Browser Locker: Ransomware späht Social-Media-Profile aus

Die Sicherheitsfirma Proofpoint hat eine neue Ransomware entdeckt, die vor dem Anzeigen der Erpresserbotschaft in sozialen Medien Informationen über die künftigen Opfer sammelt. Die Ransoc getaufte Software verschlüsselt anders als Locky nicht die Festplatte der Nutzer, sondern blendet über dem Desktop einen Sperrbildschirm mit Erpresserbotschaft ein, der die weitere Nutzung des PCs verhindert.

In der Botschaft werden die Nutzer aufgefordert, eine angebliche Gerichtsverhandlung durch einen Vergleich abzuwenden. Die dort aufgeführten Straftaten sollen individuell angepasst werden, teilweise werden dabei auf der Festplatte gefundenen Informationen, etwa .torrent-Dateien mit einbezogen. Etwas unglaubwürdig ist aber natürlich, dass Nutzer sich für 100 US-Dollar von einer Straftat wie dem Besitz von kinderpornographischem Material freikaufen können sollen.

Social Media-Accounts der Opfer werden gescannt

Die Entwickler der Ransomware drohen aber nicht nur mit der Veröffentlichung der Informationen, sondern scrapen Informationen von den Social-Media-Accounts der Opfer. Das kann dazu führen, dass Bilder von tatsächlichen Skype oder Linkedin-Kontakten eingeblendet werden. Hier soll ganz offensichtlich per Social-Engineering erreicht werden, dass die Opfer die Erpressersumme bezahlen.

Damit Nutzer den Sperrbildschirm nicht umgehen können, scannt die Applikation alle 100 Millisekunden nach Systemtools wie dem Task-Manager, Regedit oder Msconfig, mit denen erfahrene Anwender das Programm beenden könnten.

Ungewöhnlich ist, dass Zahlungen per Kreditkarte getätigt werden sollen. Damit sinkt zwar die Schwelle für unerfahrene Nutzer, um zu bezahlen. Gleichzeitig ist das Risiko für die Kriminellen deutlich höher, erwischt zu werden. Die Ransomware soll vor allem über Werbebanner auf Pornoseiten ausgeliefert werden.