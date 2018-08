(Bild: TheDigitalArtist)

Bei der Verbreitung der Ransomware GandCrab 4 setzen die Hintermänner nicht auf die gängige Verbreitung über gefälschte Mails mit Dateianhang.

Der Verschlüsselungstrojaner GandCrab ist in der Version 4.4 aufgetaucht und setzt auf eine alternative Form der Verbreitung. Der Trojaner infiziert Windows-Computer nicht wie bislang von dieser Schädlingsart gewohnt über präparierte Word-Dokumente, die als Rechnung getarnt an Betrüger-Mails hängen. GandCrab 4 verbirgt sich schon seit einiger Zeit hinter Software-Cracks, wie Sicherheitsforscher von Sensors Techforum nun in einem Blog-Eintrag schildern.

Mit Cracks kann man den Kopierschutz von kostenpflichtiger Software umgehen und diese so illegal nutzen. Wer sich einen mit der Ransomware präparierten Crack auf den Computer holt und ausführt, infiziert seinen eigenen Computer.

Fake-Seiten mit gefährlichen Cracks

Für die Verbreitung sollen die Drahtzieher Wordpress-Webseiten aufsetzen, die mit Cracks für Software wie SysTools PST Merge locken. Auf diese Seiten gelangen potenzielle Opfer meist über eine Internetsuche nach einem Crack. Wer darauf reinfällt und die Datei ausführt, startet die Verschlüsselungsroutine mit dem Salsa20-Algorithmus. Den Schlüssel für die Dateien wollen die Kriminellen erst gegen eine Lösegeldzahlung rausrücken. Ein kostenloses Entschlüsselungstool gibt es derzeit nicht.

Neben lokalen Dateien soll sich GandCrab 4 auch über Netzwerkfreigaben hermachen. Um die Verschlüsselung zu starten, muss die aktuelle Version keinen Kontakt mit den Command-and-Control-Servern der Angreifer aufnehmen. Somit sind auch Computer die offline sind nicht vor einer Infektion geschützt.

Das Cracks Malware beinhalten ist nicht neu. In der Vergangenheit haben sich über diesen Weg etwa Bankingtrojaner oder Keylogger verbreitet. GandCrab 4 ist die erste dokumentierte Ransomware, die diese Methode nutzt. (des)