Dauerhafte Schädlinge Рneues Ransomware-Sample RAA

Forscher der SophosLabs entdeckten k√ľrzlich eine neue Ransomware-Variante namens RAA. Diese begn√ľgt sich nicht damit, Daten durch Verschl√ľssleung unbrauchbar zu machen, sie stiehlt ‚Äď da sie nun schon einmal auf dem Rechner ist ‚Äď auch gleich die Passw√∂rter ihrer Opfer.

Wie im Beitrag Zerst√∂rte Daten- was tun? beschrieben, verschl√ľsselt Ransomeware Daten, die durch Zahlung von L√∂segeld vermeintlich (!) wiederhergestellt werden k√∂nnen. Derartige Schadsoftware hat nach Aussagen von SophosLAbs sogar noch dazu gelernt:

Ging es fr√ľher um das einmalige Verschl√ľsseln der Daten und die Zahlung von L√∂segeld, kann man sich inzwischen dauerhaft mit dem Sch√§dling infizieren.

Die Forscher des Sicherheitsanbieters Sophos stießen auf ein interessantes, neues Ransomware-Sample genannt RAA, das nicht mehr nur persönliche Daten in Geiselhaft nimmt, sondern auch die Passwörter der Geschädigten stiehlt .

Wie kann Ransomware in Computersysteme eindringen?

Die gängisten Infektionswege Wege sind

  • E-Mail-Anh√§nge
  • infizierte Websites
  • USB-Ger√§te
  • Exploit-Kits
  • ein sich selbst verbreitender Netzwerk-Wurm

Die Mails werden glaubhaft gestaltet und dann mit angeblichen Rechnungen, Gerichtsunterlagen oder sonstigen Dokumenten versehen, die Verbraucher erschrecken oder neugierig machen und vor allem eine Handlungsaufforderung in sich bergen.

Meist wurde Ransomware √ľber Makros verbreitet. Mittlerweile sind Nutzer erfahrener geworden und schalten Makros ab. Doch es kommt nich schlimmer:

Die Umstellung auf JavaScript

Anfang 2016 begannen viele Internetkriminelle ihre Strategie zur Malwareverbreitung zu modifizieren. …Derzeit beobachten die Sophos Labs, dass die Verbreitung √ľber JavaScript-Anh√§nge erfolgt.

Eine „gute“ Idee denn, so begr√ľndet Sophos:

  • Windows zeigt Dateierweiterungen nicht standardm√§√üig an. Eine Datei namens Rechnung.txt.js taucht also als Rechnung.txt auf.
  • Windows verwendet mehrdeutige Bilder f√ľr .js-Dateien. Scripts erscheinen mit einem Symbol, das wie eine Pergamentrolle aussieht. Dadurch wirken sie auf den ersten Blick wie Dokumente.

Warum aber sollte ein Verbraucher ein JavaScript-Dokument öffnen?

Das merkt er nicht,

erklärt Paul Ducklin, Sicherheitsexperte bei Sophos.

Windows zeigt die .JS-Endung gar nicht an und nutzt ein Icon, das wie eine Papierrolle aussieht ‚Äď genau wie die guten alten Dokumente. Der Verbraucher glaubt, auf ein .txt-Dokument zu klicken ‚Äď und w√§hnt sich in Sicherheit.

Manchmal erscheint ein Lockvogel-Dokument:

Dieses Dokument wurde in einer neueren Version von MS Word erstellt und kann nicht mit Ihrer Version von WordPad geöffnet werden. Kontaktieren Sie den Ersteller der Datei, oder öffnen Sie die Datei mit MS Word 2013. Einige Teile dieser Inhalte können nicht richtig angezeigt werden.

Zahltag: so ist das kriminelle Prozedere

Bevor Ransomware funktioniert, muss Kontakt mit einem Server der Betr√ľger aufgenommen werden, um einen Verschl√ľsselungs-Key zu erwerben. Der Server antwortet mit einem einzigartigen Key und einem zuf√§llig erstellten AES-Key, so dass die Opfer die Dekodierungsschl√ľssel nicht miteinander teilen k√∂nnen.
Sophos beschreibt im Detail (Auszug):

Sind die Daten gesperrt, muss die eindeutige Kennung eingegeben werden um dann mit dem passenden AES-Key die Daten zu entschl√ľsseln. Der AES-Key, der durch das JavaScript heruntergeladen wurde, bleibt nur im Speicher. Ist die Verschl√ľsselung abgeschlossen ist und das JavaScript-Programm beendet, haben die Kriminellen die einzige verbleibende Kopie des Schl√ľssels. Anschlie√üend informiert eine Readme-Seite, wie es weiter geht:

Die Bezahlseiten sind in aller Regel gleich:

*** ACHTUNG *** Ihre Dateien wurden von der RAA Malware mit dem AES-256-Algorithmus verschl√ľsselt. Dieser wird auch verwendet, zum Staatsgeheimnisse zu sch√ľtzen. Eine Datenwiederherstellung ist nur m√∂glich, wenn Sie den Schl√ľssel von uns kaufen. den Schl√ľssel zu kaufen, ist die einfachste L√∂sung. Sie brauchen kein Russisch zu k√∂nnen um zu verstehen, dass der Preis 0,39 Bitcoins, also etwa $ 250 betr√§gt. Die Gauner bieten sogar an (Punkt 2), einige Daten zu entschl√ľsseln, so dass die User die Gewissheit haben, dass es auch funktioniert. Wie die Testfiles mit einem verschl√ľsselten Rechner √ľbertragen werden sollen, steht da allerdings nicht.

Und das ist noch nicht alles: Jetzt wird auch das Passwort einkassiert

Die meisten Ransomware-Angriffe der letzten Jahre haben damit begonnen, Daten zu verschl√ľsseln und endeten, sobald die Zahlung erfolgte, mit der Entschl√ľsselung. Die kriminelle Komponente bestand aus der Zahlung des L√∂segelds, danach war alles wieder beim Alten. Aktuell hinterlassen die Cyberkriminellen jedoch eine weitere Form der Malware auf dem Computer: einen Password-Stealer. Sophos blockiert ihn unter dem Namen als Troj / Fareit-AWR. Ohne entsprechende Software entwenden die Kriminellen nach erfolgter Zahlung noch die Online-Zugangsdaten der Opfer, um sie f√ľr kriminelle Zwecke zu missbrauchen. Auch diese Malware wird nicht heruntergeladen, sie ist ein Teil der base64-Programmierung und damit bereits auf dem Rechner vorhanden.
Der Programmcode, der die Fareit-Datei auf die Festplatte legt und launcht, ist absichtlich durch eine AES-Verschl√ľsselung gesch√ľtzt. Der Key befindet sich innerhalb der Malware. Die Fareit Malware befindet sich unter ‚ÄěMeine Dokumente‚Äú und tr√§gt den Namen st.exe.

Hilfe vonnöten

Eine erste wichtige Ma√ünahme ist, Dateierweiterungen in Windows anzeigen zu lassen. Nat√ľrlich sollte immer eine Anti-Ransomeware installiert sein.
Sophos selbst emphielt zudem das Recovery-Tool Hitman Pro Alert.

Michael Veit, Foto: Sophos

Michael Veit, Foto: Sophos

Michael Veit beantwortet Fragen der Redaktion Hapke Media zu dieser Software:

Ist Hitman ein Programm, das Malware erkennt und beseitigt?
Michael Veit: Ja, HitmanPro Malware Removal Toolist ein erg√§nzendes Malware-Scan- und Bereinigungstool, das neben einem installierten Virenscanner eingesetzt wird, um ggf. von diesem √ľbersehene Sch√§dlinge zu erkennen und entfernen.

Gibt es Konflikte mit ‚ÄěAnti-Ransomware‚Äú von Malware Bytes?
Michael Veit: Nein, es läuft parallel zu einer bestehenden Malware-/Viren-Schutzlösung.

Wie kompliziert ist es, die Software einzusetzen?
Michael Veit: Es ist sehr einfach gehalten, so dass auch der technisch nicht versierte Anwender die Lösung einfach bedienen kann.

Erkennt und verhindert Hitman die Ausf√ľhrung der Malware?
Michael Veit: Es ist kein herk√∂mmlicher Virenscanner, der immer im Hintergrund l√§uft und das System √ľberwacht. Stattdessen wird es manuell oder beim Systemstart gestartet, untersucht den Rechner auf darauf befindliche Viren und andere Sch√§dlinge und bereinigt diese. Es ersetzt also nicht den normalen Virenscanner (z.B. Sophos Home f√ľr den Privatanwender), dieser ist zus√§tzlich notwendig.

Was ist, wenn der Rechner schon infiziert ist?
Michael Veit: Dann bereinigt die Lösung den Rechner

Kann Hitman die verschl√ľsselten Daten wiederherstellen?
Michael Veit: In den meisten F√§llen ist das nicht m√∂glich, da aktuelle Ransomware eine Verschl√ľsselungstechnologie nutzt, bei der der Nachschl√ľssel nicht auf dem Rechner zu finden ist oder derselbe Schl√ľssel f√ľr alle Opfer eines Trojaners verwendet wird, sondern f√ľr jeden verschl√ľsselten Rechner individuell ist und vom Angreifer gegen Zahlung der L√∂segeldsumme erworben werden muss.

Funktioniert die Software noch, nachdem die Jahreslizenz abgelaufen ist oder wird sie dann nur nichtmehr aktualisiert?
Michael Veit: Nach Ablauf der Lizenz funktioniert die Lösung nicht mehr.

Vielen Dank, Herr Veit!

Und noch ein Rat von Sophos:

Fazit: Einmal drin, immer drin?

Auch wenn Verbraucher f√ľr die Entschl√ľsselung ihres Computers bezahlt haben, sollten sie sich nicht in Sicherheit wiegen. Wahrscheinlicher ist es, dass die Ganoven, da sie nun schon einmal Zutritt zu ihren Daten hatten, diesen auch k√ľnftig nicht ungenutzt lassen.

Tags: , , ,

Nichts verpassen und neue Beiträge abonnieren

Privatsphäre garantiert! Jederzeit abbestellbar!

Top