JIGSAW Crypto-Ransomware chattet mit dem „Kunden“

Originalartikel von Trend Micro

Kundenservice ist Teil jedes gut laufenden Geschäfts. Daher nimmt es nicht Wunder, dass sich sogar Crypto-Ransomware-Anbieter Möglichkeiten überlegen, den Zahlungsprozess für das Lösungsgeld zu vereinfachen. Die Neuerung, die mit der neuen JIGSAW-Variante kommt, besteht darin, mit dem Nutzer über Chat zu kommunizieren, anstatt Dark Web-Sites zu verwenden.

Die angezeigten Bedrohungen dieser Varianten (Ransom_JIGSAW.H) sind denen in früheren JIGSAW-Varianten ähnlich:

Bild 1. JIGSAW-Lösegeldforderung

Ein großer Unterschied wird deutlich: Es gibt nun einen Link, der anscheinend zu einer Live-Chat Session führt:

Bild 2. JIGSAW Live Chat

Die Angreifer haben tatsächlich Leute, die Fragen beantworten. Als Test traten die Sicherheitsforscher als Angestellter einer New Yorker Firma auf, dessen PC von JIGSAW angegriffen wurde. Das Gespräch verlief folgendermaßen:

How can I help you

can you really decrypt my files?

yes
its automatic
on payment is received all you have to do is click that you made payment
and the system will verify instantly

why are you guys doing this to us?

I am here to help you get your files back.
Let me know if you need any other instructions or help

im doomed!
my boss gonna fired me

all you have to do is pay $150. New york has Bitcoin atms
or you can visit www.localbitcoins.com

thats too much for me

sorry. depending on the amount of files encrypted it doubles to $300 after 24 hours and $450 after 72
it doesnt happen to all computers it depends on the file size encryption

is there a way to lower na payment?

We can do $125
that the minimum
and that is within 24 hours

let me see if i can work this with my boss

just send a message if we are not online we will come back online within 10 minutes
And we do decrypt all you files
100%
you have to message me when you make the payment so I can accept the $125 into the system if not it will tell you you haven’t payed enough. Each wallet is unique to the computer so I can verify instantly

Die Cyberkriminellen erstellten keinen eigenen Chat Client, sondern nutzen onWebChat, eine öffentlich verfügbare Chat-Plattform. In die Website ist ein Script eingebettet, dass den onWebChat Client aufruft. Die Verbindung den Servern ist SSL/TLS-geschützt, so dass Kapern von Paketen oder ein Mitschnitt schwierig ist, weil kein Proxy den verschlüsselten Verkehr mitschneiden kann. onWebChat ist über das Problem informiert worden.

Interessanterweise weiß der Cyberkriminelle im Chat nicht, wann der Nutzer infiziert wurde. Der „Timer“ basiert lediglich auf Cookies, die auf der betroffenen Maschine aufgesetzt werden – wird der Cookie gelöscht, so wird der Countdown auf 24 Stunden gesetzt. Das bedeutet, dass die Cyberkriminellen tatsächlich auf die Ehrlichkeit des Nutzers angewiesen sind, um zu bestimmen, wieviel Lösegeld sie verlangen sollen.

Die Opfer haben nun eine persönliche Stimme, mit der sie verhandeln können, und das mag sie eher dazu zu bringen, das Lösegeld zu zahlen.

Des Weiteren fanden die Forscher auf der Site, die den Chat hostet, eine zweite Malware, die umgangen werden kann, indem das System im sicheren Modus gestartet wird.

Bild 3. JIGSAW-bezogener Lockscreen

Die Ähnlichkeiten insgesamt (selbe Website, Nutzung von „Ransom ID”, identische Lösegeldforderung) deuten darauf hin, dass nur ein Autor für beide Angriffe verantwortlich ist. Diese Art der kundenzentrischen Ransomware-Angriffe ist ungewöhnlich, obwohl nicht ganz neu. Beispielsweise entschlüsselte eine frühere CTB-Locker-Variante einige der Nutzerdateien unentgeltlich.

Trend Micro-Lösungen

Das Trend Micro Crypto-Ransomware File Decryptor Tool ist kostenlos und kann bestimmte Varianten von Crypto-Ransomware entschlüsseln, einschließlich SNSLocker.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst klein zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomeare im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Dateien mit folgenden Hashes gehören zu dem Angriff:

  • 71670ac6e52967b547d311df8cfb0172cbcd23c7
  • ca84c5ec27f84348be84e971c85fe52f678ca8da

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*