Erpresser-Schadsoftware Ransom32 : Ransom32 ist eine neue Schadsoftware, die Lösegeld fordert. (Bildquelle: Emsisoft) Ransom32 ist eine neue Schadsoftware, die Lösegeld fordert. (Bildquelle: Emsisoft)

Update: Wie bei Virustotal zu sehen ist, erkennen inzwischen viele Antiviren-Scanner die neue Schadsoftware. Die Produkte mancher großer Hersteller wie Symanctec scheinen aber noch immer nicht aktualisert worden zu sein. Dagegen ist der Windows Defender von Microsoft bereits auf dem neuesten Stand, sofern die aktuellen Virendefinitionen verwendet werden.

Quelle: Virustotal

Originalmeldung: Schadsoftware, die einen Rechner infiziert und dort dann wichtige Daten verschlüsselt, um Lösegeld für eine Entschlüsselung zu fordern, war bislang vor allem ein Problem für Windows-Rechner. Doch nun haben Sicherheitsexperten eine neue Variante entdeckt und ihr die Bezeichnung Ransom32 gegeben. Es handelt sich um ein Programm, das in JavaScript geschrieben wurde und ein für vollkommen legitime Zwecke oft genutztes Framework namens NW.js verwendet.

Dieses Framework kommt bei Windows zum Einsatz, ist jedoch auch mit Linux und OS X kompatibel. Die Erpresser-Schadsoftware kann damit mit sehr wenig Aufwand auch zu diesen Betriebssystemen kompatibel gemacht werden und stellt damit eine noch größere Gefahr als bisherige Varianten dar. Bisher wurde allerdings nur die Windows-Variante in »freier Wildbahn« entdeckt.

Neu ist ebenfalls, dass die Hintermänner Ransom32 auch anderen anbieten, die ihre im Tor-Netzwerk versteckten Server finden. Dort können sich die Kunden eine eigene Version zusammenstellen, bestimmte Funktionen wie die Höhe des Lösegelds, anzuzeigende Nachrichten oder Lockscreens auswählen und sogar die laufende Erpressungs-Kampagne steuern. Angezeigt werden beispielsweise wie viele Rechner infiziert sind, wer bereits gezahlt hat und wie viel Geld in Form von Bitcoins bereits eingegangen ist. Dieses »Angebot« der Hintermänner von Ransom32 ist sogar kostenlos, da die Entwickler von Ransom32 nur 25 Prozent der von Opfern gezahlten Lösegelder fordern.

Die Schadsoftware selbst wird über selbstentpackende RAR-Dateien verbreitet, beispielsweise per E-Mail, und verschlüsselt dann wichtige Dateien von Musik bis hin zu Dokumenten und Spielständen mit einem 128-Bit-AES-Verfahren. Der Nutzer sieht dann einen Bildschirm mit Zahlungsanweisungen und zwei Countdowns. Einer läuft bis zu einer Erhöhung der geforderten Summe, der andere bis zur endgültigen Vernichtung aller verschlüsselten Daten. Bislang erkennt kaum eine Antiviren-Software die neue Bedrohung. Die Sicherheitsexperten bei Emsisoft raten dazu, stets Backups wichtiger Daten anzufertigen, die nicht auf dem PC selbst gespeichert sind, da sie sonst ebenfalls verschlüsselt werden.

Quelle: Emsisoft