Scareware wird zu Ransomware, Teil 2

Statt mit infizierten Dateien versucht aktuelle Scareware den Anwender mit angeblich kaputten Dateien zu erschrecken. Zudem überschreibt ein neuer Wurm den MBR der Festplatte.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Statt mit infizierten Dateien versucht aktuelle Scareware den Anwender mit angeblich kaputten Dateien zu erschrecken. Die Vorarbeit leistet ein Trojaner namens W32/DatCrypt, der unter anderem Office-, Bild und MP3-Dateien verschlüsselt. Beim Versuch, diese zu öffnen, moniert Windows die Dateien als korrupt.

Anders als bisherige Verschlüsselungstrojaner wie GPCoder, die zum Entschlüsseln eine bestimmte Summe beim Opfer einfordern (Ransomware), gehen die hinter dieser Attacke steckenden Betrüger aber weniger plump vor: Sie bieten dem Opfer den Download des Programm Data Doctor 2010 an, das die Dateien reparieren soll. Allerdings meldet der heruntergeladene Data Doctor, er könne in der Testversion nur eine einzige Datei reparieren; um alle zu reparieren, bedürfe es der Vollversion für rund 90 Euro.

Glücklicherweise hält der Antivirenhersteller Sunbelt ein kostenloses Tool zum Download bereit, mit dem sich die Daten auch ohne Data Doctor reparieren lassen. Das Tool entschlüsselt die mit einem simplen Algorithmus verschlüsselten Dateien einfach wieder. Einen ähnlichen Fall meldete schon Anfang 2009 der Malware-Spezialiste FireEye. Damals hieß das vorgebliche Reparatur-Tool FileFix Pro 2009 und sollte 50 Euro kosten.

Unterdessen warnt Eset vor dem Wurm Zimuse, der auf infizierten Systemen den Master Boot Record überschreibt. Bitdefender warnt ebenfalls vor Zimuse, behauptet jedoch, er "zerstöre Festplatten mit schädlichem Code". Dies tut er allerdings nach einhelliger Meinung nicht sofort nach der Infektion des PCs, sondern je nach Variante nach 40 oder 20 Tagen. Anschließend lässt sich das System nicht mehr booten. In der Regel genügt es aber, mit einer Reparatur-CD den MBR neu zu schreiben, damit eine normale Windows-Installation wieder startet.

Zimuse verbreitet sich über infizierte USB-Sticks und als frei herunterladbares Tool für IQ-Tests im Internet. Eset glaubt, dass sich der Schädling ursprünglich gezielt gegen die Mitglieder eines slowenischen Motorradclubs richtete. Anfänglich seien auch die meisten Meldungen seiner Verbreitung aus Slowakien gekommen. Mittlerweile sollen aber die meisten Berichte aus den USA stammen – erst dann gefolgt von Slowakien, Thailand, Spanien, Italien und Tschechien. Eset hält zwar ein Tool zum Entfernen des Schädling bereit, allerdings dürfte dies nur so lange nützlich sein, wie der Zeitraum bis zum Überschreiben des MBRs nicht verstrichen ist.

Siehe dazu auch: