News

Neuer Cryptowall verschlüsselt Dateinamen und verhöhnt Opfer

Die Autoren des erpresserischen Verschlüsselungsprogramms Cryptowall fügten seinem Erscheinungsbild noch ein paar weitere Striche hinzu, die geeignet sind, Virenanalysten und all denen das Leben zu erschweren, die versuchen ihre Dateien ohne Lösegeld wiederzukriegen.

In der vergangenen Woche entdeckten die Forscher von Bleeping Computer eine neue Cryptowall-Variante, die nicht nur die Dateien des Opfers verschlüsselt, sondern auch deren Namen. „Das verringert die Chancen auf Wiederherstellung der Dateien deutlich, da ist es schon einfacher, das Lösegeld zu zahlen“, gab der unabhängige Forscher Nathan Scott zu, der den Schädling zusammen mit den Experten von Bleeping Computer analysierte. „Bei der Wiederherstellung der Daten im Rahmen unserer Untersuchung erschienen die Dateien unter merkwürdigen Namen und der Anwender selbst war nicht mehr in der Lage zu sagen, was für eine Datei das ist. Die in die Dateien geschriebenen Strukturen aufzuklären, war nicht mehr möglich.“

„Die einzige Möglichkeit, die Daten wiederherzustellen ist ein vollständiges Backup; wenn man kein Backup hat, muss man Lösegeld zahlen“, bringt es der Experte auf den Punkt.

Die Betreiber des Verschlüsselungsschädlings haben auch die Mitteilung mit der Lösegeldforderung aktualisiert, die dem Opfer angezeigt wird. Sie gratulieren dem Nutzer nun zynisch zur Aufnahme in die „große Cryptowall-Gemeinde“ und fügen hinzu, das Projekt sei ins Leben gerufen worden, um die allgemeine Bildung im Bereich IT-Sicherheit zu fördern und um die Effizienz von Antiviren-Produkten zu bestätigen. Außerdem haben die Cyberverbrecher für ihre Opfer den Hashtag #CryptowallProject erstellt, damit diese sich in sozialen Netzwerken über ihre leidvollen Erfahrungen austauschen können; ist die Zahl solcher Klagen groß, so spielt das Scott zufolge den Gangstern in die Hände, denn die Opfer werden angesichts dessen umso bereitwilliger zahlen.

Neuer Cryptowall verschlüsselt Dateinamen und verhöhnt Opfer

Bezüglich seiner Rentabilität überrundet Cryptowall all seine Konkurrenten deutlich. Gemäß einem kürzlich veröffentlichten Bericht der Cyber Threat Alliance (CTA) kam die letzte Version, Cryptowall 3.0, die Opfer mit einer erpressten Gesamtsumme von 325 Millionen Dollar bereits teuer zu stehen. Bisher ist nicht klar, ob es sich bei dem Fund von Bleeping Computer um eine neue Version (4.0) handelt, wie die Forscher annehmen, oder ob es einfach ein technisches Release ist.

Der neue Cryptowall wird wie sein Vorgänger über einen Mail-Anhang verbreitet, der als Word-Dokument getarnt ist (Rechnung oder Lebenslauf). Tatsächlich enthält diese Datei aber ausführbares JavaScript, das den Download des Ziel-Schädlings übernimmt.

Diese Variante des Verschlüsselungsprogramms löscht auch zuverlässig alle Wiederherstellungspunkte. „Manchmal hat ein Opfer Glück mit Ransomware und der Schädling löscht die Wiederherstellungspunkte nicht, und das System lässt sich auf das Datum vor der Infektion und damit in seinen vorherigen Zustand zurücksetzen“, erklärt Scott. „Das ist mit der Version 4.0 keine Option mehr.“

Soweit bekannt ist, schicken die Betreiber von Cryptowall nach Zahlung des Lösegelds praktisch immer den Dechiffrierungsschlüssel an das Opfer, auch wenn die Konkurrenten des Schädlings keinesfalls so ehrlich sind. „Sie führen ihre Geschäfte wie echte Geschäftsleute, ihr Arbeitsmodell ist klar“, sagt Scott. „Sie wissen: Wenn sie häufig betrügen, wird keiner bereitwillig das Lösegeld zahlen, daher haben es sich die Cyberkriminellen zur Regel gemacht, den Lösegeldzahlern ihre Dateien zurückzugeben.“

Das FBI hat Erpressungsopfern ebenfalls kürzlich geraten, Lösegeld zu zahlen, insbesondere dann, wenn es sich um eine Infektion mit Cryptowall handelt. Die durch diesen Schädling verursachten Verluste werden von den Bundesagenten allerdings wesentlich moderater eingeschätzt als vom CTA, und zwar auf 18 Millionen Dollar.

Quelle: Threatpost

Neuer Cryptowall verschlüsselt Dateinamen und verhöhnt Opfer

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach