Categories: SicherheitVirus

Neue Ransomware löscht Dateien trotz Lösegeldzahlung

Ciscos Sicherheitssparte Talos warnt vor einer neuen Ransomware namens „Ranscam“. Im Gegensatz zu Erpressungstrojanern wie Cryptowall und TeslaCrypt verfügt Ranscam über keinerlei Funktionen zum Verschlüsseln von Dateien. Trotzdem droht die Malware damit und fordert ein Lösegeld von 0,2 Bitcoins – obwohl sie zu dem Zeitpunkt bereits mit der unwiderruflichen Löschung von Dateien begonnen hat.

„Es gibt keine Ehre mehr unter Dieben“, heißt es in einem Blogeintrag von Talos. „Ranscam löscht einfach die Dateien seiner Opfer und liefert damit ein weiteres Beispiel dafür, dass man Cyberkriminellen nicht immer trauen kann, selbst wenn ein Opfer der Lösegeldforderung nachkommt.“

Ranscam blendet, nachdem es ein System infiziert hat, eine JPG-Datei ein, und behauptet, mit jedem Klick, der nicht der Zahlung des Lösegelds dient, Dateien zu löschen. Zudem gibt die Ransomware vor, Dateien auf eine „versteckte und verschlüsselte Partition“ zu verschieben, um zu erklären, warum bestimmte Dateien nicht mehr gefunden werden können.

Doch statt die Dateien zu verschlüsseln, durchsucht Ranscam die Nutzerverzeichnisse und löscht sofort deren Inhalt. Darüber hinaus zerstört es wichtige Windows-Dateien, die für eine Systemwiederherstellung benötigt werden. Auch alle Schattenkopien sowie bestimmte Registry-Schlüssel, die für den abgesicherten Modus und den Taskmanager benötigt werden, werden gelöscht. Als Folge bleibt Nutzern nur eine vollständige Neuinstallation ihres Systems, um Ranscam zu entfernen.

Nutzer, die der Zahlungsaufforderung nachkommen und anschließend auf den von Ranscam angezeigten Button zur Überprüfung der Zahlung klicken, erleben eine bittere Enttäuschung. Da Ranscam gar nicht über eine derartige Funktion verfügt, werden stattdessen andere JPG-Bilder angezeigt, die behaupten, die Zahlung sei nicht erfolgt und es würden weiterhin bei jedem Klick Dateien gelöscht, bis das Lösegeld eingegangen sei.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Ranscam versucht also, immer wieder neuen Druck aufzubauen und Nutzer sogar zu einer mehrfachen Zahlung des Lösegelds zu verleiten, obwohl die Dateien bereits gelöscht wurden und es keine Möglichkeit gibt, sie wiederherzustellen. „Das Fehlen jeglicher Verschlüsselung und Entschlüsselung legt die Vermutung nahe, dass es den Tätern nur um ‚das schnelle Geld‘ geht“, so die Talos-Forscher weiter.

Zumindest der wirtschaftliche Erfolg blieb den Hintermännern von Ranscam bisher verwehrt. Da sie nur eine Bitcoin-Adresse für ihre Zahlung angeben, konnten die Forscher die darüber abgewickelten Transaktionen ermitteln: 277,61 Dollar wurden bisher an sie überwiesen. „Das scheinen Amateure zu seien und keine ausgefeilte Kampagne“, ergänzten die Sicherheitsforscher. Ranscam versuche in erster Linie, Nutzer zu erschrecken, was ihnen nicht immer gelinge, denn manchmal werde nicht einmal ihre Lösegeldforderung korrekt angezeigt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago