CryWiper: Fake-Ransomware zerstört Daten insbesondere in Russland
Die Virenanalysten von Kaspersky haben den Schädling CryWiper entdeckt, der sich als Ransomware ausgibt, Daten aber unwiderbringlich zerstört.
Kaspersky warnt vor Schädlingen, die sich augenscheinlich wie eine Ransomware verhalten, die Daten jedoch direkt zerstören statt zu verschlüsseln. Die Malware haben die Virenanalysten auf Systemen in Russland entdeckt.
Ist das eine Ransomware?
Die Virenanalysten beschreiben, dass die Malware bei Rechnerbefall Dateien verändert, ihnen dabei eine .CRY-Dateiendung ergänzt und eine README.txt-Datei mit einer Erpressernachricht auf dem Rechner speichert. In der Nachricht befinden sich eine Bitcoin-Wallet-Adresse, eine Kontakt-E-Mail und eine Infektions-ID. Die Malware entpuppt sich jedoch als Wiper, also ein Schädling, der Daten zerstört. Die vermeintlich verschlüsselten Dateien lassen sich niemals in ihren ursprünglichen Zustand zurückversetzen, erklären die Autoren. Finde man also eine Erpressernachricht und Dateien mit der .CRY-Endung, ist die Zahlung von Lösegeld sinnlos.
Bei der Analyse kamen die Virenspezialisten zu dem Schluss, dass es sich nicht um eine Fehlfunktion und versehentliches Zerstören von Daten aufgrund von mies programmierten Verschlüsselungsalgorithmen handelt, wie man sie in der Vergangenheit gelegentlich beobachten konnte. Vielmehr gehen die Analysten von absichtlicher Datenzerstörung aus. Die Daten werden nicht verschlüsselt, sondern der Trojaner überschreibt sie mit Pseudo-Zufallsdaten.
Dabei beschädigt CryWiper alle Daten, die nicht essenziell für das Funktionieren des Betriebssystems sind. Dateien mit den Erweiterungen .exe, .dll, .lnk, .sys oder .msi sowie mehrere Unterordner von C:\Windows spart der Schädling aus. Er konzentriert sich auf Datenbanken, Archive und Nutzer-Dokumente.
Bislang nur Ziele in Russland
Bislang hat Kaspersky lediglich Angriffe auf Ziele in der Russischen Föderation entdeckt. Wie üblich könne jedoch niemand garantieren, dass derselbe Schadcode nicht gegen andere Ziele zum Einsatz kommt.
Neben dem Überschreiben von Dateiinhalten mit Müll hat CryWiper noch weitere Funktionen. So legt die Malware einen Task an, der sie alle fünf Minuten erneut startet. Den Namen des infizierten Computers sendet sie zudem an Command-and-Control-Server und wartet auf einen Befehl, den Angriff zu starten. CryWiper beendet Prozesse, die zu MySQL, MS SQL und Exchange sowie zu MS Active Directory Web Services gehören, da andernfalls deren Dateien blockiert und dadurch vor Manipulationen geschützt seien.
Zudem löscht der Schädling die Schattenkopien, jedoch nur auf Laufwerk C: – hier könnte für betroffene Admins ein kleiner Hoffnungsschimmer bestehen, dass darin noch Sicherheitskopien von Datenbanken auf Laufwerk D: lagern, das in der Praxis oftmals für Exchange- und SQL-Server genutzt wird. Außerdem knipst er RDP-Dienste aus. Kaspersky vermutet, dass soll die Arbeit von etwaigen Incident-Response-Teams erschweren.
Tipps zum Schutz
In dem Blog-Eintrag von Kaspersky geben die Autoren auch Hinweise zu Schutzmaßnahmen. So sollen IT-Verantwortliche gründlich auf die Fernverbindungen in die eigene Infrastruktur schauen. Zugriffe aus öffentlichen Netzen sollten unterbunden, RDP-Zugriffe etwa mittels VPN-Tunnel geschützt sowie starke Passwörter in Kombination mit Zwei-Faktor-Authentifizierung genutzt werden. Kritische Software sollte zeitnah Updates erhalten – mit besonderem Schwerpunkt beim Betriebssystem, der Sicherheitssoftware, VPN-Clients sowie Fernzugriffwerkzeugen. Schließlich steht auch die Mitarbeiterschulung auf der Liste, um für das Thema IT-Sicherheit zu sensibilisieren.
Schon seit einiger Zeit ist ein langsamer Wandel bei Ransomware zu beobachten. Dabei gehen die Cyberkriminellen weg von der reinen (fehleranfälligen) lokalen Verschlüsselung mit Lösegelderpressung, über das Ausschleusen und Verkaufen von sensiblen, bei den Einbrüchen erbeuteten Daten hin zur Zerstörung der lokalen Daten nach dem Kopieren.
(dmk)