Ransomware und Bitcoin-Diebstahl kommen in BitCrypt zusammen

Originalartikel von Rhena Inocencio, Threat Response Engineer

CryptoLocker und andere Arten von Ransomware verunsichern Anwender schon eine ganze Weile, und nun hat diese Bedrohung noch eine Erweiterung erfahren. BitCrypt ist nämlich eine Ransomware, die auch verschiedene Crypto-Währungen aus den Wallets entwendet.
Die Trend Micro-Sicherheitsforscher haben zwei Varianten davon gefunden. Die erste, TROJ_CRIBIT.A, hängt „.bitcrypt“ an alle verschlüsselten Dateien an und nutzt eine, nur auf Englisch verfügbare Erpressernachricht. Die zweite Variante, TROJ_CRIBIT.B, hängt “.bitcrypt 2” an und nutzt eine mehrsprachige Erpressernachricht. Dazu gehören Englisch, Französisch, Deutsch, Russisch, Italienisch, Spanisch, Portugiesisch, Japanisch, Chinesisch und Arabisch.

Diese Nachricht hat folgenden Inhalt (übersetzt aus dem Englischen):

Achtung!!!

Deine BitCrypt ID: {transaction ID}

Alle wichtigen Dateien auf Deinem PC (Fotos, Dokumente, Datenbanken und andere) wurden mit einem einzigartigen RSA-1024-Key verschlüsselt.

Eine Entschlüsselung der Dateien ist nur über ein spezielles Programm möglich, das für jede BitCrypt ID einzigartig ist.

Spezialisten aus dem Computer-Reparaturservice und Antivirus-Labs können auch nicht helfen.

Um eine Programmentschlüsselungssoftware zu erhalten, musst Du folgendem Link {bösartige Site #1} folgen und die Anleitungen lesen.

Funktioniert der aktuelle Link nicht, folge den Anleitungen:

1. Versuche, den Link zu öffnen {bösartige Site #2}. Falls das nicht funktioniert gehe zu Schritt 2.

2. Download und installiere den Tor-Browser {Tor Project Website}

3. Nach der Installation starte den Tor-Browser und füge folgende Adresse ein {bösartige Site #3}

Achtung, je schneller zu handelst, desto größer sind die Chancen, Deine Dateien unbeschädigt wiederherzustellen.

Die Texte sind in anderen Sprachen ähnlich, wobei sie maschinenübersetzt zu sein scheinen.

Außerdem ändert TROJ_CRIBIT.B den Hintergrund zu einem undurchdringlichen Schwarz mit weißem Text für die Benachrichtigungen zu den Problemen.

Bild 1. Hintergrund

Die Ransomware hinterlässt keine Kopie ihrer selbst im System und erschwert somit die Analyse des Verhaltens und die Erkennung der Infektionsvektoren.

Weitere Nachforschungen ergaben, dass eine Variante der FAREIT-Diebstahltools, nämlich TSPY_FAREIT.BB, TROJ_CRIBIT.B herunterlädt. Die Variante kann Informationen aus verschiedenen Bitcoin-Wallets entwenden. Die Schadsoftware sucht in verschiedenen Dateien nach Informationen und versucht, diese abzugreifen:

  • wallet.dat (Bitcoin)
  • electrum.dat (Electrum)
  • .wallet (MultiBit)

Wie auch bei CryptoLocker werden die Nutzer zum Entsperren ihrer Dateien an eine professionell aussehende Site verwiesen. Die Webiste gehört zum Deep Web und ist nur über Tor zugänglich. Die Angreifer liefern jedoch vorsorglich einen Link zu Tor2Web. Das ist ein Dienst, über den Nutzer ohne Tor auf das Deep Web zugreifen können. User werden aufgefordert, die in der Erpressernachricht mitgelieferte BitCrypt-ID anzugeben.

Bild 2. BitCrypt ID-Login

Nach der Anmeldung wird der Nutzer zur Homepage von BitCrypt weitergeleitet (beschreibt sich selbst als Bitcrypt Software Inc.). Hier erhält der User Anleitungen zur Wiederherstellung seiner Daten. Doch dafür muss er 0,4 BTC zahlen. Nach dem derzeitigen Kurs sind das 240 Dollar. Die Cycerkriminellen liefern sogar eine FAQ-Seite.


Bild 3. BitCrypt FAQ

Feedback aus dem Smart Protection Network zeigt, dass 40% der CRIBIT-Opfer aus den Vereinigten Staaten kommen und weitere 11% aus Japan.

BitCrypt ist die neueste Bedrohung aus einer langen Reihe von Vorgängern.Und auch wenn der Wert von Bitcoin seit dem Höhepunkt im letzten Jahr zurückgegangen ist, so ist er immer noch hoch genug, um die Angriffe profitabel zu machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*