Ransomware Ransoc fordert „Bußgeld“ wegen verdächtiger Downloads

Eine neu entdeckte Form von Schadsoftware erpresst die Opfer mit dem, was sie an Dateien auf dem Computer ausgespäht hat. Darüber hinaus greift sie auf die Kommunikationslösung Skype sowie Social-Media-Konten wie Facebook und LinkedIn zu, um eine individualisierte Geldforderung zu erstellen. In Anlehnung an Ransomware und Social Media schrieb die Sicherheitsfirma Proofpoint dem unter Windows ausführbaren Programm die Bezeichnung Ransoc zu.

Auf die fast schon zum Standard gewordene Verschlüsselung aller auf einem Rechner gespeicherten Dateien, mit der meist erpresserische Forderungen begründet werden, verzichtet diese Ransomware hingegen. Auf den ersten Blick erinnert sie vielmehr an Malware-Wellen früherer Jahre, da sie auf dem Desktop einen Browser-basierten Sperrbildschirm einblendet, der sich nur schwer wieder entfernen lässt.

Ransoc droht mit der Veröffentlichung gesammelter Daten (Bild: Proofpoint).

Typisch für Ransoc ist aber der gezielte Einsatz von Social Engineering, um mit einer maßgeschneiderten Erpressung die Opfer zur Zahlung zu bewegen. Wie die Analyse von Proofpoint ergab, durchsucht die Malware den befallenen PC nach Dateinamen, die möglicherweise illegalen Downloads entsprechen. Wird die Malware fündig, wird der Sperrbildschirm mit einer Geldforderung eingeblendet. Dabei wird die erwünschte Zahlung als Bußgeld bezeichnet, mit dessen Entrichtung ein Gerichtsverfahren und eine möglicherweise noch viel höhere Strafe zu vermeiden sei. Die gesetzte Zahlungsfrist kann 24 Stunden oder weniger betragen.

Dazu blenden die Erpresser noch zutreffende persönliche Daten und Fotos der Opfer ein, die von Skype und Social-Media-Profilen eingesammelt wurden. Gleichzeitig drohen sie damit, bei Nichtzahlung das gesamte „Beweismaterial“ zu veröffentlichen. Anders als bei üblicher Ransomware bieten sie nicht die Freigabe verschlüsselter Dateien an, sondern wollen die Opfer einschüchtern, damit sie aus Angst um ihre Reputation bezahlen.

Dazu passt, dass die erpresserische Software mit Malvertising-Kampagnen über eingeblendete Werbung vor allem bei pornografischen Websites verbreitet wird. Eine anschließende Erpressung soll dann erfolgen, wenn Ransoc beim Durchstöbern der Datenbestände auf Hinweise für illegale Downloads über BitTorrent oder bestimmte Formen von Pornografie stößt.

Um mehr Opfer zu einer Zahlung zu bewegen, verspricht der eingeblendete Sperrbildschirm sogar die Rückzahlung des Geldes, falls jemand innerhalb von 180 Tagen nicht wieder erwischt werde. Während andere aktuelle Ransomware typischerweise die weniger vertraute Zahlung mit der virtuellen Währung Bitcoin erwartet, macht es Ransoc den Opfern leichter, indem es die Zahlung mit Kreditkarte anbietet. Damit hoffen die Erpresser offenbar auf mehr Zahlungen – könnten vielleicht aber auch selbst leichter ermittelt werden.

[mit Material von Danny Palmer, ZDNet.com]

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago