Categories: SicherheitVirus

Neue Ransomware macht PCs mit „Overkill“-Verschlüsselung unbrauchbar

FortiGuard warnt vor einer neuen Ransomware namens Nemty. Eine Besonderheit der Erpressersoftware ist die verwendete Verschlüsselung, mit der Nemty Dateien auf dem Computer eines Opfers kapert: Die Kombination verschiedener Techniken, die die Forscher als „Overkill“ einstufen, soll den Verschlüsselungsvorgang an sich zudem ineffizient machen.

Für die Verschlüsselung von Dateien und die Generierung von Verschlüsselungsschlüsseln werden die Verfahren AES-128 im CBC-Modus, RSA-2048 und RSA-8192 benutzt. Als AES-Schlüssel wird eine 32-Byte-Wert verwendet. Außerdem wird ein RSA-2048-Schlüsselpaar generiert. Schließlich wird, was die Forscher eben als übertrieben ansehen, eine RSA-Verschlüsselung mit einer Schlüssellänge von 8192 Bits eingesetzt, um die Konfigurationsdateien und einen privaten Schlüssel zu verschlüsseln. Normalerweise wären für diesen Zweck Strings mit 2048 oder 4096 Bits ausreichend.

„Die Verwendung der längeren Schlüsselgröße verursacht einen großen Aufwand durch deutlich längere Schlüsselgenerierungs- und Verschlüsselungszeiten. RSA-8192 kann nur 1024 Bytes auf einmal verschlüsseln, noch weniger, wenn man die reservierte Größe für das Padding berücksichtigt“, erklärten die Forscher. „Da die Konfigurationsdatei sicherlich größer ist, da sie den verschlüsselten privaten Schlüssel enthält, schneidet die Malware die Informationen in Blöcke von 1000 (0x3e8) Bytes und führt mehrere RSA-8192-Operationen durch, bis die gesamte Information verschlüsselt ist.“

Aus Sicht der Cyberkriminellen soll das Verfahren jedoch einen wichtigen Vorteil bieten. Eine Entschlüsselung eines kompromittierten Systems sei wahrscheinlich unmöglich, ergänzten die Forscher. Opfer können also wohl nicht damit rechnen, dass irgendwann ein kostenloses Entschlüsselungstool für mit Nemty verschlüsselte Dateien zur Verfügung stehen wird.

Entdeckt wurde die Ransomware kürzlich über einen Twitter-Bot, der Links zu Malware-Code auf Pastebin veröffentlicht. Eine erste Vermutung, wonach Nemty mit der Ransomware Sodinokibi oder gar mit GandCrab verwandt sein könnte, bestätigte sich bisher nicht. Allerdings scheint die Entwicklung von Nemty noch nicht abgeschlossen zu sein.

Unter anderem ist eine für einen Befehlsserver hinterlegte IP-Adresse bisher nicht erreichbar. Auch eine integrierte Whitelist für Dateiendungen soll ineffizient sein. Zudem prüft die Schadsoftware, ob die IP-Adresse eines Systems zu Ländern wie Russland, Weißrussland, Ukraine, Kasachstan oder Tadschikistan gehört – um dann unabhängig vom Ergebnis doch alle Dateien zu verschlüsseln.

Trotzdem stufen die Forscher Nemty schon jetzt als ernste Bedrohung ein, da die Erpressersoftware System verschlüsseln kann. Eine während der Untersuchung veröffentlichte neue Variante sehen die Forscher zudem als Indiz dafür an, dass die Verbreitung von Nemty begonnen hat.

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Steganografie: Cyberkriminelle verstecken Schadcode in WAV-Dateien

Bisher ist ausschließlich Malware bekannt, die Bilder für Steganografie einsetzt. Nun setzt unter anderem Crypto-Miner auf diese Technik und nutzt…

14 Stunden ago

US-Ermittler zerschlagen Kinderpornografie-Ring im Darknet

Der Marktplatz Welcome To Video bietet mehr als 250.000 Videos zum Kauf an, die Kindesmissbrauch zeigen. Die Zahlungen per Bitcoin…

17 Stunden ago

Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

Ein Sicherheitsforscher entwickelt den Proof-of-Concept für das Pixel 2. Er geht weit über die Funktion des bisher von Google bereitgestellten…

19 Stunden ago

Europäischer Wearables-Markt wächst um 154 Prozent – Apple vor Samsung

Apple punktet dank seiner AirPods und der Apple Watch. Samsung wächst indes mehr als doppelt so schnell wie Apple. 80…

21 Stunden ago

Neue kumulative Updates für Windows 10 – ohne Fix für Startmenü-Bug

Microsoft behebt zwar einen Fehler im Startmenü, der tritt aber nur beim Upgrade auf die Version 1809 auf. Weitere Fixes…

23 Stunden ago

Firefox 70 warnt vor unverschlüsselten HTTP- und FTP-Verbindungen

Verschlüsselte Seiten erhalten nur noch ein graues statt einem grünem Schloss. Dafür hebt Firefox unverschlüsselte Seiten mit einem roten Kreuz…

24 Stunden ago