Ransomware hinterlässt Server-Zugangsdaten im Code

Originalartikel von Trend Micro

SNSLocker ist keine ungewöhnliche Crypto-Ransomware hinsichtlich der Routine oder Interfaces. Doch hält sie hinter dieser Fassade eine Überraschung bereit: Bei näherem Hinsehen entdeckten die Sicherheitsforscher, dass sie Zugangsdaten zu ihrem eigenen Server umfasst. Zudem nutzte sie zugängliche Server und Zahlsysteme.

Das zeigt, dass die Autoren von SNSLocker auf ein einfaches Aufsetzen der Systeme für massive Infektionen und einen schnellen Profit daraus aus sind. Doch waren sie entweder zu schnell oder sie wollten nicht zuviel Zeit verschwenden, als sie die Zugangsdaten öffentlich zugänglich liegen ließen (die Zugangsdaten wurden auch in den sozialen Medien von Sicherheitsforschern verschoben). Trend Micro hat diesen Fund an Polizeibehörden weitergeleitet.

SNSLockers (RANSOM_SNSLOCKER.A) Funktionalität ist den meisten Crypto-Ransomware-Familien eigen: Timer, Drohung, Verschlüsselungsfähigkeiten, Zahlungslink und Höhe des Lösegelds (hier 300 $).

Bild 1. SNSLocker Lockscreen

SNSLocker ist rein in .Net Framework 2.0 verfasst mit einigen bekannten Bibliotheken wie Newtonsoft.Json und MetroFramework UI. Der Kern nutzt das Microsoft .Net Crypto API, um Zeit zu gewinnen. Wie bereits erwähnt, befinden sich im Ransomware-Code Strings, die den Standort des Servers und die Login-Zugangsdaten enthalten. Das bedeutet, dass fast jeder auf den Server zugreifen kann. Zu den zugänglichen Daten gehört auch der Decryption-Schlüssel.


Figure 2. Server-Zugangsdaten im Code

Einzelheiten zum Aufsetzen und zur Verteilung von SNSLocker liefert der Originalbeitrag. Aufgrund der Zugänglichkeit konnten die Forscher auch sehen, dass sich die Opfer der Ransomware überall auf der Welt befinden.


Bild 3. SNSLocker Infektionsverteilung

Trend Micro-Lösungen

Das Trend Micro Crypto-Ransomware File Decryptor Tool ist kostenlos und kann bestimmte Varianten von Crypto-Ransomware entschlüsseln, einschließlich SNSLocker.

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst klein zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomeare im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Hashes:

3cbe96abba5269eb69093ebc07dd82e3091f0d3d – RANSOM_SNSLOCK.A
71caed58a603d1ab2a52d02e0822b1ab8f1a9095 – RANSOM_SNSLOCK.A

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.