Sicherheitsforscher melden neue Ransomware

In Europa einschließlich Russland und den USA kursiert eine neue Ransomware, wie das amerikanische IntelCrawler meldet. Sie werde seit dem 5. Dezember in mindestens 50 Varianten verteilt. Für die Freigabe von ihr verschlüsselter Anwenderdaten verlange sie je nach Region um 150 Dollar – nur etwa die Hälfte wie ihr mutmaßliches Vorbild, die seit September umgehende Erpressersoftware Cryptolocker.

Das neue, offenbar noch nicht getaufte Schadprogramm überprüft zunächst durch einen Aufruf von www.adobe.com, ob der PC mit dem Internet verbunden ist. Dann erstellt es mit Hilfe der Bibliothek TurboPower LockBox mit AES verschlüsselte Kopien von Anwenderdaten mit der Dateiendung .perfect und löscht die Originale. In jedem Verzeichnis hinterlässt es zudem eine Datei CONTACT.TXT mit einer Lösegeldforderung. Nach Zahlung werde dem Opfer der Schlüssel zugestellt, steht darin.

Anders als beim Vorbild Cryptolocker gibt es keine Bezahlmöglichkeit in Form von Bitcoins. Das Lösegeld kann über den Peer-to-peer-Dienst Perfect Money oder über eine virtuelle Bankkarte des russischen Anbieters Qiwi Visa erfolgen.

Anders als etwa Botnetz-Software nutzt die neue Ransomware keine zentralen Kommandoserver. Stattdessen werden infizierte Systeme über eine spezielle Entschlüsselungssoftware verwaltet. IntelCrawler-CEO Andrey Komarov erklärt: „Jeder ‚Dekryptor‘ hat eine Liste fest verdrahteter IP-Adressen, wodurch jedes Exemplar komplett ohne Command&Control-Infrastruktur auskommt, sodass es außer den E-Commerce-Details keine Wurzeln gibt und der Inhaber geschützt ist.“

Im Untergrund habe man die Software in mindestens 50 Varianten angeboten gesehen, sagt Komarov. Bezahlt werde üblicherweise pro erfolgreicher Installation. Eine Variante habe fast 6000 Systeme infiziert. Die meisten Opfer gebe es in Russland, gefolgt von den USA und den Niederlanden.

Die Verteilung der Malware bleibt dem Käufer überlassen. Manche versenden sie als Spam, andere setzen falsche Server für Raubkopien von Songs auf, unter denen sich beispielsweise eine Variante mit dem Namen babyBaby.mp3.exe fand – also als Tina-Turner-Song getarnt.

Die Erkennungsrate durch Antivirenlösungen ist laut IntelCrawler allerdings sehr hoch. Eventuellen Opfern rät es, keine Dateinamen und auch nicht den Hostnamen des PCs zu ändern. Es arbeite nämlich an einer universellen Entsperrsoftware, die sonst nicht richtig funktionieren werde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago