Neue Ransomware löscht Dateien trotz Lösegeldzahlung

Ciscos Sicherheitssparte Talos warnt vor einer neuen Ransomware namens „Ranscam“. Im Gegensatz zu Erpressungstrojanern wie Cryptowall und TeslaCrypt verfügt Ranscam über keinerlei Funktionen zum Verschlüsseln von Dateien. Trotzdem droht die Malware damit und fordert ein Lösegeld von 0,2 Bitcoins – obwohl sie zu dem Zeitpunkt bereits mit der unwiderruflichen Löschung von Dateien begonnen hat.

„Es gibt keine Ehre mehr unter Dieben“, heißt es in einem Blogeintrag von Talos. „Ranscam löscht einfach die Dateien seiner Opfer und liefert damit ein weiteres Beispiel dafür, dass man Cyberkriminellen nicht immer trauen kann, selbst wenn ein Opfer der Lösegeldforderung nachkommt.“

Ranscam blendet, nachdem es ein System infiziert hat, eine JPG-Datei ein, und behauptet, mit jedem Klick, der nicht der Zahlung des Lösegelds dient, Dateien zu löschen. Zudem gibt die Ransomware vor, Dateien auf eine „versteckte und verschlüsselte Partition“ zu verschieben, um zu erklären, warum bestimmte Dateien nicht mehr gefunden werden können.

Doch statt die Dateien zu verschlüsseln, durchsucht Ranscam die Nutzerverzeichnisse und löscht sofort deren Inhalt. Darüber hinaus zerstört es wichtige Windows-Dateien, die für eine Systemwiederherstellung benötigt werden. Auch alle Schattenkopien sowie bestimmte Registry-Schlüssel, die für den abgesicherten Modus und den Taskmanager benötigt werden, werden gelöscht. Als Folge bleibt Nutzern nur eine vollständige Neuinstallation ihres Systems, um Ranscam zu entfernen.

Nutzer, die der Zahlungsaufforderung nachkommen und anschließend auf den von Ranscam angezeigten Button zur Überprüfung der Zahlung klicken, erleben eine bittere Enttäuschung. Da Ranscam gar nicht über eine derartige Funktion verfügt, werden stattdessen andere JPG-Bilder angezeigt, die behaupten, die Zahlung sei nicht erfolgt und es würden weiterhin bei jedem Klick Dateien gelöscht, bis das Lösegeld eingegangen sei.

Ranscam versucht also, immer wieder neuen Druck aufzubauen und Nutzer sogar zu einer mehrfachen Zahlung des Lösegelds zu verleiten, obwohl die Dateien bereits gelöscht wurden und es keine Möglichkeit gibt, sie wiederherzustellen. „Das Fehlen jeglicher Verschlüsselung und Entschlüsselung legt die Vermutung nahe, dass es den Tätern nur um ‚das schnelle Geld‘ geht“, so die Talos-Forscher weiter.

Zumindest der wirtschaftliche Erfolg blieb den Hintermännern von Ranscam bisher verwehrt. Da sie nur eine Bitcoin-Adresse für ihre Zahlung angeben, konnten die Forscher die darüber abgewickelten Transaktionen ermitteln: 277,61 Dollar wurden bisher an sie überwiesen. „Das scheinen Amateure zu seien und keine ausgefeilte Kampagne“, ergänzten die Sicherheitsforscher. Ranscam versuche in erster Linie, Nutzer zu erschrecken, was ihnen nicht immer gelinge, denn manchmal werde nicht einmal ihre Lösegeldforderung korrekt angezeigt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.