Malware Ranscam “tarnt” sich als Erpressersoftware

Peter Marwan,
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Sie fordert von Opfern wie andere inzwischen weit verbreitete Ransomware ein Lösegeld. Allerdings kann sie Dateien überhaupt nicht verschlüsseln. Die Malware beginnt jedoch sofort nach der Installation, Dateien aus Nutzerverzeichnissen zu löschen. Ranscam lässt sich zudem nur durch eine vollständige Neuinstallation des Systems entfernen.

Die Cisco-Sicherheitssparte Talos hat vor einer von ihr “Ranscam” getauften Malware gewarnt. Wie die die in letzter Zeit stark zunehmende Ransomware fordert auch Ranscam von Opfer ein Lösegeld, um verschlüsselte Dateien auf dem Computer wieder freizugeben. Allerdings ist sie weder in der Lage, Dateien zu verschlüsseln noch sie zu entschlüsseln. Stattdessen beginnt sie direkt nach der Infektion eines Systems damit, Dateien unwiderruflich zu löschen.

“Ranscam löscht einfach die Dateien seiner Opfer und liefert damit ein weiteres Beispiel dafür, dass man Cyberkriminellen nicht immer trauen kann, selbst wenn ein Opfer der Lösegeldforderung nachkommt”, erklärt Talos. Ranscam blende einfach eine JPG-Datei ein und behaupte, mit jedem Klick, der nicht der Zahlung des Lösegelds dient, Dateien zu löschen. Zudem gibt die Malware vor, Dateien auf eine “versteckte und verschlüsselte Partition”. Damit will sie Nutzer täuschen, die bestimmte Dateien nicht mehr finden können.

Die vermeintliche Lösegeldforderung von Ranscam (Screenshot: Cisco Talos)
Die vermeintliche Lösegeldforderung von Ranscam (Screenshot: Cisco Talos)

Ranscam löscht nicht nur Dateien in den Nutzerverzeichnissen sondern zerstört auch Windows-Dateien, die für die Systemwiederherstellung benötigt werden. Außerdem werden auch Schattenkopien sowie Registry-Schlüssel gelöscht, die für den abgesicherten Modus und den Taskmanager erforderlich sind. Nutzer haben so nur die Möglichkeit, das System vollständig neu zu installieren, um Ranscam los zu werden.

Wer das geforderte Lösegeld (0,2 Bitcoin) bezahlt, bekommt anschließend andere JPG-Bilder angezeigt. In dem dargestellten Text wird dann behauptet, die Zahlung sei nicht erfolgt. Bis das Lösegeld eingegangen sei würden daher weiterhin bei jedem Klick Dateien gelöscht,

Da die Ranscam-Hintermänner eine Bitcoin-Adresse für Zahlungen angeben, konnten die Forscher die darüber abgewickelten Transaktionen ermitteln: Bisher wurden lediglich 277,61 Dollar bezahlt. “Das scheinen Amateure zu seien und keine ausgefeilte Kampagne”, so die Sicherheitsforscher. Besser organisierte Kriminelle haben in der Vergangenheit genau darauf geachtet, dass sie nach einer Zahlung tatsächlich den Schlüssel zur Wiederherstellung der chiffrierten Dateien aushändigen. Es gibt inzwischen sogar ausgefeilte Support-Strukturen für Opfer, die Problem mit der Entschlüsselung haben.

Dennoch raten nahezu alle Sicherheitsexperten, nicht zu zahlen. Sie weisen darauf hin, dass man damit nur das illegale Geschäftsmodell der Kriminellen unterstütze. In Firmen, die zunehmend ins Visier der Ransomware-Versender rücken, ist laut ESET-Experte Righard Zwienenberg die Bereitschaft, im Zweifelsfall zu zahlen, dennoch hoch. Seiner Ansicht nach ist eine Ursache dafür, dass Mitarbeiter, die durch Ransomware erpresst würden, Angst hätten ihren Job zu verlieren, wenn sie einen solchen Vorfall der IT-Abteilung melden.

Dennoch ist Ranscam ein Rückfall in die Zeit vor ein paar Jahren, als sogenannte “Scareware” vorgab, der Rechner sei wegen illegaler Aktivitäten, Aufruf von unerlaubten Porno-Seiten oder Ähnlichem von den Behörden blockiert und lasse sich nur durch eine Strafzahlung wieder entsperren. Auch damals wurde in der Regel lediglich eine Bilddatei oder eine HTML-Seite angezeigt, um die Glaubwürdigkeit zu erhöhen, oft mit diversen Logos von Polizei und anderen Behörden geschmückt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.