Forscher des Sicherheitsanbieters Fortinet beschreiben eine Ransomware namens Scarab, die derzeit über das Botnet Necurs verteilt wird, das auch schon für die Verbreitung der Ransomware Locky verantwortlich war. Wie andere Erpresser-Malware auch ist Scarab in der Lage, die Dateien eines Opfers zu verschlüsseln, um ein Lösegeld zu verlangen. Im Gegensatz zu anderen Vertretern dieser Gattung schreibt Scarab jedoch keinen Betrag vor, sondern gibt dem Opfer die Möglichkeit, die Höhe des Lösegelds zu verhandeln.
Danach beginnt die eigentliche Dateiverschlüsselung – selbst wenn das Opfer die Internetverbindung seines Systems kappt. Verschlüsselte Dateien versieht die Ransomware mit der Dateiendung „scarab“. Schließlich blendet sie ihre Lösegeldforderung ein.
Darin fordern die Hintermänner ihre Opfer auf, per E-Mail oder ersatzweise per Bitmessage mit ihnen Kontakt aufzunehmen. Zudem bieten sie an, drei Dateien vorab kostenlos zu entschlüsseln. Sie dürfen jedoch nicht größer sein als 10 MByte und keine wertvollen Informationen enthalten.
„Die von Scarab angebotenen Lösegeldverhandlungen sind besonders interessant“, kommentierte Aaron Higbee, Gründer und CTO von PhishMe. „Während die Verhandlungen die Wahrscheinlichkeit erhöhen, dass ein Lösegeld gezahlt wird, erlauben sie es auch, die Forderungen an den Bitcoin Wechselkurs anzupassen.“
Die Forscher gehen davon aus, dass diese neue Taktik durch den zuletzt stark gestiegenen Bitcoin-Kurs erforderlich wurde. 2016 habe das Lösegeld meist bei einem Bitcoin gelegen – als der Kurs der Kryptowährung unter 1000 Dollar lag. Inzwischen ist ein Bitcoin mehr als 16.000 Dollar wert, was ein Lösegeld von 0,1 Bitcoin für viele Opfer möglicherweise schon unerschwinglich macht.
Allerdings dürfen die Lösegeldverhandlungen auch nicht als Entgegenkommen der Erpresser gewertet werden. Es geht ihnen nach wie vor nur um ihren eigenen finanziellen Vorteil. Unter anderem sollen Formulierungen wie „Der Preis ist davon abhängig, wie schnell Sie bezahlen“ in der Lösegeldforderung Druck aufbauen und Nutzer zu einer spontanen Lösegeldzahlung verleiten. Generell ist jedoch davon abzuraten, weil selbst nach der im Fall von Scarab angebotenen kostenlosen Entschlüsselung von drei Dateien nicht sichergestellt ist, dass nach der Begleichung der Forderung auch der Entschlüsselungsschlüssel geliefert wird. Zudem führt jede Lösegeldzahlung dazu, dass sich das Geschäftsmodell Ransomware für Cyberkriminelle lohnt.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Downloader nimmt Windows-Rechner ins Visier. RansomHub festigt seine Position als führende Ransomware-Gruppe weltweit.
Britische Bestattungsunternehmen haben bereits reagiert und weisen darauf hin, dass ihre Beerdigungen nicht gelivestreamt werden.
Der neue Apple-Prozessor A18 basiert auf einem 3-Nanometer-Verfahren. Apple verspricht mehr Leistung und eine höhere…
Die stiehlt Daten aus weiteren Browsers. Zudem steigt die Zahl der Browser-Erweiterungen, die Atomic Stealer…
Der bis dato unbekannte Loader DodgeBox zeigt auffällige Ähnlichkeiten mit StealthVector, warnen Zscaler-Experten.
In fünf Monaten kommen rund 400.000 neue Nutzer hinzu. Die meisten zahlenden Nutzer hat ChatGPT…