Sicherheitsforscher melden neue Ransomware

In Europa einschließlich Russland und den USA kursiert eine neue Ransomware, wie das amerikanische IntelCrawler meldet. Sie werde seit dem 5. Dezember in mindestens 50 Varianten verteilt. Für die Freigabe von ihr verschlüsselter Anwenderdaten verlange sie je nach Region um 150 Dollar – nur etwa die Hälfte wie ihr mutmaßliches Vorbild, die seit September umgehende Erpressersoftware Cryptolocker.

Das neue, offenbar noch nicht getaufte Schadprogramm überprüft zunächst durch einen Aufruf von www.adobe.com, ob der PC mit dem Internet verbunden ist. Dann erstellt es mit Hilfe der Bibliothek TurboPower LockBox mit AES verschlüsselte Kopien von Anwenderdaten mit der Dateiendung .perfect und löscht die Originale. In jedem Verzeichnis hinterlässt es zudem eine Datei CONTACT.TXT mit einer Lösegeldforderung. Nach Zahlung werde dem Opfer der Schlüssel zugestellt, steht darin.

Anders als beim Vorbild Cryptolocker gibt es keine Bezahlmöglichkeit in Form von Bitcoins. Das Lösegeld kann über den Peer-to-peer-Dienst Perfect Money oder über eine virtuelle Bankkarte des russischen Anbieters Qiwi Visa erfolgen.

Anders als etwa Botnetz-Software nutzt die neue Ransomware keine zentralen Kommandoserver. Stattdessen werden infizierte Systeme über eine spezielle Entschlüsselungssoftware verwaltet. IntelCrawler-CEO Andrey Komarov erklärt: „Jeder ‚Dekryptor‘ hat eine Liste fest verdrahteter IP-Adressen, wodurch jedes Exemplar komplett ohne Command&Control-Infrastruktur auskommt, sodass es außer den E-Commerce-Details keine Wurzeln gibt und der Inhaber geschützt ist.“

Im Untergrund habe man die Software in mindestens 50 Varianten angeboten gesehen, sagt Komarov. Bezahlt werde üblicherweise pro erfolgreicher Installation. Eine Variante habe fast 6000 Systeme infiziert. Die meisten Opfer gebe es in Russland, gefolgt von den USA und den Niederlanden.

Die Verteilung der Malware bleibt dem Käufer überlassen. Manche versenden sie als Spam, andere setzen falsche Server für Raubkopien von Songs auf, unter denen sich beispielsweise eine Variante mit dem Namen babyBaby.mp3.exe fand – also als Tina-Turner-Song getarnt.

Die Erkennungsrate durch Antivirenlösungen ist laut IntelCrawler allerdings sehr hoch. Eventuellen Opfern rät es, keine Dateinamen und auch nicht den Hostnamen des PCs zu ändern. Es arbeite nämlich an einer universellen Entsperrsoftware, die sonst nicht richtig funktionieren werde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.