Neue Cryptowall-Variante verschleiert Dateinamen

Die Erpresser-Malware Cryptowall für Windows hat offenbar ein Update erhalten. Wie BleepingComputer berichtet, ist sie nun nicht nur in der Lage, die Dateien eines Opfers zu verschlüsseln, sondern auch deren Namen zu verschleiern. Einem Opfer ist es anschließend nicht mehr möglich, seine Dateien wiederzufinden und wichtige von unwichtigen Dateien zu unterscheiden.

Darüber hinaus löscht Cryptowall nun auch Systemwiederherstellungspunkte, die es erlauben, Windows auf einen früheren Stand zurückzusetzen und Änderungen am System rückgängig zu machen. Schließlich verhöhnt die Malware auch noch ihre Opfer, indem sie sie als „Teil einer großen Gemeinschaft“ begrüßt.

Das geforderte Lösegeld müssen Nutzer weiterhin mit der Cryptowährung Bitcoin bezahlen. Die Zahlungen selbst erfolgen über einen im Tor-Netzwerk verborgenen Befehlsserver, auf dem die zur Entschlüsselung benötigten Schlüssel gespeichert sind – was eine Verfolgung der Angreifer nahezu unmöglich macht.

Die neue Variante wird über Spam-E-Mails verbreitet. Deren Dateianhang im ZIP-Format enthält die eigentliche ausführbare Schadsoftware. Das FBI schätzt, dass jede Woche mehrere Tausend Nutzer auf die Ransomware reinfallen. Allein zwischen April 2014 und Juni 2015 betrug der Schaden von 992 gemeldeten Erpressungsversuchen mit Cryptowall auf mehr als 18 Millionen Dollar.

Bitdefender hat nach eigenen Angaben in den USA, Frankreich, Deutschland, Italien, Spanien, Indien und China Infektionen mit Cryptowall 4 gefunden. Die neue Version infiziere einen Rechner nicht, wenn Russisch als Tastatursprache eingestellt sei. Ein von Bitdefender entwickeltes Gratis-Tool soll Nutzer vor Cryptowall 4 schützen. Es ist allerdings nicht in der Lage, nach einem Befall die von der Malware durchgeführten Änderungen rückgängig zu machen und hilft auch nur gegen die neue Variante.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de