Australien: Crypto-Ransomware mit Breaking-Bad-Theme im Umlauf

Symantec hat eine neue Crypto-Ransomware entdeckt, die derzeit vor allem Computer in Australien infiziert. Die Schadsoftware verschlüsselt Bilder, Videos, Dokumente und Office-Dateien und verlangt für die Freigabe bis zu 1000 Australische Dollar (708 Euro). Bei der Analyse der Trojan.Cryptolocker.S genannten Malware fand Symantec zudem viele Bezüge zu der auch in Deutschland beliebten Fernsehserie Breaking Bad.

Unter anderem haben die Hintermänner der Ransomware ein Zitat der Hauptfigur Walter White für die E-Mail-Adresse benutzt, an die sich Opfer wegen der Zahlung des Lösegelds wenden sollen. Zudem verwenden sie das Logo eines Schnellrestaurants, das ebenfalls in der Serie vorkommt.

Die Lösegeldforderung der Erpresser zeigt unter anderem das Logo des Schnellrestaurants Los Pollos Hermandos aus der Serie Breaking Bad (Screenshot: Symantec).

Die Verteilung des Schadprogramms erfolgt Symantec zufolge über ein Zip-Archiv, das wiederum den Namen einer bekannten Kurierfirma trägt. Das Archiv enthält eine „Penalty.vbs“ genannte Datei, die bei ihrer Ausführung die eigentliche Crypto-Ransomware herunterlädt und installiert. Zudem wird eine legitime PDF-Datei geöffnet, um die gefährlichen Aktionen im Hintergrund zu verschleiern.

„Basierend auf unserer Analyse scheint die Bedrohung Komponenten oder ähnliche Techniken wie ein Open-Source-Penetration-Testing-Projekt zu verwenden, das Microsoft-PowerShell-Module nutzt“, heißt es in einem Blogeintrag von Symantec. „Das erlaubt es den Angreifern, eigene PowerShell-Skripte auf einem kompromittierten Computer auszuführen und die Crypto-Ransomware zu steuern.“

Die Verschlüsselung der Dateien erfolgt mit einem zufälligen AES-Schlüssel. Der Schlüssel wird wiederum mit einem öffentlichen RSA-Schlüssel verschlüsselt. Um wieder Zugriff auf verschlüsselte Dateien zu erhalten, benötigen die Opfer laut Symantec den privaten Schlüssel der Angreifer. Die Zahlung des Lösegelds soll mit Bitcoins erfolgen. Die Lösegeldforderung enthält sogar ein Video, das Nutzern zeigt, wie sie sich Bitcoins beschaffen können.

Laut Sicherheitsexperte Graham Cluley ist es nicht ungewöhnlich, das Cyberkriminelle im Code ihrer Schadsoftware Spuren hinterlassen. Die Analyse von Symantec lasse allerdings bisher nur den Schluss zu, dass die Hintermänner Fans der Serie Breaking Bad und ihrer Hauptfigur Walter White seien, die sich von einem einfachen Chemielehrer zu einem Drogenboss entwickelt. Konkrete Beweise für die Identität eines Hackers wie ein Lebenslauf, den der philippinische Makro-Virus-Autor Michael Buen auf dem Computer eines Opfers hinterlassen habe, seien allerdings sehr selten.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de