Forscher des Sicherheitsanbieters Fortinet beschreiben eine Ransomware namens Scarab, die derzeit über das Botnet Necurs verteilt wird, das auch schon für die Verbreitung der Ransomware Locky verantwortlich war. Wie andere Erpresser-Malware auch ist Scarab in der Lage, die Dateien eines Opfers zu verschlüsseln, um ein Lösegeld zu verlangen. Im Gegensatz zu anderen Vertretern dieser Gattung schreibt Scarab jedoch keinen Betrag vor, sondern gibt dem Opfer die Möglichkeit, die Höhe des Lösegelds zu verhandeln.
Danach beginnt die eigentliche Dateiverschlüsselung – selbst wenn das Opfer die Internetverbindung seines Systems kappt. Verschlüsselte Dateien versieht die Ransomware mit der Dateiendung „scarab“. Schließlich blendet sie ihre Lösegeldforderung ein.
Darin fordern die Hintermänner ihre Opfer auf, per E-Mail oder ersatzweise per Bitmessage mit ihnen Kontakt aufzunehmen. Zudem bieten sie an, drei Dateien vorab kostenlos zu entschlüsseln. Sie dürfen jedoch nicht größer sein als 10 MByte und keine wertvollen Informationen enthalten.
„Die von Scarab angebotenen Lösegeldverhandlungen sind besonders interessant“, kommentierte Aaron Higbee, Gründer und CTO von PhishMe. „Während die Verhandlungen die Wahrscheinlichkeit erhöhen, dass ein Lösegeld gezahlt wird, erlauben sie es auch, die Forderungen an den Bitcoin Wechselkurs anzupassen.“
Die Forscher gehen davon aus, dass diese neue Taktik durch den zuletzt stark gestiegenen Bitcoin-Kurs erforderlich wurde. 2016 habe das Lösegeld meist bei einem Bitcoin gelegen – als der Kurs der Kryptowährung unter 1000 Dollar lag. Inzwischen ist ein Bitcoin mehr als 16.000 Dollar wert, was ein Lösegeld von 0,1 Bitcoin für viele Opfer möglicherweise schon unerschwinglich macht.
Allerdings dürfen die Lösegeldverhandlungen auch nicht als Entgegenkommen der Erpresser gewertet werden. Es geht ihnen nach wie vor nur um ihren eigenen finanziellen Vorteil. Unter anderem sollen Formulierungen wie „Der Preis ist davon abhängig, wie schnell Sie bezahlen“ in der Lösegeldforderung Druck aufbauen und Nutzer zu einer spontanen Lösegeldzahlung verleiten. Generell ist jedoch davon abzuraten, weil selbst nach der im Fall von Scarab angebotenen kostenlosen Entschlüsselung von drei Dateien nicht sichergestellt ist, dass nach der Begleichung der Forderung auch der Entschlüsselungsschlüssel geliefert wird. Zudem führt jede Lösegeldzahlung dazu, dass sich das Geschäftsmodell Ransomware für Cyberkriminelle lohnt.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.
[mit Material von Danny Palmer, ZDNet.com]
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…