Ransomware: Ranscam schickt Dateien unwiederbringlich ins Nirwana

Niemals zahlen! Diese Warnung bei Ransomware-Angriffen ist bei einem neuen Vertreter der Spezies besonders angebracht - denn die Malware hat gar keine Wiederherstellungsfunktion.

Artikel veröffentlicht am ,
Die Erpresserbotschaft.
Die Erpresserbotschaft. (Bild: Cisco/Talos)

Ciscos Sicherheitsabteilung Talos warnt vor einer neuen Ransomware, die die Dateien der Nutzer auch nach Zahlung einer Erpressersumme nicht freigibt. Dem Trojaner wurde der Name Ranscam verliehen. Wie er sich verbreitet, ist bislang leider nicht bekannt.

Stellenmarkt
  1. Koordinator (m/w/d) IT-Prozesse IFRS 17
    Hays AG, Hamburg
  2. IT-Netzwerkadministrator (m/w/d)
    Staatliche Feuerwehrschule Geretsried, Geretsried
Detailsuche

Ranscam möchte von den Nutzern 0.2 Bitcoin, also etwas mehr als 100 Euro an Lösegeld. Die meisten Trojaner verlangen etwas mehr, meist um die 200 Euro. Doch offenbar haben die Kriminellen keine Intention, die Dateien nach Zahlung des Betrages wirklich wieder zu entschlüsseln.

  • Die Erpresserbotschaft verändert sich, wenn die Zahlung überprüft wird. (Bild: Cisco/Talos)
  • Die Erpresserbotschaft des Trojaners (Bild: Cisco/Talos)
Die Erpresserbotschaft des Trojaners (Bild: Cisco/Talos)

Ganz im Gegenteil: Klickt ein Nutzer auf den Button, um die Lösegeldzahlung zu überprüfen, werde nur gemeldet, dass diese bislang nicht eingegangen sei. Außerdem werde eine Datei gelöscht. Nach Angaben von Talos findet aber keine wirkliche Überprüfung statt. Nachdem auf den Button geklickt wird, wird lediglich ein http-Get-Request ausgeführt, der ein PNG-Bild mit der neuen Botschaft herunterlädt und anzeigt. Tatsächlich werden alle Dateien schon vorher gelöscht, die Malware soll über gar keine Wiederherstellungsfunktion verfügen.

Malware sucht bei Systemstart nach neuen Dateien

Ranscam prüft auch, ob nach der Infektion neue Dateien vom Nutzer erstellt oder heruntergeladen wurden. Ist dies der Fall, werden auch diese Dateien verschlüsselt. In der Erpresserbotschaft gibt die Gruppe an, dass die Dateien der Nutzer in eine "versteckte und verschlüsselte Partition" verschoben wurden.

Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    05.-09.09.2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    08./09.09.2022, virtuell
Weitere IT-Trainings

Die Malware ist mit dem .Net-Framework erstellt und mit einem Zertifikat von reca.net signiert. In dem von Talos untersuchten Sample soll das Zertifikat am 6 Juli dieses Jahres abgelaufen sein. Ranscam kopiert sich selbst in das Verzeichnis %Appdata% und nutzt den Task Scheduler von Windows, um bei jedem Systemstart ausgeführt zu werden. Außerdem wird die ausführbare Datei in das Temp-Verzeichnis entpackt.

Um eine Wiederherstellung der Dateien unmöglich zu machen, werden die Windows-Dateien zur Wiederherstellung des Systems und die Schattenkopien des Dateisystems gelöscht. Außerdem soll durch die Löschung verschiedener Registry Keys ein Booten im abgesicherten Modus verhindert werden.

Besonders erfolgreich waren die Malware-Autoren aber bislang nicht. Weil alle Instanzen der Ransomware eine einzige Bitcoin-Adresse nutzen, konnten die Forscher den bisherigen Gewinn berechnen: Etwa 280 US-Dollar. Andere Ransomware-Autoren verdienen 90.000 Euro im Jahr und mehr, wieder andere bestreiten finanzielle Absichten. Polizei und Strafverfolgungsbehörden warnen generell davor, Erpressersummen zu bezahlen, weil nie sichergestellt ist, dass die Freigabe der Dateien tatsächlich funktioniert. Der einzige wirksame Schutz ist also nach wie vor eine gute Backup-Strategie.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


SoniX 13. Jul 2016

Naja, irgendwo stimmt das schon. Irgendwo aber auch nicht. Klar, Aufklärung muss sein...

YoungManKlaus 13. Jul 2016

aber bald von den anderen Herstellern fest eine auf den Deckel kriegen. Immerhin ist das...



Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

  2. Nachhaltigere IT leicht gemacht
     
    Nachhaltigere IT leicht gemacht

    Die IT gehört zu den großen Verursachern von CO2-Emissionen. Workshops und Seminare zu den Themen Green IT und Nachhaltigkeit zeigen Wege zur Veränderung auf.
    Sponsored Post von Golem Karrierewelt

  3. Nürburgring: Porsche Taycan erzielt Rekord auf Nordschleife
    Nürburgring
    Porsche Taycan erzielt Rekord auf Nordschleife

    Ein serienmäßiger Porsche Taycan Turbo S hat einen Rekord für die schnellste Durchfahrt der Nordschleife des Nürburgrings erzielt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • eBay Re-Store -50% • AVM Fritz-Box günstig wie nie • Hisense TVs günstiger • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs bis -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /