Brute-Force-Angriffe ermöglichen Erpressung

Ein neues Verschlüsselungsprogramm, das die Aufmerksamkeit von BleepingComputer.com auf sich gezogen hat, wurde erstmals im laufenden Oktober in Bulgarien und Griechenland entdeckt. Wie eine Untersuchung gezeigt hat, wird der Schädling allem Anschein nach verbreitet, indem die Passwörter zu Windows-Computern geknackt werden, auf denen Remote Desktop/Terminal Services laufen. Der Erpresser verwendet die kryptografischen Algorithmen AES und RSA und verwischt sorgfältig seine Spuren im System. Interessant ist, dass er bisher keine Schattenkopien der Dateien löscht, die verschlüsselt wurden, und dem Opfer damit die Chance lässt, die Informationen wiederherzustellen.

Eine Analyse hat gezeigt, dass das Blockier-Programms LowLevel04 (so genannt wegen einer zusätzlichen Zeile, die in allen verschlüsselten Dateien hinterlassen wird) bei Aktivierung Schlüssel generiert und dann zur Verschlüsselung der Informationsdateien übergeht, wobei es eine beeindruckende Liste von Erweiterungen benutzt. Dann erfolgt ein Scan aller angeschlossenen Laufwerke, darunter auch externe und Netz-Laufwerke; die verschlüsselten Dateien werden in einen temporären Ordner der Cyberkriminellen geladen, mittels Verbindung der Festplatte über den Remote Desktop/Terminal Service.

Wenn LowLevel04 eine Datei mit vorgegebener Erweiterung findet, verschlüsselt der Schädling den Inhalt mit einem AES-Schlüssel und ergänzt oorr. am Anfang des Originalnamens. Bei der Modifikation wird die Datei so reproduziert, dass sie einfach wieder zu entschlüsseln ist; das endgültige Format hat mehrere Informationsebenen: den verschlüsselten Originalinhalt, die Größe der Originaldatei, den mit RSA verschlüsselten Chiffrierungsschlüssel, die Größe des Schlüssels und die Zeile lowlevel04, die dieses Blockierungsprogramm identifiziert.

In jedem Ordner, der verschlüsselte Dateien enthält, ergänzt der Schädling eine Datei mit dem Namen help recover files.txt, in der die Lösegeldforderung sowie die Instruktionen zum Entsperren zu finden sind. Die Erpresser erklären dem Opfer, dass die Dateien mit dem kryptografisch starken Schlüssel RSA-2048 verschlüsselt sind und fordern 4 Bitcoins (etwa 900 Euro) für die Entschlüsselung und bieten zudem die Kontaktadressen @gmail.com und @india.com für eine kostenlose Probe.

„Bei vielen Opfern waren die Server infiziert, was nicht besonders erstaunlich ist: Eine solche Attacke kann die Arbeitsprozesse eines Unternehmens empfindlich stören“, kommentiert Lawrence Abrams, Gründer und Chefredakteur von BleepingComputer.com.

Nach erfolgreicher Verschlüsselung säubert und löscht LowLevel04 alle von ihm erstellten Dateien. Außerdem entfernt er alle mit seiner Arbeit zusammenhängenden Einträge über Ereignisse in den Logs von Anwendungen, Schutzsystemen und Windows selbst. Die einzige tröstliche Nachricht ist, dass das einer Analyse unterzogene Sample die Originaldateien nicht korrekt gelöscht hat und sie mit Hilfe eines speziellen Tools wiederhergestellt werden können. Auch die Schattenkopien werden nicht gelöscht und man kann versuchen, die Dateien mit Windows-Standardmitteln zurückzuholen. Allerdings ist es auch durchaus möglich, dass sich das neue Verschlüsselungsprogramm noch in der Erprobungsphase befindet und diese Versäumnisse in der Zukunft behoben werden.

Quelle: BleepingComputer.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.