Neue Ransomware-Variante greift auf Netzlaufwerke und externe Speichermedien zu

Peter Marwan,
Zscaler (Grafik: Zscaler)

Es handelt sich um erweiterte Varianten der bereits länger bekannten Ransomware Stampado. Sie wurden jetzt von Forschern des Sicherheitsanbieters Zscaler entdeckt. Die Gefahr ist auch deshalb hoch , weil sich Stampado ähnlich wie ein Wurm selbst weiterverbreiten kann.

Forscher des Sicherheitsanbieters Zscaler haben um gefährliche Funktionen ergänzte Varianten der Ransomware Stampado entdeckt. Die können sich nun ähnlich wie ein Computer-Wurm selbst weiterverbreiten. Außerdem sind sie in der Lage, Dateien nicht nur auf der lokalen Festplatte, sondern auch auf Netzlaufwerken und externen Speichermedien zu verschlüsseln, um dann Lösegeld zu erpressen. Das sollte man allerdings auf keinen Fall bezahlen: Inzwischen liegt nämlich ein Entschlüsselungstool für Stampado vor.

Die Erstinfektion mit Stampado erfolgt Zscaler zufolge erfolgt in der Regel wie bei anderer Ransomware auch über E-Mails oder Drive-by-Downloads. Stampado installiert sich dann im Ordner “AppData” unter dem Namen des legitimen Windows-Prozesses “scvhost.exe” und versucht so also seine Entdeckung und Entfernung zu erschweren.

Ransomware (Bild: Shutterstock.com/Bacho)

Anschließend versucht Stampado Kopien von sich im lokalen Netzwerk und auf allen ereichbaren externen Laufwerken zu installieren. Den Forschern zufolge kann Stampado dabei sogar Dateien verschlüsseln, die bereits von anderer Ransomware chiffriert wurden, etwa von Locky, Cerber oder Cryptowall. In dem Fall müssten Betroffene also zweimal Lösegeld zahlen, um wieder an ihre Dateine zu kommen.

Wie von anderer Erpressersoftware schon bekannt, setzt auch Stampado eine Frist (in dem Fall 96 Stunden ) innerhalb der eine E-Mail-Adresse kontaktiert werden muss, um weitere Anweisungen zum Zahlungsvorgang zu erhalten. Wird das versäumt, droht Stampado alle Dateien zu löschen. Um den Druck auf die Opfer zu erhöhen, wird außerdem alle sechs Stunden eine Datei gelöscht.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

Zscaler rät Betroffenen dennoch, das Lösegeld nicht zu zahlen. Stampado lasse sich nämlich vergleichsweise einfach wieder entfernen. Zudem steht bereits ein kostenloses, vom deutschen Sicherheitsforscher Fabian Wosar für Emsisoft entwickeltes Entschlüsselungs-Tool für Stampado zur Verfügung.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.