SyncCrypt: Neue Ransomware lauert in JPG-Dateien

Ein Sicherheitsforscher von Emsisoft hat eine neue Ransomware namens "SyncCrypt" entdeckt. Wie bleepingcomputer.com berichtet, verbreitet sie sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie "CourtOrder_845493809.wsf" verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung ".kk". Anschließend erpresst sie ein Lösegeld in Bitcoin, dessen Höhe laut bleepingcomputer umgerechnet etwa 429 US-Dollar beträgt. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor AV-Software zu verstecken. Bleepingcomputer-Betreiber Lawrence Abrams unterzog das Windows Script File einer näheren Analyse und stellte fest, dass es die Ransomware nicht einfach als .exe-Datei herunterlädt. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschließend auszuführen.

Schadcode im Bild nur per Skript ausführbar

Um zu überprüfen, ob SyncCrypts Tarnung funktioniert, lud Abrams sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Unmittelbar nach dem Upload erkannte nur einer von 58 Scannern die .jpg-Datei, während immerhin 28 von 63 Engines bei der .exe-Datei Alarm schlugen.

Abrams betont, dass die Bilddatei für sich genommen keinen Schaden anrichten könne. Rufe man sie direkt über eine von drei im Skript enthaltenen URLs auf, so sehe man einfach nur ein Album-Cover des isländischen Musikers Ólafur Arnalds. Erst in Kombination mit dem Windows Script File komme der enthaltene Schadcode zur Ausführung. (ovw)