CryptoLocker: Die Spam und ZeuS/ZBOT Connection

Originalartikel von Kervin Alintanahin, Threat Analyst

CryptoLocker, die neueste Ransomware, ist dafür bekannt, bestimmte Dateien zu verschlüsseln und damit Nutzer zu zwingen, ein Entschlüsselungswerkzeug für 300 Dollar zu kaufen. Die Schadsoftware steht auch mit weiteren Schädlingen wie ZBOT/ZeuS in Verbindung.

Kürzlich entdeckten die Sicherheitsforscher von Trend Micro eine Spam-Kampagne, die für Infektionen mit CryptoLocker verantwortlich ist. Die Nachrichten enthalten einen bösartigen Anhang, der TROJ_UPATRE.VNA beinhaltet, eine Schädlingsfamilie mit kleinen Dateiumfängen und einer einfachen Download-Funktion.

Bild 1. Screenshot einer Spam-Nachricht mit bösartigem Anhang

Beim Ausführen des Anhangs lädt dieser eine weitere Datei herunter und speichert sie als cjkienn.exe (TSPY_ZBOT.VNA). Diese Schadsoftware wiederum lädt den tatsächlichen CryptoLocker herunter (TROJ_CRILOCK.NS).

Bild 2. CryptoLocker Infektionsweg

Diese Bedrohung ist aus mehreren Gründen besorgniserregend: Erstens sind ZeuS/ZBOT-Varianten für den Diebstahl von Online-Banking-Zugriffsdaten bekannt. Diese Informationen nutzen die Kriminellen dann für nicht autorisierte Banktransaktionen. Zweitens können Nutzer bei einem Angriff durch CryptoLocker nicht auf ihre eigenen Dokumente zugreifen.

Charakteristika der CryptoLocker-Verschlüsselung

Obwohl die Freikauf-Notiz in CryptoLocker “RSA-2048” als Verschlüsselung spezifiziert, ergab die Analyse, dass der Schädling eine AES + RSA-Verschlüsselung einsetzt.

RSA ist ein asymmetrischer Kryptographieschlüssel. Das bedeutet, er nutzt zwei Schlüssel, sodass einer die Daten verschlüsselt und der zweite sie entschlüsselt (ein Schlüssel steht jedem Teilnehmer zur Verfügung – öffentlicher Schlüssel – der andere bleibt beim Nutzer – privater Schlüssel). AES wiederum setzt auf symmetrische Schlüssel (ein Schlüssel wird für die Ver- und Entschlüsselung genutzt).

Die Schadsoftware verwendet einen AES-Schlüssel für die Verschlüsselung von Dateien. Der AES-Schlüssel für die Entschlüsselung wird in die verschlüsselten Dateien geschrieben. Dieser Schlüssel wird mit einem RSA öffentlichen Schlüsel verschlüsselt, der in den Schädling eingebettet ist. Das bedeutet, dass es eines privaten Schlüssels zur Entschlüsselung bedarf. Doch ein solcher ist bedauerlicherweise nicht vorhanden. Nutzer finden in der Autostart-Registry ihres Systems Informationen darüber, welche Dateien verschlüsselt wurden

Bild 3. Liste der verschlüsselten Dateien in der Registry des Systems

Trend Micro Lösungen gegen CryptoLocker

Der Web Reputation-Service entdeckt die von DGA erzeugten URLs. Kann der Schädling keine Verbindung mit diesen URLs aufnehmen, so erhält er keinen öffentlichen Schlüssel und kann somit keine Dateien verschlüsseln. Auch prüft die verhaltensbasierte Technologie das System auf eine CryptoLocker-Infektion. Ist das System entsprechend konfiguriert, so kann die Schadsoftware nicht ausgeführt werden.

Bild 4. Trend Micro entdeckt die mit der Ransomware in Zusammenhang stehenden Schädlinge

Über die Mail Reputation Services werden die Spam-Nachrichten blockiert.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*