Ransomware oder auch Erpressersoftware gibt es schon eine Weile und insgeheim hofft jeder, niemals Opfer von solchen kriminellen Machenschaften zu werden. Schlimm genug, wenn es doch passiert. Aber die aktuellste Entdeckung der MalewareHunter Gruppe zwingt die Betroffenen sogar eine moralische Entscheidung zu treffen.

Die Ransomware-Variante Popcorn Time lässt den Opfern eine Woche Zeit, für die Zahlung von einem Bitcoin Lösegeld. Erst dann werden die Daten wieder freigeschaltet. Nun hat vielleicht nicht jeder mal eben einen Bitcoin parat und selbst gleichwertige 770 US-Dollar schmerzen dem Geldbeutel vielleicht. Die Strippenzieher hinter Popcorn Time bieten für diese Fälle aber noch eine alternative Lösung an. Ein Opfer kann zwei weitere Benutzer an die Erpresser weiterempfehlen. Wenn diese zwei neuen Opfer nach der Erpressung beide das Lösegeld zahlen, bekommt das erste Opfer die Freischaltung umsonst.

Bis eine Freischaltung jedoch so weit ist, sperrt die Erpressungs-Malware die Dateien auf Windows-Systemen mit einer starken AES-256-Verschlüsselung. Die Experten haben festgestellt, dass nun sogar ganze Ordner, Dokumente und auch Bilder und Musik verschlüsselt werden – im Grunde trifft es so gut wie alle Dateierweiterungen, insbesondere die gängigsten. Wer nicht zahlt und wer versucht, seine Daten auf eigene Faust zu entschlüsseln, sei schon mal vorgewarnt: Experten berichten, dass der Quellcode der Erpressersoftware inzwischen so programmiert ist, dass die Dateien des Opfers dauerhaft gesperrt werden, wenn Entschlüsselungscodes mehr als ein paar Mal falsch eingeben wurden. Bewiesen ist das allerdings bisher noch nicht. Experten sehen es daher eher als Einschüchterungsmethode an.

Was die Opfer in einem solchen Erpressungsfall erwartet, erklärt Abrams von Bleeping Computer:

„Wenn die Erpressersoftware das Verschlüsseln eines Computers abgeschlossen hat, konvertiert es zwei base64-Zeichenfolgen und speichert sie als Lösegeldhinweise mit dem Namen restore_your_files.html und restore_your_files.txt. Danach wird automatisch eine HTML-Lösegeldaufforderung angezeigt“.

Opfer von derartigen Erpressungsangriffen können sich an die NoMoreRansom Allianz wenden. Die Malewareforscher der Gruppe versuchen seit einiger Zeit vehement gegen alle Arten derartiger Erpressersoftware vorzugehen. Laut der Gruppe hatten bisher aber lediglich nur einige wenige Ransomware-Angriffe ihren White-Hat-Hacking-Bemühungen standhalten können. Es gibt also noch eine bessere Rettung als die Kriminellen auf seine Freunde anzusetzen.

Bleibt die Frage, wer hinter den Popcorn Time Erpressungen steckt. Das MalwareHunterTeam nennt eine Gruppe syrischer Studenten als Urheber dieser Erpressungsidee. Offensichtlich, um Mitleidsgefühle bei ihren Opfern auszulösen, erklären sie ihre Vorgehensweise in dem Erpresserschreiben.

„Es tut uns sehr leid, dass wir Sie zwingen zu bezahlen, aber das ist die einzige Möglichkeit, dass wir überleben können. Wir haben alle unsere Familien aufgrund des laufenden Bürgerkrieges verloren.“

Der Anführer behauptet dabei, sowohl seine Eltern als auch seine Schwester seien vor kurzem getötet worden. Alle Lösegeldzahlungen würden zum Kauf von Lebensmitteln und Medikamenten verwendet werden. Damit soll den Opfern das zahlen leichter gemacht werden.

Artikel in zdnet.com, 12.12.2016: New ransomware lets you decrypt your files — by infecting other users
Artikel von theregister.co.uk, 11.12.2016: Ransomware scum offer free decryption if you infect two mates
Artikel von scmagazine.com, 09.12.2016: New ransomware asks victims to spread the malware as payment