Abo
  • Services:
Anzeige
Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Security: Ransomware kann jetzt Webkit

Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.

Eine neue Ransomware mit dem Namen Ransom32 basiert auf einer Java-Script-Implementation und ist ungewöhnlich groß, wie die Sicherheitsfirma Emsisoft schreibt. Die Malware versteckt sich offenbar in einem selbstextrahierenden Rar-Archiv und ist durch die Integration der Node-Webkit-Technologie theoretisch auch für Linux- und Mac-Rechner gefährlich.

Anzeige

Das SXF-Archiv enthält zahlreiche Dateien, unter anderem eine in "rundll32.exe" umbenannte Version des Tor-Clients, außerdem die Lizenzvereinbarungen für GNU und GPL sowie eine als chrome.exe getarnte NW.js-Anwendung, die das Gerüst zum Ausführen der Malware bildet. Außerdem sind Scripts für die Anzeige der Erpressungsmeldung dabei. Die Rar-Datei ist mit 22 MByte relativ groß, die meisten Ransomeware-Pakete benötigen weniger als 1 MByte.

Die Malware nutzt den eingebauten Tor-Client

Wird das Archiv geöffnet, entpackt sich die Malware in das Verzeichnis "%AppData%\Chrome Browser". Außerdem wird eine Autostart-Verknüpfung unter dem Namen Chromeservice erstellt, um die Malware mit dem Betriebssystem zu laden. Das Programm verbindet sich dann über den eigenen Tor-Client mit dem Command-and-Control-Server, der Port 85 nutzt, um sich die zur Verschlüsselung der Dateien benötigten Schlüssel herunterzuladen. Außerdem wird die Bitcoin-Adresse ermittelt, an die die Erpressungszahlungen gerichtet werden sollen.

Die Verschlüsselung selbst erfolgt nach Angaben von Emisoft mit einem 128-Bit-AES-Schlüssel im CTR-Modus. Alle Dateien bekommen einen eigenen Schlüssel. Der AES-Schlüssel selbst wird schließlich mit RSA verschlüsselt abgelegt. Das Programm verspricht den Zugriff auf einige wenige Dateien, um zu beweisen, dass sich die Verschlüsselung umkehren lässt. Angreifer können dem Nutzer eine Zahlungsfrist setzen und ansonsten mit der Zerstörung der Daten drohen.

Durch die Implementation in NW.js, früher unter dem Namen Node-Webkit bekannt, könnte die Malware vermutlich auch für Mac- und Linux-Systeme implementiert werden - bislang scheinen jedoch keine entsprechenden Samples vorzuliegen. Der derzeitige Infektionsweg über eine SXF-Datei müsste für eine Adaption in jedem Fall angepasst werden.

Kriminelle, die die Malware nutzen wollen, können dies recht einfach tun. Denn sie wird auf einer .onion-Domain vorkonfiguriert angeboten. Kriminelle müssen nur ihre Ziel-Bitcoin-Adresse und einige Parameter angeben. Außerdem müssen sie den Malware-Machern 25 Prozent der Einnahmen abtreten, ebenfalls an eine Bitcoin-Adresse. In dem Konfigurationsfeld geben die Kriminellen ihren Kunden noch einen Hinweis mit auf den Weg: "Sei nicht zu gierig, sonst wird niemand zahlen".


eye home zur Startseite
cpt.dirk 10. Jan 2016

Falls du die Periode OS/2 meinst, geläufig wird den meisten der Begriff aus der Welt von...

danielcw 08. Jan 2016

Man könnte einstellen, das .exe Dateien zumindest im Explorer nicht direkt ausgeführt...

nille02 05. Jan 2016

Viele Worte und dennoch nichts gesagt.

dasmussnochgesa... 05. Jan 2016

edit: deletet. grund: überbewertet.

robinx999 04. Jan 2016

Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren...



Anzeige

Stellenmarkt
  1. Sonntag & Partner Partnerschaftsgesellschaft mbB, Augsburg
  2. über Baumann Unternehmensberatung AG, Ingolstadt, München, Stuttgart
  3. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  4. MEMMERT GmbH + Co. KG, Schwabach (Metropolregion Nürnberg)


Anzeige
Top-Angebote
  1. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€)
  2. (alle Angebote versandkostenfrei, u. a. Prey (Day One Edition) PC/Konsole 35,00€, Yakuza Zero PS4...
  3. 44,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. Re: Mal ne dumme Gegenfrage:

    __destruct() | 21:43

  2. Re: Siri und diktieren

    rabatz | 21:41

  3. Re: Machen wir doch mal die Probe aufs Exempel

    ML82 | 21:33

  4. Re: Also so eine art Amerikanischer IS Verschnitt...

    SanderK | 21:21

  5. Re: Akito Thunder 2 + Macbook

    Mixermachine | 21:13


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel