Abo
  • Services:
Anzeige
Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Security: Ransomware kann jetzt Webkit

Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.

Eine neue Ransomware mit dem Namen Ransom32 basiert auf einer Java-Script-Implementation und ist ungewöhnlich groß, wie die Sicherheitsfirma Emsisoft schreibt. Die Malware versteckt sich offenbar in einem selbstextrahierenden Rar-Archiv und ist durch die Integration der Node-Webkit-Technologie theoretisch auch für Linux- und Mac-Rechner gefährlich.

Anzeige

Das SXF-Archiv enthält zahlreiche Dateien, unter anderem eine in "rundll32.exe" umbenannte Version des Tor-Clients, außerdem die Lizenzvereinbarungen für GNU und GPL sowie eine als chrome.exe getarnte NW.js-Anwendung, die das Gerüst zum Ausführen der Malware bildet. Außerdem sind Scripts für die Anzeige der Erpressungsmeldung dabei. Die Rar-Datei ist mit 22 MByte relativ groß, die meisten Ransomeware-Pakete benötigen weniger als 1 MByte.

Die Malware nutzt den eingebauten Tor-Client

Wird das Archiv geöffnet, entpackt sich die Malware in das Verzeichnis "%AppData%\Chrome Browser". Außerdem wird eine Autostart-Verknüpfung unter dem Namen Chromeservice erstellt, um die Malware mit dem Betriebssystem zu laden. Das Programm verbindet sich dann über den eigenen Tor-Client mit dem Command-and-Control-Server, der Port 85 nutzt, um sich die zur Verschlüsselung der Dateien benötigten Schlüssel herunterzuladen. Außerdem wird die Bitcoin-Adresse ermittelt, an die die Erpressungszahlungen gerichtet werden sollen.

Die Verschlüsselung selbst erfolgt nach Angaben von Emisoft mit einem 128-Bit-AES-Schlüssel im CTR-Modus. Alle Dateien bekommen einen eigenen Schlüssel. Der AES-Schlüssel selbst wird schließlich mit RSA verschlüsselt abgelegt. Das Programm verspricht den Zugriff auf einige wenige Dateien, um zu beweisen, dass sich die Verschlüsselung umkehren lässt. Angreifer können dem Nutzer eine Zahlungsfrist setzen und ansonsten mit der Zerstörung der Daten drohen.

Durch die Implementation in NW.js, früher unter dem Namen Node-Webkit bekannt, könnte die Malware vermutlich auch für Mac- und Linux-Systeme implementiert werden - bislang scheinen jedoch keine entsprechenden Samples vorzuliegen. Der derzeitige Infektionsweg über eine SXF-Datei müsste für eine Adaption in jedem Fall angepasst werden.

Kriminelle, die die Malware nutzen wollen, können dies recht einfach tun. Denn sie wird auf einer .onion-Domain vorkonfiguriert angeboten. Kriminelle müssen nur ihre Ziel-Bitcoin-Adresse und einige Parameter angeben. Außerdem müssen sie den Malware-Machern 25 Prozent der Einnahmen abtreten, ebenfalls an eine Bitcoin-Adresse. In dem Konfigurationsfeld geben die Kriminellen ihren Kunden noch einen Hinweis mit auf den Weg: "Sei nicht zu gierig, sonst wird niemand zahlen".


eye home zur Startseite
cpt.dirk 10. Jan 2016

Falls du die Periode OS/2 meinst, geläufig wird den meisten der Begriff aus der Welt von...

danielcw 08. Jan 2016

Man könnte einstellen, das .exe Dateien zumindest im Explorer nicht direkt ausgeführt...

nille02 05. Jan 2016

Viele Worte und dennoch nichts gesagt.

dasmussnochgesa... 05. Jan 2016

edit: deletet. grund: überbewertet.

robinx999 04. Jan 2016

Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren...



Anzeige

Stellenmarkt
  1. BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg
  2. Daimler AG, Kamenz
  3. T-Systems International GmbH, München
  4. Deutscher Alpenverein e. V., München


Anzeige
Spiele-Angebote
  1. 29,97€
  2. 59,99€ (Vorbesteller-Preisgarantie) - Release 02.08.
  3. 134,99€

Folgen Sie uns
       


  1. Spionage im Wahlkampf

    Russland soll hinter neuem Hack von US-Demokraten stecken

  2. Comodo

    Zertifikatsausstellung mit HTML-Injection ausgetrickst

  3. Autonomes Fahren

    Mercedes stoppt Werbespot wegen überzogener Versprechen

  4. Panne behoben

    Paypal-Lastschrifteinzug funktioniert wieder

  5. Ecix

    Australier übernehmen zweitgrößten deutschen Internetknoten

  6. Die Woche im Video

    Ab in den Urlaub!

  7. Ausfall

    Störung im Netz von Netcologne

  8. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  9. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  10. Hearthstone

    Blizzard feiert eine Nacht in Karazhan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Verbindungsturbo: Wie Googles Rack TCP deutlich schneller machen soll
Verbindungsturbo
Wie Googles Rack TCP deutlich schneller machen soll
  1. Black Hat 2016 Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS
  2. Anniversary Update Wie Microsoft seinen Edge-Browser effizienter macht
  3. Patchday Microsoft behebt Sicherheitslücke aus Windows-95-Zeiten

Headlander im Kurztest: Galaktisches Abenteuer mit Köpfchen
Headlander im Kurztest
Galaktisches Abenteuer mit Köpfchen
  1. Hello Games No Man's Sky braucht kein Plus und keine Superformel
  2. Hello Games No Man's Sky droht Rechtsstreit um "Superformel"
  3. Necropolis im Kurztest Wo zum Teufel geht es weiter?

Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

  1. Re: Und, gibt es schon Abmahnungen wegen nicht...

    css_profit | 07:22

  2. O&O ShutUp 10

    Der Supporter | 07:02

  3. Re: Das Daten(inklusiv) Volumen hat sich vervierfacht

    Hardcoreler | 06:12

  4. Re: Um das mal realistisch zu sehen:

    StefanGrossmann | 05:59

  5. Re: Egal - mit cygwin sucht man effektiv und sicher

    StefanGrossmann | 05:52


  1. 14:22

  2. 13:36

  3. 13:24

  4. 13:13

  5. 12:38

  6. 09:01

  7. 18:21

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel