Locker-Autor entlässt Geiseln

Die mit der Erpresser-Software Locker infizierten Computer wurden aus der Geiselhaft entlassen, womit der Entwickler des Schädlings sein Versprechen einlöste und in der vergangenen Woche den Dechiffrierungsschlüssel ins Netz stellte. Zudem entschuldigte er sich öffentlich für die Verbreitung des Schadprogramms.

Laut Aussage von Lawrence Abrams von Bleeping Computer mussten die Opfer nichts für die Herausgabe ihrer Dateien zahlen. Wie es in einem Posting im Forum von Bleeping Computer heißt, funktioniert der Dechiffrierungsbefehl des Autors nur auf Computern, die noch infiziert sind. Diejenigen, die die Erpressersoftware bereits entfernt haben, können ihre Dateien mit Hilfe eines speziellen Tools dechiffrieren, das Ende letzter Woche öffentlich zur Verfügung gestellt wurde.

Eine Datenbank, die die Bitcoin-Adresse enthält, an die die Lösegelder gezahlt werden sollten, sowie öffentliche und private Schlüssel, seien in Form einer CSV-Datei auf mega.co.nz geladen worden, wie es in einem Blogeintrag des mutmaßlichen Locker-Autors bei Pastebin heißt. Dort sind außerdem Details der Struktur der verschlüsselten Dateien veröffentlicht.

„Das ist ein Dump der gesamten Datenbank und die meisten Schlüssel wurden noch nicht einmal benutzt“, heißt es in dem Posting. „Die Verbreitung neuer Schlüssel wurde vollständig eingestellt.“ Er versprach zudem, dass die automatische Dechiffrierung auf infizierten Maschinen ab Mitternacht am 2. Juni beginnt.

Der CEO von KnowBe4, Stu Sjouwerman, nimmt an, dass der Entwickler von Locker entweder bereits genug an dem Schädling verdient hatte, oder dass er sich vor einer kurz bevorstehenden Festnahme fürchtete oder aber, dass er unter zu großem Konkurrenzdruck stand. Nach Angaben von KnowBe4 befand sich dieser Blocker monatelang im Schlafmodus, und zwar bis zum 25. Mai, wurde dann reaktiviert und begann,Dateien zu verschlüsseln, so ähnlich wie CryptoLocker. Locker wird mit Hilfe schädlicher Werbekampagnen verbreitet, die die Nutzer auf Exploit-Packs umleiten, möglicherweise benutzt er obendrein auch einen modifizierten Minecraft-Installer.

Dieser Erpresser ist auf Windows-Rechner ausgerichtet und operiert mit einer beeindruckend langen Liste von Zieldateien, inklusive folgender Erweiterungen: .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf.
KnowBe4 zufolge ändert der Schädling die Erweiterung nach der Verschlüsselung und bei dem Versuch, eine solche Datei zu öffnen, wird dem Nutzer eine Fehlermeldung angezeigt.

Im Gegensatz zu anderen Verschlüsselern, die 500 Dollar und mehr für die Dechiffrierung fordern, zieht Locker lediglich 0,1 Bitcoin ein – das sind in etwa 30 Dollar. Das Geld zurückzugeben plant der Autor offensichtlich nicht. „Wenn man solchen Code schreibt, weiß man ganz genau, was man tut“, kommentiert Sjouwerman. „Schon allein die Tatsache, dass es sich hier um einen „Schläfer“ handelt, zeugt von monatelanger, sorgfältiger Vorbereitung. Wenn der Virenautor nun aber tatsächlich unter schweren Gewissensbissen leiden würde, könnte er den Opfern das Geld zurückgeben, was wir bisher aber nicht beobachtet haben. Unklar ist auch, ob die aktuellen Infektionsvektoren blockiert sind oder nicht.“

Nach Meinung des Experten ist der Locker-Entwickler aller Wahrscheinlichkeit nach ein Neuling auf dem Gebiet der Malware-Programmierung. „Es ist anzunehmen, dass er ein talentierter Programmierer ist, doch noch nicht über ausreichend Erfahrung in der Durchführung von Cyberverbrechen verfügt, solche Fehler sind bei gut ausgebildeten und verschworenen osteuropäischen Cyberkriminellen undenkbar“, argumentiert Sjouwerman. „Möglicherweise hat er sich in den Dienst einer dieser Gruppierungen gestellt und daraufhin beschlossen, auf eigene –Rechnung zu arbeiten – und hat dabei Schiffbruch erlitten.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.