Ransomware Zerolocker verschlüsselt nahezu alle Dateien eines Rechners
Kaspersky warnt vor einer weiteren Erpresser-Malware für Windows. Ähnlich wie Cryptolocker verschlüsselt auch die als Zerolocker bezeichnete Malware Dateien mit einem starken Algorithmus und verlangt ein Lösegeld für die Entschlüsselung. Anders als das Vorbild und der erste Nachahmer Prisonlocker nimmt Zerolocker allerdings nicht nur bestimmte Dateifomate isn Visier, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.
“Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‘.encrypt’ hinzu”, schreibt Kaspersky-Forscher Roel Schouwenberg. “Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.” Ausgenommen seien lediglich Dateien größer 200 MByte sowie solche, die in den Verzeichnissen “Windows”, “Program Files”, “Zerolocker” und “Desktop” abgelegt sind. Die Malware selbst niste sich im Verzeichnis “C:\Zerolocker” ein.
Von Cryptolocker haben die Hintermänner der neuen Ransomware auch die Taktik übernommen, einen Nachlass auf das Lösegeld zu gewähren, wenn das Opfer binnen fünf Tagen nach der Infektion einen Schlüssel für die Freigabe der Dateien kauft. Nach Ablauf der Frist steigt der Preis von 300 Dollar auf 600 Dollar. Ab dem zehnten Tag nach der Infektion verlangen die Cyberkriminellen sogar 1000 Dollar. Bezahlt werden kann ausschließlich mit Bitcoins.
Sicherheitsexperten und Strafverfolger raten im Fall einer Infektion mit einer Erpresser-Malware davon ab, ein Lösegeld zu zahlen. Dem schließt sich auch Schouwenberg an: Aufgrund eines Fehlers in Zerolocker seien die Hintermänner wahrscheinlich gar nicht in der Lage, einen korrekten Schlüssel für die Entschlüsselung zu liefern.
“Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server”, so Schouwenberg weiter. “Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.”
Der Fehler sei möglicherweise auch ein Grund für die bisher geringe Verbreitung von Zerolocker. Eine Prüfung der zum Zerolocker-Botnet gehörenden Bitcoin-Wallet-Adressen habe zudem gezeigt, dass bisher keine Transaktionen ausgeführt wurden.
Eine Wiederherstellung verschlüsselter Dateien ohne Schlüssel hält Schouwenberg allerdings auch für unwahrscheinlich. Die Cyberkriminellen hätten zwar die Größe des Schlüssels begrenzt, er sei aber immer noch so groß, dass es nicht möglich sei, den Schlüssel per Brute Force zu ermitteln. Zudem werde nach der Verschlüsselung ein Tool namens Cipher.exe ausgeführt, das alle ungenutzten Daten von der Festplatte lösche, was eine Wiederherstellung erschwere.
Für Cryptolocker steht inzwischen – allerdinsg gut acht Monate nach dessen Entdeckung – ein Entschlüsselungstool bereit. Es heißt DecryptCryptolocker und arbeitet auf Basis von öffentlicher Schlüsseln der Kriminellen. Betroffene Nutzer reichen einfach eine durch die Malware chiffrierte Datei ein. Dadurch wird der Private Key ermittelt. Das Tool funktioniert allerdings nicht für alle Varianten.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de