Neuer Blocker in Untergrund-Foren aufgetaucht

Die Aktivisten der Forschergruppe Malware Must Die (MMD) warnen vor dem baldigen Erscheinen eines Erpresserprogramms auf dem Schwarzmarkt, das unter der Bezeichnung Prison Locker und Power Locker angeboten wird. Die Kämpfer wider die Internetbedrohungen beobachten dieses Programm bereits seit November; ihren Worten zufolge sind sein Autor und dessen Partner derzeit mit dem Feinschliff der Benutzeroberfläche dieses Toolkits beschäftigt und rufen in Hackerforen aktiv zur Teilnahme an Testphasen auf. Der Virenschreiber hat die Lizenzgebühr für sein Machwerk bereits auf 100 Dollar festgesetzt und plant diese in Bitcoins zu erheben.

Nach Angaben von MMD wurde der neue Blocker in С/C++ geschrieben und wird mit Hilfe eines trojanischen Droppers in das temporäre Verzeichnis des Opfers geladen. Nach seiner Installation verschlüsselt Prison Locker alle Daten auf den Festplatten und allen anderen allgemein zugänglichen Laufwerken – bis auf die Systemdateien (.exe, .dll, .sys und andere). Einer Mitteilung auf Pastebin.com aus dem vergangenen Dezember zufolge verwendet der Schädling den kryptografischen Algorithmus Blowfish, indem er einen separaten Schlüssel für jede chiffrierte Datei erstellt. Dieser Schlüssel wird daraufhin mit einem RSA-Schlüssel mit einer Länge von 2048-Bit chiffriert, der für den jeweiligen infizierten Rechner einmalig ist und zusammen mit der verschlüsselten Datei gespeichert wird.

Prison Locker erstellt zudem ein neues Desktop und zeigt nach Abschluss des Verschlüsselungsprozesses dort eine vollständige Nachricht an den Nutzer mit der Lösegeldforderung an. Ein spezielles Modul blockiert effektiv die Windows- und Escape-Tasten und beendet zudem viele Windows-Prozesse, darunter explorer.exe, regedit.exe, taskmgr.exe und cmd.exe. Auch das Umschalten zwischen den Programmen mit Hilfe der Tasten Alt+Tab wird unmöglich gemacht. Darüber hinaus überprüft der Schädling alle paar Millisekunden, ob sich der Anwender vom angezeigten Desktop entfernt, und ist dies der Fall, so leitet er ihn umgehend darauf zurück.

Wie auch CryptoLocker fordert der neu erschienene Erpresser die Auslösung innerhalb einer bestimmten Frist, nach Ablauf derer der Dechiffrierungsschlüssel angeblich zerstört wird. Der Betreiber des Schädlings hat dabei die Möglichkeit, die Frist zu verändern, den Timer anzuhalten oder zu verwerfen und auch selbstständig die Auslösesumme festzulegen. Er kann die schädliche Datei zudem umbenennen und einen anderen Ordner für den Download festlegen. Die Anmeldung ist standardmäßig auf admin/admin konfiguriert, doch auch hier besteht die Möglichkeit zur individuellen Anpassung.

Dem Autor zufolge ist Prison Locker mit einer Reihe von Selbstschutzmechanismen ausgestattet. Er ist in der Lage zu erkennen, wenn er auf einer virtuellen Maschine, in der Sandbox und unter einem Debugger gestartet wird.

Zum gegenwärtigen Zeitpunkt ist den Forschern das Online-Synonym des Virenschreibers – gyx – bekannt, wie auch seine ICQ-Nummer, Jabber-ID, Gmail-Adresse sowie sein Nickname bei Twitter und die Adresse seiner persönlichen Seite auf blogspot.in. Bemerkenswert ist, dass sich der Entwickler von Prison Locker in seinem Twitter-Profil als „Verfechter der Internet-Sicherheit“, „Junior Virenanalyst“ sowie „Programmierer in C/C++, der sich derzeit MASM aneignet“ (Microsoft Macro Assembler) beschreibt. Die Mitglieder von MMD haben das von ihnen zusammengestellte Material bereits ihren Kollegen und Partnern in den Strafverfolgungsbehörden übergeben und die Situation unter Kontrolle gebracht.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.