Anzeige
Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Security: Ransomware kann jetzt Webkit

Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.

Eine neue Ransomware mit dem Namen Ransom32 basiert auf einer Java-Script-Implementation und ist ungewöhnlich groß, wie die Sicherheitsfirma Emsisoft schreibt. Die Malware versteckt sich offenbar in einem selbstextrahierenden Rar-Archiv und ist durch die Integration der Node-Webkit-Technologie theoretisch auch für Linux- und Mac-Rechner gefährlich.

Anzeige

Das SXF-Archiv enthält zahlreiche Dateien, unter anderem eine in "rundll32.exe" umbenannte Version des Tor-Clients, außerdem die Lizenzvereinbarungen für GNU und GPL sowie eine als chrome.exe getarnte NW.js-Anwendung, die das Gerüst zum Ausführen der Malware bildet. Außerdem sind Scripts für die Anzeige der Erpressungsmeldung dabei. Die Rar-Datei ist mit 22 MByte relativ groß, die meisten Ransomeware-Pakete benötigen weniger als 1 MByte.

Die Malware nutzt den eingebauten Tor-Client

Wird das Archiv geöffnet, entpackt sich die Malware in das Verzeichnis "%AppData%\Chrome Browser". Außerdem wird eine Autostart-Verknüpfung unter dem Namen Chromeservice erstellt, um die Malware mit dem Betriebssystem zu laden. Das Programm verbindet sich dann über den eigenen Tor-Client mit dem Command-and-Control-Server, der Port 85 nutzt, um sich die zur Verschlüsselung der Dateien benötigten Schlüssel herunterzuladen. Außerdem wird die Bitcoin-Adresse ermittelt, an die die Erpressungszahlungen gerichtet werden sollen.

Die Verschlüsselung selbst erfolgt nach Angaben von Emisoft mit einem 128-Bit-AES-Schlüssel im CTR-Modus. Alle Dateien bekommen einen eigenen Schlüssel. Der AES-Schlüssel selbst wird schließlich mit RSA verschlüsselt abgelegt. Das Programm verspricht den Zugriff auf einige wenige Dateien, um zu beweisen, dass sich die Verschlüsselung umkehren lässt. Angreifer können dem Nutzer eine Zahlungsfrist setzen und ansonsten mit der Zerstörung der Daten drohen.

Durch die Implementation in NW.js, früher unter dem Namen Node-Webkit bekannt, könnte die Malware vermutlich auch für Mac- und Linux-Systeme implementiert werden - bislang scheinen jedoch keine entsprechenden Samples vorzuliegen. Der derzeitige Infektionsweg über eine SXF-Datei müsste für eine Adaption in jedem Fall angepasst werden.

Kriminelle, die die Malware nutzen wollen, können dies recht einfach tun. Denn sie wird auf einer .onion-Domain vorkonfiguriert angeboten. Kriminelle müssen nur ihre Ziel-Bitcoin-Adresse und einige Parameter angeben. Außerdem müssen sie den Malware-Machern 25 Prozent der Einnahmen abtreten, ebenfalls an eine Bitcoin-Adresse. In dem Konfigurationsfeld geben die Kriminellen ihren Kunden noch einen Hinweis mit auf den Weg: "Sei nicht zu gierig, sonst wird niemand zahlen".


eye home zur Startseite
cpt.dirk 10. Jan 2016

Falls du die Periode OS/2 meinst, geläufig wird den meisten der Begriff aus der Welt von...

danielcw 08. Jan 2016

Man könnte einstellen, das .exe Dateien zumindest im Explorer nicht direkt ausgeführt...

nille02 05. Jan 2016

Viele Worte und dennoch nichts gesagt.

dasmussnochgesa... 05. Jan 2016

edit: deletet. grund: überbewertet.

robinx999 04. Jan 2016

Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren...

Kommentieren



Anzeige

  1. Enterprise Architect "Quote to Cash" (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Fullstack JavaScript Entwickler (m/w)
    GIS Gesellschaft für InformationsSysteme AG, Hannover oder Hamburg (Home-Office möglich)
  3. IT Application Consultant (m/w) SAP FI/CO
    Viega GmbH & Co. KG, Attendorn
  4. Software Testingenieur (m/w) Fahrerassistenzsysteme
    Continental AG, Lindau

Detailsuche



Anzeige
Top-Angebote
  1. JETZT VERFÜGBAR: Overwatch - Origins Edition - [PC]
    59,00€
  2. JETZT VERFÜGBAR: Total War: WARHAMMER
    54,99€
  3. TIPP: Zotac Geforce GTX970
    259,00€ (Vergleichspreis: 290,04€)

Weitere Angebote


Folgen Sie uns
       


  1. Oracle vs. Google

    Wie man Geschworene am besten verwirrt

  2. Dell P4317Q

    43-Zoll-Display mit 4K für extreme Multitasker

  3. Logos

    Google Maps bekommt Werbung im Kartenmaterial

  4. Fahrdienstvermittler

    VW steigt bei Gett mit 300 Millionen US-Dollar ein

  5. Services

    HP Enterprise gründet weiteren Konzernteil aus

  6. Toshiba OCZ RD400

    Schnelle Consumer-M.2-SSD mit Extender-Karte

  7. Hyperloop

    HTT will seine Rohrpostzüge aus Marvel-Material bauen

  8. Smartwatches

    Pebble 2 und Pebble Time 2 mit Pulsmesser

  9. Kickstarter

    Pebble Core als GPS-Anhänger für Hacker und Sportler

  10. Virtual Reality

    Facebook kauft Two Big Ears für 360-Grad-Sound



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands On: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands On
Lenovos sonderbare Entscheidung
  1. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  2. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. Re: "Vectoring ist Glasfaser"

    bombinho | 09:01

  2. Re: nicht gut geeignet für UHD-Inhalte

    Sharra | 08:59

  3. Re: Backend bei Golem

    Areon | 08:59

  4. Re: Wo sind die Apps ?

    Braineh | 08:58

  5. Re: Künstler verdienen sehr wenig bei Spotify

    Skully | 08:58


  1. 09:00

  2. 07:52

  3. 07:39

  4. 07:33

  5. 07:21

  6. 07:14

  7. 19:01

  8. 18:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel