Forscher des Sicherheitsanbieters Proofpoint haben eine neue Ransomware-Familie namens MarsJoke analysiert. Sie nimmt derzeit vor allem Behörden und Bildungseinrichtungen in den USA ins Visier. Betroffenen Nutzern lässt der Erpressungstrojaner nur 96 Stunden, um das geforderte Lösegeld zu zahlen. Andernfalls würden alle Dateien dauerhaft verschlüsselt und damit unbrauchbar gemacht.
Seit 22. September wird Marsjoke in einer groß angelegten E-Mail-Kampagne verbreitet. Die E-Mails selbst geben vor, Details zu einem Paket zu enthalten, dessen Sendungsstatus sich angeblich nur über den eingebetteten Link verfolgen lässt. Der Link führt jedoch zu einer Datei namens „file_6.exe“, die das System mit Marsjoke infiziert.
Lösegeldforderung der Ransomware MarsJoke (Bild: Proofpoint)Sobald Marsjoke ausgeführt wird, beginnt die Malware mit der Verschlüsselung von Dateien. Darüber hinaus werden neue Dateien angelegt, die die Forderungen der Erpresser enthalten und eine Anleitung zur Zahlung des Lösegelds in Höhe von 0,7 Bitcoins (320 Dollar). Außerdem wird der Desktop-Hintergrund des Systems geändert, der nun besagten Countdown von 96 Stunden anzeigt.
Die Cyberkriminellen warnen zudem vor jeglichen Versuchen, MarsJoke zu entfernen. Auch hier drohen sie mit einem dauerhaften und vollständigen Datenverlust. Sie bieten ihren Opfern aber auch an, zwei Dateien kostenlos zu entschlüsseln, um zu demonstrieren, dass sie tatsächlich in der Lage sind, nach Zahlung der geforderten Summe alle gekaperten Daten wieder freizugeben.
Proofpoint weist darauf hin, dass die Lösegeldforderung ähnlich gestaltet ist wie die der Ransomware-Familie CTB-Locker. Die Ziele, sprich Behörden und Bildungseinrichtungen, habe MarsJoke indes von der jüngsten CryptFile2-Kampagne übernommen. Eine Entschlüsselung von mit MarsJoke unbrauchbar gemachten Dateien ohne Zahlung des Lösegelds sei derzeit nicht möglich.
„Bildungsrichtungen sowie lokale und staatliche Behörden werden oft als leichte Ziele angesehen, weil ihnen die Infrastruktur und auch die finanziellen Mittel für robuste Datensicherungen und starke Verteidigungsmaßnahmen zum Schutz vor Infektionen fehlen“, heißt es im Proofpoint-Blog. Aufgrund der Ziele und auch des Umfangs der Kampagne scheine MarsJoke jedoch nicht einfach nur „eine weitere Ransomware“ zu sein.
Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
3 Kommentare zu MarsJoke: Ransomware greift US-Behörden an und droht mit Datenlöschung
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Hallo
Das scheint mir alles ein wenig zu Komisch zu sein,
wie kann so eine Malware in den modernen Systemen wirken da scheint mir vieles Unklar zu sein.
Auch die Algorhytmen sollten ja schon allgemein bekannt sein sicher schon bei NSA usw.
Uns ausserdem wie werden Bitcoins zu Bargeld gemacht ?
Da wäscht doch eine Hand die andere so wir ich weis kann man noch keine Einkäüfe mit Bitcoins machen ?
Und wenn dass hier der Fall ist:
„„Bildungsrichtungen sowie lokale und staatliche Behörden werden oft als leichte Ziele angesehen, weil ihnen die Infrastruktur und auch die finanziellen Mittel für robuste Datensicherungen und starke Verteidigungsmaßnahmen zum Schutz vor Infektionen fehlen“, heißt es im Proofpoint-Blog.“
dann braucht es da auch eine bessere finanzielle Ausstattung fuer Datensicherung und Verteidigung.
Aber wie schon geschrieben: NIEMALS, NIEMALS, NIEMALS Lösgeld zahlen! Das ist das duemmste was die machen können!!
Gruß
Andrea
ZU dem hier:
„Die Cyberkriminellen warnen zudem vor jeglichen Versuchen, MarsJoke zu entfernen. Auch hier drohen sie mit einem dauerhaften und vollständigen Datenverlust. Sie bieten ihren Opfern aber auch an, zwei Dateien kostenlos zu entschlüsseln, um zu demonstrieren, dass sie tatsächlich in der Lage sind, nach Zahlung der geforderten Summe alle gekaperten Daten wieder freizugeben.“
sage ich mal:
wenn man regelmäßige Backups von seinen Dateien hat, dann kann einen auch so eine Ransomware nicht mehr schrecken. Und dann sollte diese auf jedenfall komplett entfernt, das System komplett neu installiert werden und sicherheitshalber ein neuer Internet-Router beschafft werden, weil der alte eventuell eine Backdoor hat, ueber die die Angreifer jederzeit wieder ins System eindringen können.
Weiterhin sollten diese us-Bildungseinrichtungen sicherheitshalber auch alle infizierten Geräte nach Entfernung entsorgen, weil eventuell noch mehr Backdoors im BIOS oder in anderen Teilen der Geräte drin sind und diese Geräte damit nicht mehr vertrauenswuerdig sind..heißt also:
1. Backup aller Daten machen und zwar regelmäßig
2. System komplett schrotten
3. bestehende Partitionen ebenfalls komplett löschen
4. Festplatte formatieren
5. entweder ein LInux-Livesystem per usb-Stick starten oder aber eine Windows-CD ins Laufwerk legen fuer GParted und mit GParted neue Partitionen erstellen
6. System komplett neu installieren
7. dabei ein neues Userpasswort sowie ein neues Admin-Passowrt vergehen.
Bei diesem Passwort darauf achten, dass es mindestens 12 Stellen hat, je mehr desto besser, dass es Buchstaben in Groß- und Kleinschreibung enthält, Sonderzeichen sowie Zahlen!
Von daher: zeigt diesen Malware-Schmierfinken die ROTE Karte!!
Grueße
Andrea