Erpressungs-Trojaner FireCrypt versucht sich nebenbei an DDoS-Attacke

Der neu entdeckte Erpressungs-Trojaner FireCrypt verschlüsselt den Ransomware-Forschern von Bleepingcomputer.com und dem MalwareHunterTeam zufolge nicht nur Daten, sondern startet auch eine Art DDoS-Angriff von infizierten Windows-Computern.

Damit FireCrypt Computer in Beschlag nehmen kann, müssen die Drahtzieher hinter dem Trojaner Opfer dazu bringen, eine .exe-Datei mit dem Icon eines Word-, beziehungsweise PDF-Dokumentes zu öffnen, berichten die Sicherheitsforscher. Gelingt dies, soll der Schädling den Task Manager von Windows killen und anschließend mit der Verschlüsselung beginnen.

Betroffene Dateien weisen die Namenserweiterung .firecrypt auf. In der Erpresser-Botschaft fordern die Kriminellen ein Lösegeld von rund 0,6 Bitcoin (circa 510 Euro) für die Freigabe der Daten ein.

Schadenswerk noch nicht vollendet

Nach der Verschlüsselung soll FireCrypt kontinuierlich Anfragen an eine URL senden und von dort Inhalte auf den infizierten Computer herunterladen. Die Malware-Entwickler nennen diese Funktion "DDoSer".

Dieser Begriff suggeriert jedoch mehr, als eigentlich passiert: Im Grunde kann man bei diesem Ansatz nicht von einer ernstzunehmenden DDoS-Attacke sprechen. Schließlich müssten theoretisch mindestens Tausende mit FireCrypt infizierte Computer gleichzeitig online sein, um die Webseite hinter der URL lahmzulegen.

Fraglich ist, ob es sich dabei um einen Testballon handelt und die Entwickler dieses "Feature" künftig weiter ausbauen. Den Sicherheitsforschern zufolge haben die Drahtzieher den Schädling mit dem Ransomware-Baukasten BleedGreen erstellt. Dieser Baukasten soll vom Funktionsumfang im Vergleich zu anderen Ransomware-Erstellern rudimentärer ausfallen – auch wenn die DDoS-Komponente bei dieser Schädlingsart neu ist. (des)