Ransomware Virlock verbreitet sich über Cloud-Storage

Die Ransomware verschlüsselt Dateien nicht nur, sie infiziert sie auch mit Schadcode. Davon sind auch Dateien betroffen, die Nutzer per Cloudspeicher mit anderen Anwendern teilen. Wird der Cloudspeicher mit einem lokalen System synchronisiert, gelangt die Malware sogar automatisch auf weitere Rechner.

Sicherheitsforscher von Netskope haben eine neue Variante der Ransomware Virlock entdeckt, die sich auch über Cloud-Storage und Collaborations-Anwendungen verbreitet. Vor allem in Unternehmen könnte so ein infizierter Nutzer ungewollt die Erpressungssoftware im gesamten Netzwerk verteilen. Die Forscher sprechen in dem Zusammenhang von einem Ausfächerungseffekt.

Virlock ist seit rund zwei Jahren im Umlauf und nimmt in der Kategorie Ransomware eine Sonderstellung ein, weil es Dateien nicht nur verschlüsselt, sondern auch mit Schadcode infiziert. Nutzer, die eine von Virlock verschlüsselte Datei öffnen, werden selbst mit der Malware infiziert, die dann deren Dateien verschlüsselt und ebenfalls mit Schadcode versieht.

Virlock gibt vor, das "Lösegeld" im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).Virlock gibt vor, das „Lösegeld“ im Namen von US-Strafverfolgern einzutreiben (Bild: Netskope).

Typischerweise gelange Virlock über einen USB-Stick oder eine externe Netzwerkfreigabe auf einen Rechner, heißt es in einem Blogeintrag des Sicherheitsanbieters. Die Malware generiere drei ausführbare Dateien, von denen zwei die Aufgabe hätten, andere Dateien zu infizierten. Zudem nimmt Virlock Anpassungen an der Registry vor, um eine manuelle Entfernung der Schadsoftware zu verhindern.

Von Virlock verschlüsselte und infizierte Dateien erhalten automatisch die Dateiendung „exe“. Erst danach blendet es seine Lösegeldforderung ein, die dem Nutzer im Namen von FBI und US-Justizministerium den Einsatz von raubkopierter Software vorwirft.

Neu ist nun, dass Virlock auch Nutzer infizieren kann, die gemeinsam an in der Cloud gespeicherten Dateien arbeiten. Als Beispiel nennt Netskope zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Hat nun einer der Anwender Kontakt mit Virlock, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt ein andere Anwender schließlich eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.

Das Lösegeld, das Virlock für die Freigabe der Dateien verlangt, beträgt 250 Dollar in Bitcoins. Die Netskope-Forscher raten Unternehmen, wichtige Cloud-Daten regelmäßig lokal zu sichern und auf Malware zu prüfen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cloud by HPE, Cloud-Computing, Collaboration, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: