Scareware wird zu Ransomware
Statt Anwender mit Falschmeldungen über Infektionen des PCs zu erschrecken und zum Kauf eines Scanners zu motivieren, verschlüsseln neue Betrugsprogramme Dateien auf dem PC und melden dann kaputte Daten. Das Reparatur-Tool soll 50 Euro kosten.
- Daniel Bachfeld
Vundo, ein Hersteller nachgemachter Antivirenprogramme (Scareware), sattelt einem Bericht des Malware-Spezialisten FireEye auf eine neue Masche um. Statt Anwender mit Falschmeldungen über vermeintliche Infektionen des PCs zu erschrecken und somit zum Kauf eines weitgehend funktionslosen Scanners zu motivieren, verschlüsseln neue Betrugsprogramme (Ransomware) Anwender-Dateien (.pdf, .doc, jpg und andere) auf dem PC und melden dann kaputte Dateien.
Anschließend fordern sie über Systemmeldungen den Anwender dazu auf, die Vollversion des Reparatur-Tools FileFix Pro 2009 für 50 Euro zu erstehen. Anders als bei Scareware, die in der Regel nur ein Problem vorgaukelt, bleiben dem Anwender wenig Alternativen, denn die Dateien sind wirklich verschlüsselt – wenn auch nur mit einem simplen Algorithmus. Wie die Ransomware auf den Rechner gelangt, schreibt FireEye nicht, vermutlich benötigt sie aber ein wenig Mithilfe des Anwenders.
FireEye hat den Algorithmus untersucht: Offenbar besteht der Schlüssel nur aus vier Zeichen und ist am Ende der verschlüsselten Datei gespeichert. FireEye stellt ein Entschlüsselungstool in Perl zur Verfügung. Der Fall erinnert an den Verschlüsselungstrojaner GPCode, der Mitte des letzten Jahres auftauchte und Dateien mit RSA und einem 4096-Bit langem Schlüssel verschlüsselte.
Die Autoren forderten Opfer zur Zahlung von 300 US-Dollar auf, um die Datei wiederherzustellen. Allerdings ließen sich die Daten kostenschonend auch ohne Schlüssel wieder rekonstruieren, da GPcode die verschlüsselte Version eines Dokuments in eine neue Datei schrieb und anschließend das Original löschte. Da Windows aber nur die Referenz im Dateisystem löscht, ließen sich die Dateien erfolgreich rekonstruieren.
Siehe dazu auch:
- Scharlatane und Hochstapler - Zweifelhafte Antiviren-Produkte, Artikel auf heise Security
- Neues Kaspersky-Tool für GPcode-Trojaner-Betroffene, Meldung auf heise Security
- Verschlüsselungstrojaner GPcode ein Schnippchen schlagen, Meldung auf heise Security
- Kaspersky bittet um Mithilfe zum Knacken eines RSA-Schlüssels, Meldung auf heise Security
- Trojaner verschlüsselt Daten mit RSA-4096 - oder doch nicht?, Meldung auf heise Security
(dab)
