Neue Ransomware-Variante bietet Goodie

Originalartikel von Rhena Inocencio, Threat Response Engineer

 

Die Bedrohungsforscher von Trend Micro haben die Veränderungen der Krypto-Ransomware seit ihrer Entdeckung 2013 kontinuierlich beobachtet. Obwohl die Schadsoftware noch relativ neu ist, hat sie sich bereits zu einer ernst zu nehmenden Bedrohung für gutgläubige Anwender entwickelt. Krypto-Ransomware nutzt ähnliche Routinen wie Cryptolocker, einer um Dateiverschlüsselungsfähigkeiten erweiterten Ransomware. Nun entdeckten die Bedrohungsforscher zwei Varianten der Krypto-Ransomware mit jeweils einer Routine oder einer Fähigkeit, die in anderen Varianten nicht vorhanden ist.
Dies zeigt, dass die Schadsoftware weiter entwickelt wird.

Die neue Bedrohung CoinVault

CoinVault oder TROJ_CRYPTCOIN.AK unterscheidet sich von anderen Varianten dahingehend, dass der Nutzer eine seltene Möglichkeit erhält – die Chance, eine verschlüsselte Datei zu retten. Die Malware wird über einen automatischen Download von bösartigen Websites oder infizierten USB-Sticks ins System geschleust. Danach kann CoinVault Informationen sammeln, Verbindung zu bestimmten Websites aufnehmen und Dateien verschlüsseln.

Im nächsten Schritt zeigt der Schädling eine Nachricht an und teilt dem Nutzer mit, dass er eine Datei auswählen kann, die kostenlos entschlüsselt wird.

Bild 1. CoinVault zeigt Bilder auf dem infizierten System an

Bild 2. (Links): TROJ_CRYPTCOIN.AK oder CoinVault Nachricht zum Lösegeld,
(Rechts) TROJ_CRITOLOCK.A Nachricht zum Lösegeld

Die weitere Analyse zeigt, dass TROJ_CRYPTCOIN.AK ein Update der “kryptografischen Locker Ransomware”-Variante TROJ_CRITOLOCK.A vom letzten September ist. Der Unterschied besteht etwa in einem anderen Hintergrund und einer anderen grafischen Benutzeroberfläche. Auch verwendet die kryptografische Locker Ransomware-Variante (TROJ_CRITOLOCK.A) das Standard-Kryptosystem AES-128, während die aktualisierte Version (TROJ_CRYPTCOIN.AK) AES-256 einsetzt. Letzterer Standard bringt auch zusätzlich das Freemium-Modell mit. Dadurch hebt sich CoinVault von den Vorgängern ab.

Die Daten aus dem Trend Micro™ Smart Protection Network™ lassen darauf schließen, dass die Nutzer in den USA am meisten betroffen sind.

Kontakt für weitere Einzelheiten

Eine weitere Ransomware-Variante (TROJ_CRYPAURA.A, TROJ_CRYPAURA.B und TROJ_CRYPAURA.C) wählt einen anderen Ansatz. Statt alle für die Entschlüsselung/Zahlung benötigten Schritte in die Lösegeldnachricht zu setzen, gibt diese Variante eine bestimmte E-Mailadressse an, wo das Opfer sich die Anweisungen holen kann.

Bild 3. Lösegeldnachricht mit der E-Mailadresse für weitere Anleitungen

Bild 4. Anweisungen während des Austauschs per E-Mail

Schickt das Opfer eine Antwort an die angegebene Mailadresse, so erhält es eine Reihe von Anweisungen. Der Nutzer muss die verschlüsselten Dateien auf eine Storage-Site hochladen und den Link an die Cybergauner schicken. Erst dann entschlüsseln sie die Datei. Das Lösegeld beträgt etwa 500 $ in Bitcoins.

Merkwürdigerweise benennt die Schadsoftware die entschlüsselten Dateien um, und schließt die Mailadresse des Angreifers in die neuen Namen mit ein.

Das Angebot der kostenlosen Entschlüsselung einer Datei erscheint seltsam, doch funktioniert es als vertrauensbildende Maßnahme beim Opfer. Es zeigt, dass auch die anderen Dateien tatsächlich wieder hergestellt werden können – falls der Nutzer zahlt. Natürlich gibt es keine Garantie dafür, dass nach der Lösegeldzahlung alle Dateien entschlüsselt werden. In den meisten Fällen dienen diese Techniken lediglich als Köder, und zahlungswillige Nutzer verlieren ihre Dateien trotzdem.

Anwendern ist zu empfehlen, ihre Dateien regelmäßig zu sichern, sowohl manuell als auch automatisch an verschiedenen Orten, sei es auf einer externen Festplatte oder in einem sicheren Cloud-basierten Service. Vorsorglich sollten Anwender nie auf unbekannte URLs in ihren Mailnachrichten klicken.

Das Smart Protection Network™ schützt gegen CoinVault und CRYPAURA, denn die Dateien und bösartigen URLs in Zusammenhang mit dieser Bedrohung werden geblockt.

Die folgenden Hashes gehören zur Bedrohung:

  • 0720cb0a1b377d5cced5c1e28a5d755a1974e0b5
  • 451d2a60192d5a49c13dd4aed19c15448358969d
  • 3bb6abf2154d5900bdc942d40e78adb596b46a50
  • 947fe1e52159cd09ebb4da0c1f27d1edd02e753e
  • 2737a9fdf1cb1f4f26b2310193d869106c984a5c
  • d77b09ca286a7d009293545233bbfb557eb98f5c
  • 66179a3c64740c943f799de99e23098f7028d1a2
  • a637083a98e40d142308b57722a5f1586db70899
  • de7ced27456a1e4581d6a4bf126f56061b7f9859
  • e7701cb474ba9613d723cb26eb3465f22e34c029
  • 4b367a7de376d904be2ce88e980b8f0e46b13cd2
  • 5f71be645e8ac995555a891087b46ed357386dbe
  • 979d7dfd23c2b69f104fcb07a765ff3c55a7fe88
  • 900d801deaac26c555c46361111f7559b7306922

Zusätzliche Analysen von Roddell Santos und Rika Gregorio.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.