Neuer Cryptowall verschlüsselt Dateinamen und verhöhnt Opfer

Die Autoren des erpresserischen Verschlüsselungsprogramms Cryptowall fügten seinem Erscheinungsbild noch ein paar weitere Striche hinzu, die geeignet sind, Virenanalysten und all denen das Leben zu erschweren, die versuchen ihre Dateien ohne Lösegeld wiederzukriegen.

In der vergangenen Woche entdeckten die Forscher von Bleeping Computer eine neue Cryptowall-Variante, die nicht nur die Dateien des Opfers verschlüsselt, sondern auch deren Namen. „Das verringert die Chancen auf Wiederherstellung der Dateien deutlich, da ist es schon einfacher, das Lösegeld zu zahlen“, gab der unabhängige Forscher Nathan Scott zu, der den Schädling zusammen mit den Experten von Bleeping Computer analysierte. „Bei der Wiederherstellung der Daten im Rahmen unserer Untersuchung erschienen die Dateien unter merkwürdigen Namen und der Anwender selbst war nicht mehr in der Lage zu sagen, was für eine Datei das ist. Die in die Dateien geschriebenen Strukturen aufzuklären, war nicht mehr möglich.“

„Die einzige Möglichkeit, die Daten wiederherzustellen ist ein vollständiges Backup; wenn man kein Backup hat, muss man Lösegeld zahlen“, bringt es der Experte auf den Punkt.

Die Betreiber des Verschlüsselungsschädlings haben auch die Mitteilung mit der Lösegeldforderung aktualisiert, die dem Opfer angezeigt wird. Sie gratulieren dem Nutzer nun zynisch zur Aufnahme in die „große Cryptowall-Gemeinde“ und fügen hinzu, das Projekt sei ins Leben gerufen worden, um die allgemeine Bildung im Bereich IT-Sicherheit zu fördern und um die Effizienz von Antiviren-Produkten zu bestätigen. Außerdem haben die Cyberverbrecher für ihre Opfer den Hashtag #CryptowallProject erstellt, damit diese sich in sozialen Netzwerken über ihre leidvollen Erfahrungen austauschen können; ist die Zahl solcher Klagen groß, so spielt das Scott zufolge den Gangstern in die Hände, denn die Opfer werden angesichts dessen umso bereitwilliger zahlen.

Neuer Cryptowall verschlüsselt Dateinamen und verhöhnt Opfer

Bezüglich seiner Rentabilität überrundet Cryptowall all seine Konkurrenten deutlich. Gemäß einem kürzlich veröffentlichten Bericht der Cyber Threat Alliance (CTA) kam die letzte Version, Cryptowall 3.0, die Opfer mit einer erpressten Gesamtsumme von 325 Millionen Dollar bereits teuer zu stehen. Bisher ist nicht klar, ob es sich bei dem Fund von Bleeping Computer um eine neue Version (4.0) handelt, wie die Forscher annehmen, oder ob es einfach ein technisches Release ist.

Der neue Cryptowall wird wie sein Vorgänger über einen Mail-Anhang verbreitet, der als Word-Dokument getarnt ist (Rechnung oder Lebenslauf). Tatsächlich enthält diese Datei aber ausführbares JavaScript, das den Download des Ziel-Schädlings übernimmt.

Diese Variante des Verschlüsselungsprogramms löscht auch zuverlässig alle Wiederherstellungspunkte. „Manchmal hat ein Opfer Glück mit Ransomware und der Schädling löscht die Wiederherstellungspunkte nicht, und das System lässt sich auf das Datum vor der Infektion und damit in seinen vorherigen Zustand zurücksetzen“, erklärt Scott. „Das ist mit der Version 4.0 keine Option mehr.“

Soweit bekannt ist, schicken die Betreiber von Cryptowall nach Zahlung des Lösegelds praktisch immer den Dechiffrierungsschlüssel an das Opfer, auch wenn die Konkurrenten des Schädlings keinesfalls so ehrlich sind. „Sie führen ihre Geschäfte wie echte Geschäftsleute, ihr Arbeitsmodell ist klar“, sagt Scott. „Sie wissen: Wenn sie häufig betrügen, wird keiner bereitwillig das Lösegeld zahlen, daher haben es sich die Cyberkriminellen zur Regel gemacht, den Lösegeldzahlern ihre Dateien zurückzugeben.“

Das FBI hat Erpressungsopfern ebenfalls kürzlich geraten, Lösegeld zu zahlen, insbesondere dann, wenn es sich um eine Infektion mit Cryptowall handelt. Die durch diesen Schädling verursachten Verluste werden von den Bundesagenten allerdings wesentlich moderater eingeschätzt als vom CTA, und zwar auf 18 Millionen Dollar.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.