Kaspersky warnt vor neuer Erpresser-Malware Zerolocker

Kaspersky hat eine neue Erpresser-Malware für Windows entdeckt. Ähnlich wie Cryptolocker ist auch die Zerolocker genannte Malware in der Lage, Dateien mit einem starken Algorithmus zu verschlüsseln, um Lösegeld für die Entschlüsselung zu erpressen. Allerdings geht Zerolocker dabei nicht selektiv vor, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.

„Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‚.encrypt‘ hinzu“, schreibt Kaspersky-Forscher Roel Schouwenberg in einem Blogeintrag. „Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.“ Ausgenommen seien lediglich Dateien größer 200 MByte sowie in den Verzeichnissen „Windows“, „Program Files“, „Zerolocker“ und „Desktop“. Die Malware selbst werde im Verzeichnis „C:\Zerolocker“ ausgeführt.

Von Cryptolocker haben die Hintermänner der neuen Ransomware auch die Taktik übernommen, einen Nachlass auf das Lösegeld zu gewähren, wenn ein Opfer innerhalb eines Zeitraums von fünf Tagen nach der Infektion einen Schlüssel für die Freigabe seiner Dateien kauft. Nach Ablauf der Frist steigt der Preis für den Schlüssel von 300 Dollar auf 600 Dollar. Ab dem zehnten Tag nach der Infektion verlangen die Cyberkriminellen sogar 1000 Dollar. Die Zahlung kann nur in Bitcoins erfolgen.

Sicherheitsexperten und Strafverfolger raten im Fall einer Infektion mit einer Erpresser-Malware davon ab, ein Lösegeld zu zahlen. Aufgrund eines Fehlers in Zerolocker seien die Hintermänner wahrscheinlich gar nicht in der Lage, einen korrekten Schlüssel für die Entschlüsselung zu liefern.

„Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server“, so Schouwenberg weiter. „Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.“

Der Fehler sei möglicherweise auch ein Grund für die bisher geringe Verbreitung von Zerolocker. Eine Prüfung der zum Zerolocker-Botnet gehörenden Bitcoin-Wallet-Adressen habe zudem gezeigt, dass bisher keine Transaktionen ausgeführt wurden.

Eine Wiederherstellung verschlüsselter Dateien ohne Schlüssel hält Schouwenberg allerdings auch für unwahrscheinlich. Die Cyberkriminellen hätten zwar die Größe des Schlüssels begrenzt, er sei aber immer noch so groß, dass es nicht möglich sei, den Schlüssel per Brute Force zu ermitteln.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago