Erpressungstrojaner XiaoBa verwandelt sich in Krypto-Miner

Die Windows-Ransomware XiaoBa hat die Schädlingsgattung gewechselt und schürft nun heimlich Kryptowährung auf fremden Computern, anstatt Daten von Opfern zu verschlüsseln und Lösegeld einzufordern. Das haben Sicherheitsforscher von Trend Micro beobachtet. In welchem Ausmaß der Schädling derzeit Computer infiziert, ist momentan nicht bekannt.

Krypto-Miner sind derzeit im Aufschwung und verdrängen Erpressungstrojaner vom Malware-Thron. Der Grund dafür: Mit bösartiger Mining-Software können Kriminelle mit vergleichsweise wenig Aufwand viel Geld machen – die Kosten für das Schürfen tragen die Opfer von infizierten Computern.

Als Ransomware tauchte XiaoBa Ende vergangenen Jahres vorerst nur in China auf. Im Februar stießen Sicherheitsforscher auf eine Version in englischer Sprache. Anschließend entdeckte Trend Micro die erste modifizierte Version der Malware.

Dateien-Zerstörer

Doch die Umstellung vom Verschlüsselungstrojaner zum Krypto-Miner scheint noch nicht erfolgreich abgeschlossen zu sein: Trend Micro zufolge weist der Code noch Fehler auf. XiaoBa soll sich auf betroffenen Computern wurmartig verbreiten und versuchen, beispielsweise .exe-Dateien zu infizieren. Öffnen Opfer diese, startet der Schürfvorgang. XiaoBa soll die Dateien jedoch kaputt machen. Passiert das mit Systemdateien, könnte Windows unstabil laufen und nach einem Neustart sogar komplett den Dienst verweigern.

Außerdem soll sich der Schädling im Autostart des Betriebssystems verankern. Auch das Löschen von Safeboot-Einträgen in der Registry gehört Trend Micro zufolge zum Funktionsumfang. So wollen die Malware-Autoren nach einer erfolgreichen Infektion den Start von Windows im abgesicherten Modus verhindern.

Lesen Sie zu dem Thema auch die Titelstory in c't 09/2018:

• Angriff der Kryptogeld-Sauger - Krypto-Miner: Ihr PC rechnet fremd

tipps+tricks zum Thema:

• So sichern Sie Windows 10 gegen Erpresser-Trojaner ab
• Ransomware: So entfernen Sie Verschlüsselungs-Trojaner
  

(des)