Categories: SicherheitVirus

Kaspersky: Fehlerhafte Ransomware lässt Entschlüsselung zu

Kaspersky weist in einem Blogbeitrag darauf hin, dass sich von der Ransomware Scraper verschlüsselte Dateien in etwa 70 Prozent aller Fälle entsperren lassen, ohne ein Lösegeld zu zahlen. Das liege an Programmierfehlern bei der Implementierung des Verschlüsselungsalgorithmus, heißt es.

Bildschirmhintergrund von Torlocker/Scraper (Bild: Kaspersky)

Das im Oktober letzten Jahres zuerst gemeldete, auch als Torlocker bezeichnete Schadprogram trägt offiziell die Bezeichnung Trojan-Ransom.Win32.Scrape. Es verschlüsselt Dateien seines Opfers, darunter Dokumente, Videos, Fotos und Datenbanken. Für die Herausgabe des Schlüssels fordert es mindestens 300 Dollar Lösegeld, die per Bitcoin, UKash oder PaySafeCard gezahlt werden können.

Ziel waren zunächst japanische Nutzer. Kaspersky hat nun sowohl die japanische wie auch die englische Version des Programms analysiert. Beide nutzen das Tor-Netzwerk und einen Proxy-Server, um den Nutzer mit ihrer Lösegeldforderung zu konfrontieren. Verteilt wird die Schadsoftware über das Botnetz Andromeda.

Die Malware wird typischerweise erst von Antivirensoftware erkannt und entfernt, wenn sie bereits die Dateien verschlüsselt hat. Ist dies der Fall, installiert sie einen knallroten Bildschirmhintergrund, der auf die EXE-Datei verlinkt – Anwender können den Trojaner also bewusst wieder installieren und über sie die Kriminellen informieren, dass sie das Lösegeld bezahlt haben. Ist das der Fall, erhalten sie vom Kommandoserver einen RSA-Schlüssel, um ihre Dateien zu entschlüsseln.

Zugleich macht ein Countdown Zeitdruck: Angeblich wird der benötigte Schlüssel nach einer bestimmten Zeit endgültig gelöscht, falls keine Zahlung erfolgt ist.

Lösegeldforderung der englischsprachigen Scraper-Version (Bild: Kaspersky)

Für die Verschlüsselung nutzt Scraper die Algorithmen AES-256 und RSA-2048. Seine Implementierung ist jedoch fehlerhaft. Kaspersky hat nun eine Utility namens ScraperDecryptor vorgelegt, der es in 70 Prozent aller Fälle gelingt, die Dateien auch ohne Schlüssel zu dechiffrieren. Außerdem entfernt sie alle Malware-Dateien vom System.

Ransomware ist ein immer häufiger von Kriminellen genutzter Weg, an das Geld unvorsichtiger Anwender zu kommen. Sie setzen dabei schon bei der Installation auf Ängste der Anwender: Oft gibt eine Phishing-Mail vor, von der Polizei zu stammen. Das Opfer habe illegal Inhalte heruntergeladen. Der vermeintlich von Behörden kommende Dateianhang enthält dann die Malware.

Im März war eine neue Variante der verbreiteten Ransomware Cryptolocker gesichtet worden, die auf Computerspieler abzielt: Sie verschlüsselt speziell die Daten von über 20 Spielen. TeslaCrypt – so der Name – wird nicht per Spam-E-Mail verteilt, sondern indem kompromittierte Websites Besucher mit einem Flash-Video auf das Exploit-Kit Angler umleiten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago