Erpressungstrojaner: Gefälschte Windows-Updates installieren Magniber-Ransomware

Vermeintliche Windows-Sicherheitsupdates haben die Ransomware Magniber installiert. 2600 US-Dollar Lösegeld verlangen die Drahtzieher.

In Pocket speichern vorlesen Druckansicht 238 Kommentare lesen
Aufmacher

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Mehrere arglose Nutzer sind Opfer von Verschlüsselungstrojanern geworden, indem sie vermeintliche Sicherheitsupdates für Windows 10 installierten. Die Installationsdateien enthielten jedoch die seit etwa 2017 aktive und weiterentwickelte Ransomware Magniber. Diese verschlüsselt die Daten der Nutzer und verlangt für die Entschlüsselung ein Lösegeld. Es beträgt zunächst rund 2600 US-Dollar in Bitcoins, nach fünf Tagen verdoppelt sich die Summe jedoch. Dies berichtet die Internetseite BleepingComputer.

Aufgrund der Häufung von Anfragen machten die Autoren sich dort auf Ursachensuche. Wie genau die Malware-Kampagne beworben wurde, blieb dabei im Dunkeln. Klar ist jedoch, dass die Nutzer sich den Verschlüsselungstrojaner im Glauben installierten, es handele sich um kumulative Windows-Updates oder Sicherheitsupdates für Windows 10.

Die Cybergang hinter Magniber hat die Dateinamen so ausgewählt, dass sie echten Windows Updates ähneln oder namentlich behaupten, ebensolche zu sein. So fanden die Forscher die Dateinamen

  • Win10.0_System_Upgrade_Software.msi
  • Security_Upgrade_Software_Win10.0.msi
  • System.Upgrade.Win10.0-KB<Zahl>.msi

Die erstgenannte Datei wird zwar von den populärsten Virenscannern inzwischen erkannt, wie aktuelle Virustotal-Ergebnisse zeigen. Jedoch sind das lediglich 32 der 61 dort eingesetzten Virenscanner.

Verteilt wurde die als Windows-Update verkleidete Malware auf Warez- und Cracks-Seiten. Fortgeschrittenen IT-lern ist meist bekannt, dass solche Seiten regelmäßig Schadsoftware verbreiten. Unbedarfte Computernutzer fallen jedoch häufiger auf diese Masche herein, weil sie sie schlicht nicht kennen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Offenbar fielen der Ransomware vorrangig Schüler, Studenten und Privatanwender zum Opfer. Diese haben – zumindest im Vergleich zu Unternehmen – oftmals ein eher eingeschränktes Budget zur Verfügung. Das ist vermutlich auch einer der Gründe, weshalb sie auf den Warez- und Cracks-Seiten unterwegs waren. Die verlangte Lösegeldsumme ist für sie in der Regel schlicht nicht aufzubringen. Zudem gibt es für Magniber-verschlüsselte Dateien kaum kostenlose Entschlüsselungssoftware, lediglich für mehrere Jahre alte Fassungen lässt sich ein Tool der koreanischen Internet & Security Agency finden. Somit sind die persönlichen Daten mit der Infektion in der Regel futsch, so kein Backup davon existiert.

Software sollten Nutzer, wann immer möglich, von den Seiten des Herstellers herunterladen. Dies gilt insbesondere für (Sicherheits-)Aktualisierungen. Warez- und Cracks-Seiten sind dafür bekannt, Schadsoftware zu verteilen, und sei es nur als zusätzlicher Teil von tatsächlich funktionierenden Programmen. Zudem sollten auch Privatnutzer ihre wichtigen Daten regelmäßig etwa auf externen Medien wie USB-Sticks sichern.

Lesen Sie dazu auch:

Themenseite zu Ransomware auf heise online

(dmk)