MarsJoke: Ransomware greift US-Behörden an und droht mit Datenlöschung

Forscher des Sicherheitsanbieters Proofpoint haben eine neue Ransomware-Familie namens MarsJoke analysiert. Sie nimmt derzeit vor allem Behörden und Bildungseinrichtungen in den USA ins Visier. Betroffenen Nutzern lässt der Erpressungstrojaner nur 96 Stunden, um das geforderte Lösegeld zu zahlen. Andernfalls würden alle Dateien dauerhaft verschlüsselt und damit unbrauchbar gemacht.

Seit 22. September wird Marsjoke in einer groß angelegten E-Mail-Kampagne verbreitet. Die E-Mails selbst geben vor, Details zu einem Paket zu enthalten, dessen Sendungsstatus sich angeblich nur über den eingebetteten Link verfolgen lässt. Der Link führt jedoch zu einer Datei namens „file_6.exe“, die das System mit Marsjoke infiziert.

Lösegeldforderung der Ransomware MarsJoke (Bild: Proofpoint)Sobald Marsjoke ausgeführt wird, beginnt die Malware mit der Verschlüsselung von Dateien. Darüber hinaus werden neue Dateien angelegt, die die Forderungen der Erpresser enthalten und eine Anleitung zur Zahlung des Lösegelds in Höhe von 0,7 Bitcoins (320 Dollar). Außerdem wird der Desktop-Hintergrund des Systems geändert, der nun besagten Countdown von 96 Stunden anzeigt.

Die Cyberkriminellen warnen zudem vor jeglichen Versuchen, MarsJoke zu entfernen. Auch hier drohen sie mit einem dauerhaften und vollständigen Datenverlust. Sie bieten ihren Opfern aber auch an, zwei Dateien kostenlos zu entschlüsseln, um zu demonstrieren, dass sie tatsächlich in der Lage sind, nach Zahlung der geforderten Summe alle gekaperten Daten wieder freizugeben.

Proofpoint weist darauf hin, dass die Lösegeldforderung ähnlich gestaltet ist wie die der Ransomware-Familie CTB-Locker. Die Ziele, sprich Behörden und Bildungseinrichtungen, habe MarsJoke indes von der jüngsten CryptFile2-Kampagne übernommen. Eine Entschlüsselung von mit MarsJoke unbrauchbar gemachten Dateien ohne Zahlung des Lösegelds sei derzeit nicht möglich.

„Bildungsrichtungen sowie lokale und staatliche Behörden werden oft als leichte Ziele angesehen, weil ihnen die Infrastruktur und auch die finanziellen Mittel für robuste Datensicherungen und starke Verteidigungsmaßnahmen zum Schutz vor Infektionen fehlen“, heißt es im Proofpoint-Blog. Aufgrund der Ziele und auch des Umfangs der Kampagne scheine MarsJoke jedoch nicht einfach nur „eine weitere Ransomware“ zu sein.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.