Ransomware Scarab erlaubt Lösegeldverhandlungen

Forscher des Sicherheitsanbieters Fortinet beschreiben eine Ransomware namens Scarab, die derzeit über das Botnet Necurs verteilt wird, das auch schon für die Verbreitung der Ransomware Locky verantwortlich war. Wie andere Erpresser-Malware auch ist Scarab in der Lage, die Dateien eines Opfers zu verschlüsseln, um ein Lösegeld zu verlangen. Im Gegensatz zu anderen Vertretern dieser Gattung schreibt Scarab jedoch keinen Betrag vor, sondern gibt dem Opfer die Möglichkeit, die Höhe des Lösegelds zu verhandeln.

Auf ein System gelangt Scarab über eine VBScript-Anwendung, die wiederum in Spam-E-Mails enthalten ist. Sobald das Skript ausgeführt wird, lädt es die Scarab-Ransomware herunter und installiert sie. Scarab wiederum verbindet sich nach dem ersten Start ebenfalls mit einer Website, um die IP-Adresse und andere Informationen über das infizierte System zu übermitteln.

Danach beginnt die eigentliche Dateiverschlüsselung – selbst wenn das Opfer die Internetverbindung seines Systems kappt. Verschlüsselte Dateien versieht die Ransomware mit der Dateiendung „scarab“. Schließlich blendet sie ihre Lösegeldforderung ein.

Darin fordern die Hintermänner ihre Opfer auf, per E-Mail oder ersatzweise per Bitmessage mit ihnen Kontakt aufzunehmen. Zudem bieten sie an, drei Dateien vorab kostenlos zu entschlüsseln. Sie dürfen jedoch nicht größer sein als 10 MByte und keine wertvollen Informationen enthalten.

„Die von Scarab angebotenen Lösegeldverhandlungen sind besonders interessant“, kommentierte Aaron Higbee, Gründer und CTO von PhishMe. „Während die Verhandlungen die Wahrscheinlichkeit erhöhen, dass ein Lösegeld gezahlt wird, erlauben sie es auch, die Forderungen an den Bitcoin Wechselkurs anzupassen.“

Die Forscher gehen davon aus, dass diese neue Taktik durch den zuletzt stark gestiegenen Bitcoin-Kurs erforderlich wurde. 2016 habe das Lösegeld meist bei einem Bitcoin gelegen – als der Kurs der Kryptowährung unter 1000 Dollar lag. Inzwischen ist ein Bitcoin mehr als 16.000 Dollar wert, was ein Lösegeld von 0,1 Bitcoin für viele Opfer möglicherweise schon unerschwinglich macht.

Allerdings dürfen die Lösegeldverhandlungen auch nicht als Entgegenkommen der Erpresser gewertet werden. Es geht ihnen nach wie vor nur um ihren eigenen finanziellen Vorteil. Unter anderem sollen Formulierungen wie „Der Preis ist davon abhängig, wie schnell Sie bezahlen“ in der Lösegeldforderung Druck aufbauen und Nutzer zu einer spontanen Lösegeldzahlung verleiten. Generell ist jedoch davon abzuraten, weil selbst nach der im Fall von Scarab angebotenen kostenlosen Entschlüsselung von drei Dateien nicht sichergestellt ist, dass nach der Begleichung der Forderung auch der Entschlüsselungsschlüssel geliefert wird. Zudem führt jede Lösegeldzahlung dazu, dass sich das Geschäftsmodell Ransomware für Cyberkriminelle lohnt.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

18 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

18 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

19 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

21 Stunden ago