Neue Ransomware treibt ihr Unwesen in Europa

SicherheitVirus
Android-Variante der Erpresser-Malware Cryptolocker ist aufgetaucht.

Sicherheitsforscher haben bereits rund 50 Varianten entdeckt. Die Malware erstellt von Anwenderdaten verschlüsselte Kopien, speichert sie mit der Dateiendung .perfect und löscht die Originale. Zur Entschlüsselung fordert sie 150 Dollar.

In Europa und den USA kursiert eine neue Ransomware, meldet IntelCrawler. Sie ist seit 5. Dezember in über 50 Varianten unterwegs. Für die Freigabe von ihr verschlüsselter Anwenderdaten verlange sie je nach Region um 150 Dollar – etwa die Hälfte wie ihr mutmaßliches Vorbild, die seit September umlaufende Malware Cryptolocker.

ransomeware

Das neue Schadprogramm überprüft durch einen Aufruf der Website www.adobe.com, ob der PC mit dem Internet verbunden ist. Fällt die Prüfung positiv aus, erstellt es mit Hilfe der Bibliothek TurboPower LockBox mit AES-verschlüsselte Kopien von Anwenderdaten, speichert sie mit der Dateiendung .perfect ab und löscht die Originale. In jedem Verzeichnis hinterlässt es zudem eine CONTACT.TXT genannte Datei mit einer Lösegeldforderung.

Das Lösegeld soll über den Peer-to-peer-Dienst Perfect Money oder über eine virtuelle Bankkarte des russischen Anbieters Qiwi Visa erfolgen.

Anders als Botnetz-Software nutzt die neue Ransomware keine zentralen Kommandoserver. Stattdessen werden infizierte Systeme über eine spezielle Entschlüsselungssoftware verwaltet. IntelCrawler-CEO Andrey Komarov erklärt: “Jeder ‘Dekryptor’ hat eine Liste fest verdrahteter IP-Adressen, wodurch jedes Exemplar komplett ohne Command-and-Control-Infrastruktur auskommt, sodass es außer den E-Commerce-Details keine Wurzeln gibt und der Inhaber geschützt ist.”

Im Untergrund sei die Software in mindestens 50 Varianten angeboten worden, sagt Komarov. Bezahlt werde üblicherweise pro erfolgreicher Installation. Eine Variante habe fast 6000 Systeme infiziert. Die meisten Opfer gebe es in Russland, gefolgt von den USA und den Niederlanden.

Die Verteilung der Malware bleibt dem Käufer überlassen. Manche versenden sie als Spam, andere setzen falsche Server für Raubkopien von Songs auf, unter denen sich beispielsweise eine Variante mit dem Namen babyBaby.mp3.exe fand – also als Tina-Turner-Song getarnt.

Die Erkennungsrate durch Antivirensoftware ist laut IntelCrawler allerdings sehr hoch. Eventuellen Opfern rät der Dienst, keine Dateinamen und auch nicht den Hostnamen des PCs zu ändern. Es arbeite nämlich an einer universellen Entsperrsoftware, die sonst nicht richtig funktionieren werde.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Umfrage

Was halten Sie von Alexander Dobrindt als Minister für "digitale Infrastruktur"?

  • Komplette Fehlbesetzung. (54%, 232 Stimme(n))
  • Ich urteile erst, wenn er ein paar Monate im Amt war. (31%, 134 Stimme(n))
  • Auch nicht besser oder schlechter als andere . (7%, 30 Stimme(n))
  • Finde ich gut. (2%, 8 Stimme(n))
  • Habe ich mir noch keine Meinung dazu gebildet. (6%, 26 Stimme(n))

Gesamt: 430

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen