsselungstools wie GnuPG“, schließen die Sicherheitsexperten aus ihrer Analyse. „Wir erwarten, künftig noch mehr davon zu sehen.“

Cylance bietet mit Protect einen Malwareschutz der „nächsten Generation“ an, der auf maschinellem Lernen basiert. Protect wurde demnach trainiert mit den „DNA-Markers von einer Milliarde bekannt bösartiger und einer Milliarde bekannt harmloser Dateien“. Bisherige Investitionen messen dem Unternehmen einen Wert von einer Milliarde Dollar zu. Wettbewerber werfen der Sicherheitsfirma allerdings vor, mit vorgetäuschter Malware um Kunden zu werben und unabhängige Tests zu verhindern.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bernd Kling

Recent Posts

Schnäppchen: Xiaomi Mi 10 für 662 Euro

Gegenüber dem offiziellen Verkaufspreis bietet der chinesische Online-Shop Gearbest das Mi 10 fast 140 Euro günstiger an. Leider gilt das…

8 Stunden ago

Xiaomi spendet 120.000 Atemschutzmasken

Das Deutsche Rote Kreuz nimmt die Lieferungen in Empfang und übernimmt die Verteilung in Abstimmung mit den lokalen Behörden. Weitere…

11 Stunden ago

Factsheet zur Einrichtung von Kurzarbeitergeld (Kug) in SAP HCM

SAP Full-Service-Provider Nexus / Enterprise Solutions erweitert angesichts von Corona Support und Kundenbetreuung – Neues Factsheet zu Kurzarbeitergeld und SAP…

12 Stunden ago

Windows 10: KB4535996 sorgt für Probleme bei VPN-Verbindungen

Betroffen sind sämtliche Windows-Versionen, die seit Herbst 2017 erschienen sind. Ein Neustart soll das Problem temprorär beheben. Anfang April will…

13 Stunden ago

Galaxy S7 und Galaxy S7 Edge: März-Patch wird ausgeliefert

Das Update steht für die freien Geräte parat. Vor knapp zwei Monaten hatte Samsung die Provider-Modelle mit dem Januar-Sicherheitspatch versorgt.

14 Stunden ago

Microsoft: Nutzung der Clouddienste steigt um 775 Prozent

In den Regionen mit Ausgangsbeschränkungen steigt die Nutzund der Cloudienste erheblich. Vor allem Teams, Windows Virtual Desktop und Power BI…

16 Stunden ago