Vermeintliche Ransomware löscht Dateien selbst bei Lösegeldzahlung

SicherheitVirus
Malware (Bild: Shutterstock)

Ranscam fehlen jegliche Funktionen für die Verschlüsselung oder Wiederherstellung von Dateien. Stattdessen beginnt die Malware sofort mit der Löschung von Dateien aus den Nutzerverzeichnissen. Ranscam lässt sich zudem nur durch eine vollständige Neuinstallation des Systems entfernen.

Ciscos Sicherheitssparte Talos warnt vor einer neuen Ransomware namens “Ranscam”. Im Gegensatz zu Erpressungstrojanern wie Cryptowall und TeslaCrypt oder CryptXXX verfügt Ranscam über keinerlei Funktionen zum Verschlüsseln von Dateien. Trotzdem droht die Malware damit und fordert ein Lösegeld von 0,2 Bitcoins. Zu dem Zeitpunkt hat sie jedoch bereits mit der unwiderruflichen Löschung von Dateien begonnen.

“Es gibt keine Ehre mehr unter Dieben”, heißt es in einem Blogeintrag von Talos. “Ranscam löscht einfach die Dateien seiner Opfer und liefert damit ein weiteres Beispiel dafür, dass man Cyberkriminellen nicht immer trauen kann, selbst wenn ein Opfer der Lösegeldforderung nachkommt.”

Ranscam blendet, nachdem es ein System infiziert hat, eine JPG-Datei ein, und behauptet, mit jedem Klick, der nicht der Zahlung des Lösegelds dient, Dateien zu löschen. Zudem gibt die Ransomware vor, Dateien auf eine “versteckte und verschlüsselte Partition” zu verschieben, um zu erklären, warum bestimmte Dateien nicht mehr gefunden werden können.

Lösegeldforderung von Ranscam (Screenshot: Cisco Talos)
Lösegeldforderung von Ranscam (Screenshot: Cisco Talos)

Doch statt die Dateien zu verschlüsseln, durchsucht Ranscam die Nutzerverzeichnisse und löscht sofort deren Inhalt. Darüber hinaus zerstört es wichtige Windows-Dateien, die für eine Systemwiederherstellung benötigt werden. Auch alle Schattenkopien sowie bestimmte Registry-Schlüssel, die für den abgesicherten Modus und den Taskmanager benötigt werden, werden gelöscht. Als Folge bleibt Nutzern nur eine vollständige Neuinstallation ihres Systems, um Ranscam zu entfernen.

Nutzer, die der Zahlungsaufforderung nachkommen und anschließend auf den von Ranscam angezeigten Button zur Überprüfung der Zahlung klicken, erleben eine bittere Enttäuschung. Da Ranscam gar nicht über eine derartige Funktion verfügt, werden stattdessen andere JPG-Bilder angezeigt, die behaupten, die Zahlung sei nicht erfolgt und es würden weiterhin bei jedem Klick Dateien gelöscht, bis das Lösegeld eingegangen sei.

Ranscam versucht also, immer wieder neuen Druck aufzubauen und Nutzer sogar zu einer mehrfachen Zahlung des Lösegelds zu verleiten, obwohl die Dateien bereits gelöscht wurden und es keine Möglichkeit gibt, sie wiederherzustellen. “Das Fehlen jeglicher Verschlüsselung und Entschlüsselung legt die Vermutung nahe, dass es den Tätern nur um ‘das schnelle Geld’ geht”, so die Talos-Forscher weiter.

Zumindest der wirtschaftliche Erfolg blieb den Hintermännern von Ranscam bisher verwehrt. Da sie nur eine Bitcoin-Adresse für ihre Zahlung angeben, konnten die Forscher die darüber abgewickelten Transaktionen ermitteln: 277,61 Dollar wurden bisher an sie überwiesen. “Das scheinen Amateure zu seien und keine ausgefeilte Kampagne”, ergänzten die Sicherheitsforscher. Ranscam versuche in erster Linie, Nutzer zu erschrecken, was ihnen nicht immer gelinge, denn manchmal werde nicht einmal ihre Lösegeldforderung korrekt angezeigt.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.