Abo
  • Services:
Anzeige
Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Security: Ransomware kann jetzt Webkit

Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.

Eine neue Ransomware mit dem Namen Ransom32 basiert auf einer Java-Script-Implementation und ist ungewöhnlich groß, wie die Sicherheitsfirma Emsisoft schreibt. Die Malware versteckt sich offenbar in einem selbstextrahierenden Rar-Archiv und ist durch die Integration der Node-Webkit-Technologie theoretisch auch für Linux- und Mac-Rechner gefährlich.

Anzeige

Das SXF-Archiv enthält zahlreiche Dateien, unter anderem eine in "rundll32.exe" umbenannte Version des Tor-Clients, außerdem die Lizenzvereinbarungen für GNU und GPL sowie eine als chrome.exe getarnte NW.js-Anwendung, die das Gerüst zum Ausführen der Malware bildet. Außerdem sind Scripts für die Anzeige der Erpressungsmeldung dabei. Die Rar-Datei ist mit 22 MByte relativ groß, die meisten Ransomeware-Pakete benötigen weniger als 1 MByte.

Die Malware nutzt den eingebauten Tor-Client

Wird das Archiv geöffnet, entpackt sich die Malware in das Verzeichnis "%AppData%\Chrome Browser". Außerdem wird eine Autostart-Verknüpfung unter dem Namen Chromeservice erstellt, um die Malware mit dem Betriebssystem zu laden. Das Programm verbindet sich dann über den eigenen Tor-Client mit dem Command-and-Control-Server, der Port 85 nutzt, um sich die zur Verschlüsselung der Dateien benötigten Schlüssel herunterzuladen. Außerdem wird die Bitcoin-Adresse ermittelt, an die die Erpressungszahlungen gerichtet werden sollen.

Die Verschlüsselung selbst erfolgt nach Angaben von Emisoft mit einem 128-Bit-AES-Schlüssel im CTR-Modus. Alle Dateien bekommen einen eigenen Schlüssel. Der AES-Schlüssel selbst wird schließlich mit RSA verschlüsselt abgelegt. Das Programm verspricht den Zugriff auf einige wenige Dateien, um zu beweisen, dass sich die Verschlüsselung umkehren lässt. Angreifer können dem Nutzer eine Zahlungsfrist setzen und ansonsten mit der Zerstörung der Daten drohen.

Durch die Implementation in NW.js, früher unter dem Namen Node-Webkit bekannt, könnte die Malware vermutlich auch für Mac- und Linux-Systeme implementiert werden - bislang scheinen jedoch keine entsprechenden Samples vorzuliegen. Der derzeitige Infektionsweg über eine SXF-Datei müsste für eine Adaption in jedem Fall angepasst werden.

Kriminelle, die die Malware nutzen wollen, können dies recht einfach tun. Denn sie wird auf einer .onion-Domain vorkonfiguriert angeboten. Kriminelle müssen nur ihre Ziel-Bitcoin-Adresse und einige Parameter angeben. Außerdem müssen sie den Malware-Machern 25 Prozent der Einnahmen abtreten, ebenfalls an eine Bitcoin-Adresse. In dem Konfigurationsfeld geben die Kriminellen ihren Kunden noch einen Hinweis mit auf den Weg: "Sei nicht zu gierig, sonst wird niemand zahlen".


eye home zur Startseite
cpt.dirk 10. Jan 2016

Falls du die Periode OS/2 meinst, geläufig wird den meisten der Begriff aus der Welt von...

danielcw 08. Jan 2016

Man könnte einstellen, das .exe Dateien zumindest im Explorer nicht direkt ausgeführt...

nille02 05. Jan 2016

Viele Worte und dennoch nichts gesagt.

dasmussnochgesa... 05. Jan 2016

edit: deletet. grund: überbewertet.

robinx999 04. Jan 2016

Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren...



Anzeige

Stellenmarkt
  1. Evangelischer Oberkirchenrat Stuttgart, Stuttgart
  2. T-Systems International GmbH, München, Berlin, Leinfelden-Echterdingen
  3. LEDVANCE GmbH, Garching bei München
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen


Anzeige
Blu-ray-Angebote
  1. (u.a. The Big Bang Theory, True Detective, The 100)
  2. 23,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)

Folgen Sie uns
       


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Warum wird da nicht viel mehr Geld reingesteckt?

    bombinho | 02:30

  2. Re: Der schlaue Gamer holt sich den RyZen 1600X...

    burzum | 02:26

  3. Re: Interessante Idee...

    burzum | 02:22

  4. Design der App

    Gandalf2210 | 01:59

  5. Re: Versandkosten

    tool123 | 01:57


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel