Abo
  • Services:
Anzeige
Die Erpresserbotschaft.
Die Erpresserbotschaft. (Bild: Cisco/Talos)

Ransomware: Ranscam schickt Dateien unwiederbringlich ins Nirwana

Die Erpresserbotschaft.
Die Erpresserbotschaft. (Bild: Cisco/Talos)

Niemals zahlen! Diese Warnung bei Ransomware-Angriffen ist bei einem neuen Vertreter der Spezies besonders angebracht - denn die Malware hat gar keine Wiederherstellungsfunktion.

Ciscos Sicherheitsabteilung Talos warnt vor einer neuen Ransomware, die die Dateien der Nutzer auch nach Zahlung einer Erpressersumme nicht freigibt. Dem Trojaner wurde der Name Ranscam verliehen. Wie er sich verbreitet, ist bislang leider nicht bekannt.

Anzeige

Ranscam möchte von den Nutzern 0.2 Bitcoin, also etwas mehr als 100 Euro an Lösegeld. Die meisten Trojaner verlangen etwas mehr, meist um die 200 Euro. Doch offenbar haben die Kriminellen keine Intention, die Dateien nach Zahlung des Betrages wirklich wieder zu entschlüsseln.

  • Die Erpresserbotschaft verändert sich, wenn die Zahlung überprüft wird. (Bild: Cisco/Talos)
  • Die Erpresserbotschaft des Trojaners (Bild: Cisco/Talos)
Die Erpresserbotschaft des Trojaners (Bild: Cisco/Talos)

Ganz im Gegenteil: Klickt ein Nutzer auf den Button, um die Lösegeldzahlung zu überprüfen, werde nur gemeldet, dass diese bislang nicht eingegangen sei. Außerdem werde eine Datei gelöscht. Nach Angaben von Talos findet aber keine wirkliche Überprüfung statt. Nachdem auf den Button geklickt wird, wird lediglich ein http-Get-Request ausgeführt, der ein PNG-Bild mit der neuen Botschaft herunterlädt und anzeigt. Tatsächlich werden alle Dateien schon vorher gelöscht, die Malware soll über gar keine Wiederherstellungsfunktion verfügen.

Malware sucht bei Systemstart nach neuen Dateien

Ranscam prüft auch, ob nach der Infektion neue Dateien vom Nutzer erstellt oder heruntergeladen wurden. Ist dies der Fall, werden auch diese Dateien verschlüsselt. In der Erpresserbotschaft gibt die Gruppe an, dass die Dateien der Nutzer in eine "versteckte und verschlüsselte Partition" verschoben wurden.

Die Malware ist mit dem .Net-Framework erstellt und mit einem Zertifikat von reca.net signiert. In dem von Talos untersuchten Sample soll das Zertifikat am 6 Juli dieses Jahres abgelaufen sein. Ranscam kopiert sich selbst in das Verzeichnis %Appdata% und nutzt den Task Scheduler von Windows, um bei jedem Systemstart ausgeführt zu werden. Außerdem wird die ausführbare Datei in das Temp-Verzeichnis entpackt.

Um eine Wiederherstellung der Dateien unmöglich zu machen, werden die Windows-Dateien zur Wiederherstellung des Systems und die Schattenkopien des Dateisystems gelöscht. Außerdem soll durch die Löschung verschiedener Registry Keys ein Booten im abgesicherten Modus verhindert werden.

Besonders erfolgreich waren die Malware-Autoren aber bislang nicht. Weil alle Instanzen der Ransomware eine einzige Bitcoin-Adresse nutzen, konnten die Forscher den bisherigen Gewinn berechnen: Etwa 280 US-Dollar. Andere Ransomware-Autoren verdienen 90.000 Euro im Jahr und mehr, wieder andere bestreiten finanzielle Absichten. Polizei und Strafverfolgungsbehörden warnen generell davor, Erpressersummen zu bezahlen, weil nie sichergestellt ist, dass die Freigabe der Dateien tatsächlich funktioniert. Der einzige wirksame Schutz ist also nach wie vor eine gute Backup-Strategie.


eye home zur Startseite
SoniX 13. Jul 2016

Naja, irgendwo stimmt das schon. Irgendwo aber auch nicht. Klar, Aufklärung muss sein...

YoungManKlaus 13. Jul 2016

aber bald von den anderen Herstellern fest eine auf den Deckel kriegen. Immerhin ist das...



Anzeige

Stellenmarkt
  1. thyssenkrupp AG, Essen
  2. SICK AG, Reute bei Freiburg im Breisgau
  3. GALERIA Kaufhof GmbH, Köln
  4. ROHDE & SCHWARZ SIT GmbH, Stuttgart


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Marketing scheint bei Unity ein besonders...

    Lord Gamma | 21:54

  2. Re: 1400W... für welche Hardware?

    Schattenwerk | 21:51

  3. Re: Ist doch Standard

    Gladiac782 | 21:49

  4. Re: 25MBit/s - wann begreifen die endlich, dass...

    bombinho | 21:47

  5. Re: Kann ich mit Alditalk nicht bestätigen

    AllDayPiano | 21:47


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel