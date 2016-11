Sicherheitsforschern zufolge droht Ransoc damit, persönliche Daten zu veröffentlichen. Dafür soll er eine individuelle Erpresserbotschaft mit privaten Bildern und Informationen bauen.

Der Erpressungs-Trojaner Ransoc soll keine Daten verschlüsseln, sondern Opfer mit der Drohung erpressen, private Informationen wie Fotos zu veröffentlichen. Um an diese Details zu kommen, scanne Ransoc unter anderem Profile von Facebook, Linkedin und Skype, erläutern Sicherheitsforscher von Proofpoint, die den Schädling entdeckt haben.

Wie eine Infektion im Detail abläuft, verschweigt Proofpoint. Unklar ist derzeit auch, wie weit der Erpressungs-Trojaner verbreitet ist. Aus dem Beitrag geht zumindest hervor, dass es der Schädling auf Windows-Systeme abgesehen hat.

Proofpoint berichtet, dass Ransoc infizierte Computer unter anderem nach illegal via Torrents heruntergeladenen Daten scannt. Findet der Schädling etwas in dieser Richtung, soll er Computer mit einem Warnbildschirm sperren. Dort steht, dass wenn ein Opfer zahlt, alle vermeintlichen Anklagepunkte fallen gelassen werden.



Über GET-Anfragen soll Ransoc Bilder von Social-Media Accounts abziehen.

Bild: Proofpoint

Social Engineering auf hohem Niveau

Vom Grundsatz her ist diese Masche ist nicht neu. Doch Ransoc soll den Warnbildschirm für jedes Opfer individuell mit von Facebook & Co. ausgelesenen Informationen und Bildern ausstatten. Zahlt ein Opfer das Lösegeld innerhalb von 24 Stunden nicht, drohen die Kriminellen, private Daten zu veröffentlichen. Ob das auch wirklich passiert, ist aktuell nicht bekannt. Bereits vor einem Jahr setzte die Ransomware Chimera auf dieses Druckmittel. Auch in diesem Fall ist nicht bekannt, ob der Schädling seine Drohung in die Tat umgesetzt hat.

Ransocs Warnbildschirm soll den gesamten Computer sperren und sich nicht ohne weiteres ausblenden lassen. Proofpoint zufolge hilft es, Windows im abgesicherten Modus zu booten und den in ihrer Meldung beschriebenen Eintrag in der Registry zu entfernen.

Weg von Bitcoins

Nach den Sicherheitsforschern verhält sich Ransoc nicht nur bei der Erpressungsmethode anders als Schädlinge dieser Art: Der Erpressungs-Trojaner setzt bei der Lösegeldzahlung statt auf Bitcoins auf Kreditkarten. An diesem Punkt könnten Ermittler einsteigen. (des)