Ransomware Ransoc fordert „Bußgeld“ wegen verdächtiger Downloads

Eine neu entdeckte Form von Schadsoftware erpresst die Opfer mit dem, was sie an Dateien auf dem Computer ausgespäht hat. Darüber hinaus greift sie auf die Kommunikationslösung Skype sowie Social-Media-Konten wie Facebook und LinkedIn zu, um eine individualisierte Geldforderung zu erstellen. In Anlehnung an Ransomware und Social Media schrieb die Sicherheitsfirma Proofpoint dem unter Windows ausführbaren Programm die Bezeichnung Ransoc zu.

Auf die fast schon zum Standard gewordene Verschlüsselung aller auf einem Rechner gespeicherten Dateien, mit der meist erpresserische Forderungen begründet werden, verzichtet diese Ransomware hingegen. Auf den ersten Blick erinnert sie vielmehr an Malware-Wellen früherer Jahre, da sie auf dem Desktop einen Browser-basierten Sperrbildschirm einblendet, der sich nur schwer wieder entfernen lässt.

Typisch für Ransoc ist aber der gezielte Einsatz von Social Engineering, um mit einer maßgeschneiderten Erpressung die Opfer zur Zahlung zu bewegen. Wie die Analyse von Proofpoint ergab, durchsucht die Malware den befallenen PC nach Dateinamen, die möglicherweise illegalen Downloads entsprechen. Wird die Malware fündig, wird der Sperrbildschirm mit einer Geldforderung eingeblendet. Dabei wird die erwünschte Zahlung als Bußgeld bezeichnet, mit dessen Entrichtung ein Gerichtsverfahren und eine möglicherweise noch viel höhere Strafe zu vermeiden sei. Die gesetzte Zahlungsfrist kann 24 Stunden oder weniger betragen.

Dazu blenden die Erpresser noch zutreffende persönliche Daten und Fotos der Opfer ein, die von Skype und Social-Media-Profilen eingesammelt wurden. Gleichzeitig drohen sie damit, bei Nichtzahlung das gesamte „Beweismaterial“ zu veröffentlichen. Anders als bei üblicher Ransomware bieten sie nicht die Freigabe verschlüsselter Dateien an, sondern wollen die Opfer einschüchtern, damit sie aus Angst um ihre Reputation bezahlen.

Dazu passt, dass die erpresserische Software mit Malvertising-Kampagnen über eingeblendete Werbung vor allem bei pornografischen Websites verbreitet wird. Eine anschließende Erpressung soll dann erfolgen, wenn Ransoc beim Durchstöbern der Datenbestände auf Hinweise für illegale Downloads über BitTorrent oder bestimmte Formen von Pornografie stößt.

Um mehr Opfer zu einer Zahlung zu bewegen, verspricht der eingeblendete Sperrbildschirm sogar die Rückzahlung des Geldes, falls jemand innerhalb von 180 Tagen nicht wieder erwischt werde. Während andere aktuelle Ransomware typischerweise die weniger vertraute Zahlung mit der virtuellen Währung Bitcoin erwartet, macht es Ransoc den Opfern leichter, indem es die Zahlung mit Kreditkarte anbietet. Damit hoffen die Erpresser offenbar auf mehr Zahlungen – könnten vielleicht aber auch selbst leichter ermittelt werden.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.