Ransomware Virlock nutzt nun auch Cloud-Speicher zur Ausbreitung

CyberkriminalitätSicherheit
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Die Ransomware verschlüsselt Dateien nicht nur, sie infiziert sie auch mit Schadcode. Davon sind auch Dateien betroffen, die Nutzer per Cloudspeicher mit anderen Anwendern teilen. Wird der Cloudspeicher mit einem lokalen System synchronisiert, gelangt die Malware sogar automatisch auf weitere Rechner.

Sicherheitsforscher von Netskope haben eine neue Variante der Ransomware Virlock entdeckt, die sich auch über Cloud-Storage und Collaborations-Anwendungen verbreitet. Vor allem in Unternehmen könnte so ein infizierter Nutzer ungewollt die Erpressungssoftware im gesamten Netzwerk verteilen.

Als Beispiel nennt Netskope zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Hat nun einer der Anwender Kontakt mit Virlock, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt ein andere Anwender schließlich eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.

Virlock ist seit rund zwei Jahren im Umlauf und nimmt in der Kategorie Ransomware eine Sonderstellung ein, weil es Dateien nicht nur verschlüsselt, sondern auch mit Schadcode infiziert. Nutzer, die eine von Virlock verschlüsselte Datei öffnen, werden selbst mit der Malware infiziert, die dann deren Dateien verschlüsselt und ebenfalls mit Schadcode versieht.

Virlock gibt vor, das "Lösegeld" im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).
Virlock gibt vor, das “Lösegeld” im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).

Typischerweise gelange Virlock über einen USB-Stick oder eine externe Netzwerkfreigabe auf einen Rechner, heißt es in einem Blogeintrag des Sicherheitsanbieters. Die Malware generiere drei ausführbare Dateien, von denen zwei die Aufgabe hätten, andere Dateien zu infizierten. Zudem nimmt Virlock Anpassungen an der Registry vor, um eine manuelle Entfernung der Schadsoftware zu verhindern.

Von Virlock verschlüsselte und infizierte Dateien erhalten automatisch die Dateiendung “exe”. Erst danach blendet es seine Lösegeldforderung ein, die dem Nutzer im Namen von FBI und US-Justizministerium den Einsatz von raubkopierter Software vorwirft. Das Lösegeld, das Virlock für die Freigabe der Dateien verlangt, beträgt 250 Dollar in Bitcoins. Die Netskope-Forscher raten Unternehmen, wichtige Cloud-Daten regelmäßig lokal zu sichern und auf Malware zu prüfen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.