Abo
  • Services:
Anzeige
Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Security: Ransomware kann jetzt Webkit

Die Ransomware lässt sich individuell konfigurieren.
Die Ransomware lässt sich individuell konfigurieren. (Bild: Emsisoft)

Malware-Entwickler sind ständig dabei, neue Versionen ihrer Schadsoftware zu programmieren. Eine neue Ransomware erinnert an Cryptolocker, ist aber komplett in NW.js umgesetzt. Damit könnte die Malware auch Linux- und Mac-Systeme befallen.

Eine neue Ransomware mit dem Namen Ransom32 basiert auf einer Java-Script-Implementation und ist ungewöhnlich groß, wie die Sicherheitsfirma Emsisoft schreibt. Die Malware versteckt sich offenbar in einem selbstextrahierenden Rar-Archiv und ist durch die Integration der Node-Webkit-Technologie theoretisch auch für Linux- und Mac-Rechner gefährlich.

Anzeige

Das SXF-Archiv enthält zahlreiche Dateien, unter anderem eine in "rundll32.exe" umbenannte Version des Tor-Clients, außerdem die Lizenzvereinbarungen für GNU und GPL sowie eine als chrome.exe getarnte NW.js-Anwendung, die das Gerüst zum Ausführen der Malware bildet. Außerdem sind Scripts für die Anzeige der Erpressungsmeldung dabei. Die Rar-Datei ist mit 22 MByte relativ groß, die meisten Ransomeware-Pakete benötigen weniger als 1 MByte.

Die Malware nutzt den eingebauten Tor-Client

Wird das Archiv geöffnet, entpackt sich die Malware in das Verzeichnis "%AppData%\Chrome Browser". Außerdem wird eine Autostart-Verknüpfung unter dem Namen Chromeservice erstellt, um die Malware mit dem Betriebssystem zu laden. Das Programm verbindet sich dann über den eigenen Tor-Client mit dem Command-and-Control-Server, der Port 85 nutzt, um sich die zur Verschlüsselung der Dateien benötigten Schlüssel herunterzuladen. Außerdem wird die Bitcoin-Adresse ermittelt, an die die Erpressungszahlungen gerichtet werden sollen.

Die Verschlüsselung selbst erfolgt nach Angaben von Emisoft mit einem 128-Bit-AES-Schlüssel im CTR-Modus. Alle Dateien bekommen einen eigenen Schlüssel. Der AES-Schlüssel selbst wird schließlich mit RSA verschlüsselt abgelegt. Das Programm verspricht den Zugriff auf einige wenige Dateien, um zu beweisen, dass sich die Verschlüsselung umkehren lässt. Angreifer können dem Nutzer eine Zahlungsfrist setzen und ansonsten mit der Zerstörung der Daten drohen.

Durch die Implementation in NW.js, früher unter dem Namen Node-Webkit bekannt, könnte die Malware vermutlich auch für Mac- und Linux-Systeme implementiert werden - bislang scheinen jedoch keine entsprechenden Samples vorzuliegen. Der derzeitige Infektionsweg über eine SXF-Datei müsste für eine Adaption in jedem Fall angepasst werden.

Kriminelle, die die Malware nutzen wollen, können dies recht einfach tun. Denn sie wird auf einer .onion-Domain vorkonfiguriert angeboten. Kriminelle müssen nur ihre Ziel-Bitcoin-Adresse und einige Parameter angeben. Außerdem müssen sie den Malware-Machern 25 Prozent der Einnahmen abtreten, ebenfalls an eine Bitcoin-Adresse. In dem Konfigurationsfeld geben die Kriminellen ihren Kunden noch einen Hinweis mit auf den Weg: "Sei nicht zu gierig, sonst wird niemand zahlen".


eye home zur Startseite
cpt.dirk 10. Jan 2016

Falls du die Periode OS/2 meinst, geläufig wird den meisten der Begriff aus der Welt von...

danielcw 08. Jan 2016

Man könnte einstellen, das .exe Dateien zumindest im Explorer nicht direkt ausgeführt...

nille02 05. Jan 2016

Viele Worte und dennoch nichts gesagt.

dasmussnochgesa... 05. Jan 2016

edit: deletet. grund: überbewertet.

robinx999 04. Jan 2016

Hab mich schon immer gefragt wie gut diese Dinge sind hatte mal vor ein paar Jahren...



Anzeige

Stellenmarkt
  1. SYNLAB Holding Deutschland GmbH, München, Augsburg
  2. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld
  3. Dataport, Altenholz bei Kiel, Hamburg
  4. über Nash Direct GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 239,53€
  2. für 169€ statt 199 Euro
  3. 564,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: The end.

    lottikarotti | 03:15

  2. Re: Wir kolonialisieren

    Bouncy | 03:11

  3. Re: Bahn schneller machen

    chithanh | 03:07

  4. Re: Die 210 Grad werden indes mit einem anderen...

    xmaniac | 03:06

  5. Unverschlüsselte Grundversorgung

    Crass Spektakel | 03:05


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel