Erpresser-Trojaner

Oktober 2016
neue Ransomware Mamba: Diese verschlüsselt nicht nur Dateien, sondern ganze Festplatten!

ransomware mambaIn der Research-Abteilung von SophosLabs ist man auf eine neue Ransomware gestossen, die besonders perfid ist, weil sie ganze Festplatten verschlüsselt, statt nur einzelne Dateien. Und es kommt noch schlimmer: Zeigen sich Betroffene sogar zahlungswillig, ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann.
Doch immerhin gibt es auch eine gute Nachricht: Die Mamba genannte Ransomware ist bislang noch nicht in freier Wildbahn gesichtet worden. Dennoch ist Mamba interessant, denn ihre Schöpfer sind offenbar noch in der Testphase und auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyberkriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden.

Anlehnung an Petya
Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er-Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Grossteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings ausser Reichweite. Mamba geht einen Schritt weiter: Sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen sowie freigegebenen und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: Die Malware installiert und aktiviert eine Kopie der Open-Source-Software DiskCryptor.

Wie Mamba infiziert
Mamba gelangt über Mails mit Dateianhängen auf den Rechner. Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Der nächste Reboot erfolgt nicht mehr automatisch, sodass alle Dateien noch verfügbar sind, das DiskCryptor-Protokoll enthält sogar das Passwort im Klartext.


Angebliches «Windows-Update» verseucht Festplatte mit Virus!
Neuster Erpresser-Trojaner Fantom tarnt sich als kritisches Windows-Update, um besorgte Nutzer zu überlisten.

fantom

Fantom gelangt als herkömmliche EXE-Datei auf das System. In den Dateieigenschaften gibt der Schädling vor, ein kritisches Windows-Update von Microsoft zu sein. Sobald diese Datei ausgeführt wird, entpackt die Schadsoftware ein weiteres Tool zur Tarnung mit dem Namen WindowsUpdate.exe. Dieses führt ein Bildschirm-Overlay aus, das den Windows-Update-Screen nachahmt.

Während das vorgetäuschte Update läuft, beginnt die Ransomware bereits damit, Verzeichnisse zu verschlüsseln und darin enthaltene Dateien mit der Endung .fantom zu versehen. Dabei kommt eine AES-Verschlüsselung mit 128 Bit Schlüssellänge zum Einsatz. Der Schlüssel wird automatisch an den Kontroll-Server des Urhebers gesendet.

Ausserdem platziert die Ransomware in jedem Ordner eine HTML-Datei mit dem Namen DECRYPT_YOUR_FILES. Diese Datei führt die Schadsoftware nach der Verschlüsselung aus, sie öffnet ein Browserfenster mit dem Erpresserschreiben des Urhebers. Anschliessend lädt Fantom ein Hintergrund-Wallpaper mit den Kontaktdaten für die Entschlüsselung herunter. Die Erpresser verwenden unter anderem eine Mailadresse des russischen Anbieters Yandex.
Erpresser keinesfalls bezahlen

Wie sich Fantom verbreitet, ist derzeit nicht bekannt. Allerdings soll der Trojaner bereits von einigen Virenscannern als Bedrohung erkannt worden sein. Wer von der Schadsoftware betroffen ist, sollte aber keinesfalls das Lösegeld bezahlen. Denn ob die verschlüsselten Dateien nach einer Zahlung wieder freigegeben werden, ist nicht sicher. Ausserdem ermutigen Zahlungen die Kriminellen nur, mit ihren Machenschaften fortzufahren.

Regelmässige Backups wichtiger Daten auf externen Geräten stellen die beste und oftmals einzig effiziente Absicherung gegen Ransomware-Angriffe dar. Egal, ob es sich bei den Trojanern um Locky, Cerber oder nun Fantom handelt.

Quelle: PC-Tipp