Neue Versionen der Erpresser-Malware Cryptowall in Umlauf

SicherheitVirus
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Sie liegt nun in Versionen für 32- und 64-Bit-Architekturen vor und nutzt mit I2P auch ein zweites Anonymisierungsnetzwerk. Zuvor hatte sie nur TOR verwendet. Die Hintermänner verlangen nun von ihren Opfern für die Entschlüsselung 500 Dollar. Die sollen in Bitcoins bezahlt werden.

Microsoft hat auf eine neue Variante der Erpresser-Malware Cryptowall hingeweisen. Dem Unternehmen zufolge wird sie wie ihre beiden Vorgänger per E-Mail sowie über manipulierte Online-Anzeigen verbreitet. Neu ist an ihr, dass sie zwischen 32- und 64-Bit-Architekturen unterscheiden und jeweils passende Versionen für die jeweilige Architektur ausführen kann. Außerdem verwendet sie jetzt zwei Anonymisierungsnetzwerke, um ihre Command-and-Control-Server zu verbergen.

Die Hintermänner der Ransomware Cryptowall verlangen mindestens 500 Dollar Lösegeld für die Entschlüsselung von Dateien (Screenshot: Microsoft).
Die Hintermänner der Ransomware Cryptowall verlangen mindestens 500 Dollar Lösegeld für die Entschlüsselung von Dateien (Screenshot: Microsoft).

Microsoft ist durch einen Anstieg neuer Cryptowall-Infektionen auf die Variante 3.0 aufmerksam geworden. Die Ransomware kann auf einem befallenen Gerät die Dateien des Nutzers verschlüsseln. Sie verweist dann auf eine Website, auf der der Angegriffene auffordert wird, binnen sieben Tagen 500 Dollar in Bitcoins zu zahlen, um die Dateien wieder entschlüsseln zu können. Lassen Nutzer diese Frist verstreichen, erhöht sich die Forderung auf 1000 Dollar.

Wie der Sicherheitsexperte Pierluigi Paganini schreibt, hat auch der französische Forscher Kafeine die neue Cryptowall-Variante untersucht. Ihm zufolge verschlüsselt sie ihre Kommunikation mit den Befehlsservern per RC4 und verwendet neben TOR nun auch das Anonymisierungsnetzwerk I2P.

Sergey Lotzin, Sicherheitsforscher bei Kaspersky Labs, hat erst kürzlich auf einer Presseveranstaltung in Warschau, die Entwicklung im Bereich Ransomeware im Jahr 2014 zusammengefasst. Demnach zählt die Erpresser-Malware Zerolocker zu den verbreitestetn Trojanern des Jahres 2014. Ähnlich wie der im Dezember 2013 erstmals aufgetauchte Cryptolocker und dessen Nachfolger Prisonlocker verschlüsselt auch Zerolocker Dateien mit einem starken Algorithmus (160-Bit AES-Schlüssel), um Lösegeld für die Dechiffrierung zu erpressen. Zerolocker chiffriert unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.

Lotzin zufolge sind vor allem kleine Unternehmen das Ziel von Ransomware. Zudem habe Kaspersky Lab 2014 eine Trendwende festgestellt: “Cyberkriminelle haben 2014 damit begonnen, sich immer mehr weg von Banking-Trojanern und hin zu Erpresser-Malware zu bewegen, da sich damit schneller und einfacher Umsatz generieren lässt. Im Gegensatz zu Angriffen mit Banking-Trojanern müssen sie bei Ransomware nicht erst überlegen, wie sie das Geld von den Konten der Opfer bekommen. Die Kunden zahlen einfach direkt auf Anforderung der Erpresser-Software”, erklärte Lotzin.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen