Dauerhafte Schädlinge – neues Ransomware-Sample RAA

Forscher der SophosLabs entdeckten kürzlich eine neue Ransomware-Variante namens RAA. Diese begnügt sich nicht damit, Daten durch Verschlüssleung unbrauchbar zu machen, sie stiehlt – da sie nun schon einmal auf dem Rechner ist – auch gleich die Passwörter ihrer Opfer.

Wie im Beitrag Zerstörte Daten- was tun? beschrieben, verschlüsselt Ransomeware Daten, die durch Zahlung von Lösegeld vermeintlich (!) wiederhergestellt werden können. Derartige Schadsoftware hat nach Aussagen von SophosLAbs sogar noch dazu gelernt:

Ging es früher um das einmalige Verschlüsseln der Daten und die Zahlung von Lösegeld, kann man sich inzwischen dauerhaft mit dem Schädling infizieren.

Die Forscher des Sicherheitsanbieters Sophos stießen auf ein interessantes, neues Ransomware-Sample genannt RAA, das nicht mehr nur persönliche Daten in Geiselhaft nimmt, sondern auch die Passwörter der Geschädigten stiehlt .

Wie kann Ransomware in Computersysteme eindringen?

Die gängisten Infektionswege Wege sind

  • E-Mail-Anhänge
  • infizierte Websites
  • USB-Geräte
  • Exploit-Kits
  • ein sich selbst verbreitender Netzwerk-Wurm

Die Mails werden glaubhaft gestaltet und dann mit angeblichen Rechnungen, Gerichtsunterlagen oder sonstigen Dokumenten versehen, die Verbraucher erschrecken oder neugierig machen und vor allem eine Handlungsaufforderung in sich bergen.

Meist wurde Ransomware ĂĽber Makros verbreitet. Mittlerweile sind Nutzer erfahrener geworden und schalten Makros ab. Doch es kommt nich schlimmer:

Die Umstellung auf JavaScript

Anfang 2016 begannen viele Internetkriminelle ihre Strategie zur Malwareverbreitung zu modifizieren. …Derzeit beobachten die Sophos Labs, dass die Verbreitung ĂĽber JavaScript-Anhänge erfolgt.

Eine „gute“ Idee denn, so begrĂĽndet Sophos:

  • Windows zeigt Dateierweiterungen nicht standardmäßig an. Eine Datei namens Rechnung.txt.js taucht also als Rechnung.txt auf.
  • Windows verwendet mehrdeutige Bilder fĂĽr .js-Dateien. Scripts erscheinen mit einem Symbol, das wie eine Pergamentrolle aussieht. Dadurch wirken sie auf den ersten Blick wie Dokumente.

Warum aber sollte ein Verbraucher ein JavaScript-Dokument öffnen?

Das merkt er nicht,

erklärt Paul Ducklin, Sicherheitsexperte bei Sophos.

Windows zeigt die .JS-Endung gar nicht an und nutzt ein Icon, das wie eine Papierrolle aussieht – genau wie die guten alten Dokumente. Der Verbraucher glaubt, auf ein .txt-Dokument zu klicken – und wähnt sich in Sicherheit.

Manchmal erscheint ein Lockvogel-Dokument:

Dieses Dokument wurde in einer neueren Version von MS Word erstellt und kann nicht mit Ihrer Version von WordPad geöffnet werden. Kontaktieren Sie den Ersteller der Datei, oder öffnen Sie die Datei mit MS Word 2013. Einige Teile dieser Inhalte können nicht richtig angezeigt werden.

Zahltag: so ist das kriminelle Prozedere

Bevor Ransomware funktioniert, muss Kontakt mit einem Server der Betrüger aufgenommen werden, um einen Verschlüsselungs-Key zu erwerben. Der Server antwortet mit einem einzigartigen Key und einem zufällig erstellten AES-Key, so dass die Opfer die Dekodierungsschlüssel nicht miteinander teilen können.
Sophos beschreibt im Detail (Auszug):

Sind die Daten gesperrt, muss die eindeutige Kennung eingegeben werden um dann mit dem passenden AES-Key die Daten zu entschlĂĽsseln. Der AES-Key, der durch das JavaScript heruntergeladen wurde, bleibt nur im Speicher. Ist die VerschlĂĽsselung abgeschlossen ist und das JavaScript-Programm beendet, haben die Kriminellen die einzige verbleibende Kopie des SchlĂĽssels. AnschlieĂźend informiert eine Readme-Seite, wie es weiter geht:

Die Bezahlseiten sind in aller Regel gleich:

*** ACHTUNG *** Ihre Dateien wurden von der RAA Malware mit dem AES-256-Algorithmus verschlüsselt. Dieser wird auch verwendet, zum Staatsgeheimnisse zu schützen. Eine Datenwiederherstellung ist nur möglich, wenn Sie den Schlüssel von uns kaufen. den Schlüssel zu kaufen, ist die einfachste Lösung. Sie brauchen kein Russisch zu können um zu verstehen, dass der Preis 0,39 Bitcoins, also etwa $ 250 beträgt. Die Gauner bieten sogar an (Punkt 2), einige Daten zu entschlüsseln, so dass die User die Gewissheit haben, dass es auch funktioniert. Wie die Testfiles mit einem verschlüsselten Rechner übertragen werden sollen, steht da allerdings nicht.

Und das ist noch nicht alles: Jetzt wird auch das Passwort einkassiert

Die meisten Ransomware-Angriffe der letzten Jahre haben damit begonnen, Daten zu verschlüsseln und endeten, sobald die Zahlung erfolgte, mit der Entschlüsselung. Die kriminelle Komponente bestand aus der Zahlung des Lösegelds, danach war alles wieder beim Alten. Aktuell hinterlassen die Cyberkriminellen jedoch eine weitere Form der Malware auf dem Computer: einen Password-Stealer. Sophos blockiert ihn unter dem Namen als Troj / Fareit-AWR. Ohne entsprechende Software entwenden die Kriminellen nach erfolgter Zahlung noch die Online-Zugangsdaten der Opfer, um sie für kriminelle Zwecke zu missbrauchen. Auch diese Malware wird nicht heruntergeladen, sie ist ein Teil der base64-Programmierung und damit bereits auf dem Rechner vorhanden.
Der Programmcode, der die Fareit-Datei auf die Festplatte legt und launcht, ist absichtlich durch eine AES-Verschlüsselung geschützt. Der Key befindet sich innerhalb der Malware. Die Fareit Malware befindet sich unter „Meine Dokumente“ und trägt den Namen st.exe.

Hilfe vonnöten

Eine erste wichtige MaĂźnahme ist, Dateierweiterungen in Windows anzeigen zu lassen. NatĂĽrlich sollte immer eine Anti-Ransomeware installiert sein.
Sophos selbst emphielt zudem das Recovery-Tool Hitman Pro Alert.

Michael Veit, Foto: Sophos

Michael Veit, Foto: Sophos

Michael Veit beantwortet Fragen der Redaktion Hapke Media zu dieser Software:

Ist Hitman ein Programm, das Malware erkennt und beseitigt?
Michael Veit: Ja, HitmanPro Malware Removal Toolist ein ergänzendes Malware-Scan- und Bereinigungstool, das neben einem installierten Virenscanner eingesetzt wird, um ggf. von diesem übersehene Schädlinge zu erkennen und entfernen.

Gibt es Konflikte mit „Anti-Ransomware“ von Malware Bytes?
Michael Veit: Nein, es läuft parallel zu einer bestehenden Malware-/Viren-Schutzlösung.

Wie kompliziert ist es, die Software einzusetzen?
Michael Veit: Es ist sehr einfach gehalten, so dass auch der technisch nicht versierte Anwender die Lösung einfach bedienen kann.

Erkennt und verhindert Hitman die AusfĂĽhrung der Malware?
Michael Veit: Es ist kein herkömmlicher Virenscanner, der immer im Hintergrund läuft und das System überwacht. Stattdessen wird es manuell oder beim Systemstart gestartet, untersucht den Rechner auf darauf befindliche Viren und andere Schädlinge und bereinigt diese. Es ersetzt also nicht den normalen Virenscanner (z.B. Sophos Home für den Privatanwender), dieser ist zusätzlich notwendig.

Was ist, wenn der Rechner schon infiziert ist?
Michael Veit: Dann bereinigt die Lösung den Rechner

Kann Hitman die verschlĂĽsselten Daten wiederherstellen?
Michael Veit: In den meisten Fällen ist das nicht möglich, da aktuelle Ransomware eine Verschlüsselungstechnologie nutzt, bei der der Nachschlüssel nicht auf dem Rechner zu finden ist oder derselbe Schlüssel für alle Opfer eines Trojaners verwendet wird, sondern für jeden verschlüsselten Rechner individuell ist und vom Angreifer gegen Zahlung der Lösegeldsumme erworben werden muss.

Funktioniert die Software noch, nachdem die Jahreslizenz abgelaufen ist oder wird sie dann nur nichtmehr aktualisiert?
Michael Veit: Nach Ablauf der Lizenz funktioniert die Lösung nicht mehr.

Vielen Dank, Herr Veit!

Und noch ein Rat von Sophos:

Fazit: Einmal drin, immer drin?

Auch wenn Verbraucher fĂĽr die EntschlĂĽsselung ihres Computers bezahlt haben, sollten sie sich nicht in Sicherheit wiegen. Wahrscheinlicher ist es, dass die Ganoven, da sie nun schon einmal Zutritt zu ihren Daten hatten, diesen auch kĂĽnftig nicht ungenutzt lassen.

Tags: , , ,

Nichts verpassen und neue Beiträge abonnieren

Privatsphäre garantiert! Jederzeit abbestellbar!

Top