Neue Verschlüsselungs-Ransomware im Umlauf

Originalartikel von Eduardo Altares II, Research Engineer

Das Abschalten des Gameover ZeuS-Botnets hat sicherlich einen Teilsieg im Kampf gegen Cyberkriminalität bedeutet. Wichtig dabei ist auch, dass die berüchtigte CryptoLocker-Schadsoftware ebenfalls betroffen war. Allerdings konnte dieser Erfolg die Kriminellen nicht davon abhalten, weiterhin Ransomware mit Dateiverschlüsselung für ihre Zwecke einzusetzen. Die Bedrohungsforscher von Trend Micro fanden sogar Crypto-Ransomware-Varianten, die neue Verschlüsselungs- und Verschleierungsmethoden nutzen.
Cryptoblocker und dessen Verschlüsselungstechnik

Wie andere Ransomware-Varianten auch verschlüsselt Cryptoblocker-Schadsoftware (TROJ_CRYPTFILE.SM) Dateien, die sie für ein gewisses Lösegeld wieder freigibt. Doch weist diese Variante Einschränkungen auf. Zum einen infiziert sie keine Dateien, die größer als 100 MB sind, und zum anderen nimmt sie auch keine Dateien aus den Verzeichnissen C:\\WINDOWS, C:\\PROGRAM FILES und C:\PROGRAM FILES (X86).

Ein weiterer Unterschied zu anderen Varianten besteht auch darin, dass Cryptoblocker keine Textdateien mit Anleitungen zum Entschlüsseln der Dateien ablegt, sondern eine Dialogbox anzeigt. Gibt der Nutzer eine Transaktions-ID im Textfeld ein, so stößt dies eine Nachricht an, die besagt, „die Transaktion wurde verschickt und wird bald verifiziert“.



Bild 1. Dialogbox

Ein anderer Unterschied ist in der Verschlüsselungsroutine zu finden: Die Schadsoftware nutzt keine Crypto APIs. Diese Schnittstellen dienen dem Erzeugen von RSA-Schlüsseln, die in dieser Schadsoftware nicht zum Einsatz kommen. Das ist insofern interessant, weil RSA-Schlüssel die Entschlüsselung der Dateien erschweren würden. Stattdessen fanden die Forscher Advanced Encryption Standard (AES) im Code der Schadsoftware.

Auch zeigte sich, dass die Compiler-Notes nach dem Entpacken noch intakt waren. Normalerweise werden die Notes entfernt, weil diese Informationen von Sicherheitsforschern dazu genutzt werden können, um Dateien des Malware-Autors zu entdecken und damit zu blockieren. Diese „Unachtsamkeit“ lässt darauf schließen, dass der Autor des Cryptoblockers noch keine Erfahrung mit dem Erstellen von Ransomware hat.

Die Daten aus dem Smart Protection Network zeigen, dass die USA von dieser Malware am meisten betroffen sind, gefolgt von Frankreich und Japan.



Bild 2. von Cryptoblocker betroffene Länder

Critroni und die Nutzung von Tor

Das Tor-Netzwerk ist in den Mittelpunkt der Aufmerksamkeit gerückt, weil es immer wieder in Zusammenhang mit Cyberkriminalität genannt wird, die darüber ihre Aktivitäten verschleiern.

Trend Micros Bedrohungsforscher fanden eine Variante, die sie als TROJ_CRYPCTB.A identifizierten, auch als Critroni oder Curve-Tor-Bitcoin (CTB) Locker bekannt, und die Tor nutzt, um ihre Command-&Control (C&C)-Kommunikation zu tarnen. Nachdem die Dateien auf der betroffenen Maschine verschlüsselt sind, ändert die Schadsoftware den Hintergrund des Computers wie im Bild:



Bild 3. Hintergrund

Sie zeigt auch eine Nachricht bezüglich der Lösegeldforderung an. Nutzer sollen dies innerhalb einer bestimmten Frist in Bitcoins zahlen, um zu verhindern, dass alle Dateien für immer verschlüsselt bleiben.



Bild 4. Lösegeldforderung

Die Schadsoftware nutzt die Elliptic Curve Cryptography statt RSA oder AES. Diese Technik wird im Bitcoin-Umfeld als Elliptic Curve Digital Signature Algorithm (ECDSA) eingesetzt.

Es ist nicht das erste Mal, dass Ransomware von der Anonymität des Tor-Netzwerks profitiert. Ende 2013 forderte Cryptorbit seine Opfer auf, den Tor-Browser für die Zahlung einzusetzen. Auch bestimmte Android-Ransomware nimmt Tor für die C&C-Kommunikation.

BAT_CRYPTOR.A nutzt legitime Apps

Im letzten Juni gab es POSHCODER, eine Ransomware-Variante, die die Windows PowerShell-Funktionalität ausnutzte, um Dateien zu verschlüsseln. Vor Kurzem fanden die Bedrohungsforscher eine weitere POSHCODER-ähnliche Variante (BAT_CRYPTOR.A), die legitime Apps für die Verschlüsselungsroutine nutzt, und zwar die GNU Privacy Guard Application. Weitere Einzelheiten dazu gibt es hier.

Zusätzliche Informationen von Romeo Dela Cruz, Joselito Dela Cruz, Don Ladores und Cklaudioney Mesa.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.