Ransomware verlängert Zahlfrist und bietet kostenlose Entschlüsselung

Originalartikel von Trend Micro

Im Juli 2014 fanden die Bedrohungsforscher eine Variante einer Crypto-Ransomware namens Critroni oder Curve-Tor-Bitcoin (CTB) Locker. Nun gibt es „Verbesserungen“ für diese Schadsoftware, wie etwa einen „kostenlosen Entschlüsselungsdienst“, längere Fristen für die Entschlüsselung der Dateien und eine Option für das Ändern der Sprache in der Erpressernachricht. Auch fordern diese Varianten ein höheres Lösegeld von 3 BTC (etwa 630$) im Vergleich zu früheren Forderungen von 2 BTC (oder 24$). Die Zahl der Angriffe zeigt Spitzen in einigen Regionen, vor allem in Europe-Middle East-Africa (EMEA), China, Lateinamerika und in Indien.
CTB-Locker Infektion

Die neuen Varianten weisen deutliche Unterschiede zu früher auf. Sie werden über Spam-Mails verbreitet, die in verschiedenen Sprachen versendet werden und vorgeben, wichtige Benachrichtigungen im doppelt archivierten Anhang zu enthalten.

Einige der Spam-Muster aus diesen Angriffen wurden über Systeme versendet, die Teil des seit langem aktiven CUTWAIL-Botnet sind. CUTWAIL ist bekannt dafür, vorhandene Ressourcen (einschließlich Bots) mehrfach zu nutzen. Daher ist es nicht verwunderlich, dass einige der IP-Adressen der Spam-Kampagne auf der langjährigen Trend Micro-Spam Blackliste stehen.


Bild 1. Spam-Mails mit bösartigen .ZIP-Anhänge, die den Downloader TROJ_CRYPCTB.SMD enthalten

Der Anhang besteht aus einem Downloader (TROJ_CRYPCTB.SMD). Diese Schadsoftware verbindet sich mit mehreren URLs und lädt schließlich die CTB-Locker Malware auf den Computer des Opfers. Diese Ranswomware wurde als TROJ_CRYPCTB.SME identifiziert. Alle involvierten URLs sind kompromittiert und befinden sich in Frankreich. Die Schadsoftware durchläuft eine Art Round-Robin-Methode, um die URL für das Herunterladen der Malware auszuwählen.


Figure 2. Beispiel der CTB-Locker Infektionskette

Änderungen

Die TROJ_CRYPCTB.A-Variante aus dem Juli gab den Opfern 72 Stunden Zeit, um zu zahlen, während die aktuelle diese Frist auf 96 Stunden verlängert. Wahrscheinlich geschieht dies aus praktischen Erwägungen, weil auf diese Weise vielleicht mehr Opfer bereit sind zu zahlen.

Über “Next” kommen die Opfer auf eine Seite, die einen Abschnitt “Test Decryption” umfasst, wo die Schadsoftware die Nutzer mit dieser kostenlosen Probe der Entschlüsselung von fünf beliebigen Dateien ködern wollen.

Dieses Modell gab es bereits in der Schadsoftware CoinVault, wobei CTB-Locker einen Schritt weiter geht und dem Opfer freistellt, fünf Dateien auszuwählen.



Bild 3. Kostenloser Entschlüsselungs-Service
Es gibt zusätzliche Anweisungen, Dateien nicht umzubenennen oder zu löschen. Nur ausgewählte Dateien werden entschlüsselt. Die Nachricht gibt es unter anderem in Deutsch, Holländisch und Italienisch.


Bild 4. Erpressernachricht in drei weiteren Sprachen
Ein weiterer Klick auf „Next“ führt zu einer Seite, wo die Opfer darüber informiert werden, ein Lösegeld von 3 BTC oder 630$ zahlen zu müssen, um weitere Dateien entschlüsseln zu können. Anderenfalls blieben die Dateien für immer verschlüsselt. Das Lösegeld soll über den Tor-Browser bezahlt werden. Die folgende Abbildung zeigt den Vergleich zwischen der älteren und der neuen CBT-Variante:


Bild 5. Die neue CTB-Locker Variante fordert 630$ oder 3 BTC, für die Entschlüsselung der Dateien eines Opfers

Schutz gegen Crypto-Ransomware

Der wichtigste Schutz vor dieser Erpressersoftware besteht darin, zwischen Spam- und wahrhaftigen E-Mails unterscheiden zu können. Auch wenn einige Mails echt aussehen, sollten am besten die Absenderadresse, Betreff und natürlich Inhalte geprüft werden.

Nutzer sollten auch vorsichtig umgehen mit unbekannten Dateien, E-Mails, URLs und vor allem den Anhängen der Mails. Auch müssen Anwender wissen, dass trotz des angeblichen Beweises, dass die Dateien entschlüsselt werden, dies keine Garantie darstellt, dass nach Zahlung des Lösegelds die restlichen Dateien auch wirklich entschlüsselt werden. Weitere Details bietet der Blogeintrag Dealing with CryptoLocker.

Folgende Hashes stehen in Verbindung mit dem Downloader der CRYPCTB Ransomware:

15a49a48a406902cfed2f7cfc6bcf0640aa00a46
3071c4419d5e67970206d524334ce0c65593d741
46f003336c1c726f2f8110c53292a10d0b585ded
69841be4aa6134facc24e6401a470d19d70884ee
6a1127180d19b8f9b7f1b9d2c2682eee2c0ba0b0
6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8
81f68349b12f22beb8d4cf50ea54d854eaa39c89
c2981fd43e72369de4118727b9b1117f07906dda
f1897120c2bbcd5135db0295249118aa5f5eb116
6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8
358c555cee162833706bb995cbf8d1d1ae79864a
ac34a415a7900053789d4b676eb7aa49a8fa9b5d

Related hashes for CRYPCTB:
c74fc2f0f2ff530f02b92cdc53fb731b7cf77039
81f68349b12f22beb8d4cf50ea54d854eaa39c89
0d4b6401eb5f89ff3a2cf7262872f6b3d903b737

 Zusätzliche Analysen von Homer Pacag, Lala Manly, Merianne Polintan, Michael Casayuran, Paul Pajares, Rika Gregorio und Ruby Santos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*