Menü
Security

Scareware wird zu Ransomware

vorlesen Drucken Kommentare lesen 108 Beiträge

Vundo, ein Hersteller nachgemachter Antivirenprogramme (Scareware), sattelt einem Bericht des Malware-Spezialisten FireEye auf eine neue Masche um. Statt Anwender mit Falschmeldungen über vermeintliche Infektionen des PCs zu erschrecken und somit zum Kauf eines weitgehend funktionslosen Scanners zu motivieren, verschlüsseln neue Betrugsprogramme (Ransomware) Anwender-Dateien (.pdf, .doc, jpg und andere) auf dem PC und melden dann kaputte Dateien.

Anschließend fordern sie über Systemmeldungen den Anwender dazu auf, die Vollversion des Reparatur-Tools FileFix Pro 2009 für 50 Euro zu erstehen. Anders als bei Scareware, die in der Regel nur ein Problem vorgaukelt, bleiben dem Anwender wenig Alternativen, denn die Dateien sind wirklich verschlüsselt – wenn auch nur mit einem simplen Algorithmus. Wie die Ransomware auf den Rechner gelangt, schreibt FireEye nicht, vermutlich benötigt sie aber ein wenig Mithilfe des Anwenders.

FireEye hat den Algorithmus untersucht: Offenbar besteht der Schlüssel nur aus vier Zeichen und ist am Ende der verschlüsselten Datei gespeichert. FireEye stellt ein Entschlüsselungstool in Perl zur Verfügung. Der Fall erinnert an den Verschlüsselungstrojaner GPCode, der Mitte des letzten Jahres auftauchte und Dateien mit RSA und einem 4096-Bit langem Schlüssel verschlüsselte.

Die Autoren forderten Opfer zur Zahlung von 300 US-Dollar auf, um die Datei wiederherzustellen. Allerdings ließen sich die Daten kostenschonend auch ohne Schlüssel wieder rekonstruieren, da GPcode die verschlüsselte Version eines Dokuments in eine neue Datei schrieb und anschließend das Original löschte. Da Windows aber nur die Referenz im Dateisystem löscht, ließen sich die Dateien erfolgreich rekonstruieren.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)