Scareware wird zu Ransomware
Statt Anwender mit Falschmeldungen ĂĽber Infektionen des PCs zu erschrecken und zum Kauf eines Scanners zu motivieren, verschlĂĽsseln neue Betrugsprogramme Dateien auf dem PC und melden dann kaputte Daten. Das Reparatur-Tool soll 50 Euro kosten.
- Daniel Bachfeld
Vundo, ein Hersteller nachgemachter Antivirenprogramme (Scareware), sattelt einem Bericht des Malware-Spezialisten FireEye auf eine neue Masche um. Statt Anwender mit Falschmeldungen ĂĽber vermeintliche Infektionen des PCs zu erschrecken und somit zum Kauf eines weitgehend funktionslosen Scanners zu motivieren, verschlĂĽsseln neue Betrugsprogramme (Ransomware) Anwender-Dateien (.pdf, .doc, jpg und andere) auf dem PC und melden dann kaputte Dateien.
Anschließend fordern sie über Systemmeldungen den Anwender dazu auf, die Vollversion des Reparatur-Tools FileFix Pro 2009 für 50 Euro zu erstehen. Anders als bei Scareware, die in der Regel nur ein Problem vorgaukelt, bleiben dem Anwender wenig Alternativen, denn die Dateien sind wirklich verschlüsselt – wenn auch nur mit einem simplen Algorithmus. Wie die Ransomware auf den Rechner gelangt, schreibt FireEye nicht, vermutlich benötigt sie aber ein wenig Mithilfe des Anwenders.
FireEye hat den Algorithmus untersucht: Offenbar besteht der SchlĂĽssel nur aus vier Zeichen und ist am Ende der verschlĂĽsselten Datei gespeichert. FireEye stellt ein EntschlĂĽsselungstool in Perl zur VerfĂĽgung. Der Fall erinnert an den VerschlĂĽsselungstrojaner GPCode, der Mitte des letzten Jahres auftauchte und Dateien mit RSA und einem 4096-Bit langem SchlĂĽssel verschlĂĽsselte.
Die Autoren forderten Opfer zur Zahlung von 300 US-Dollar auf, um die Datei wiederherzustellen. Allerdings ließen sich die Daten kostenschonend auch ohne Schlüssel wieder rekonstruieren, da GPcode die verschlüsselte Version eines Dokuments in eine neue Datei schrieb und anschließend das Original löschte. Da Windows aber nur die Referenz im Dateisystem löscht, ließen sich die Dateien erfolgreich rekonstruieren.
Siehe dazu auch:
- Scharlatane und Hochstapler - Zweifelhafte Antiviren-Produkte, Artikel auf heise Security
- Neues Kaspersky-Tool fĂĽr GPcode-Trojaner-Betroffene, Meldung auf heise Security
- VerschlĂĽsselungstrojaner GPcode ein Schnippchen schlagen, Meldung auf heise Security
- Kaspersky bittet um Mithilfe zum Knacken eines RSA-SchlĂĽssels, Meldung auf heise Security
- Trojaner verschlĂĽsselt Daten mit RSA-4096 - oder doch nicht?, Meldung auf heise Security
(dab)
