+43 699 / 18199463
office@itexperst.at

Ransomware speichert Entschlüsselungs-Key auf infizierten Rechnern

Eine bösartige Software namens CryptoDefense verschlüsselt die Daten der Betroffenen, bis diese ein Lösegeld von 500 US-Dollar zahlen. Nach einer bestimmten Frist verdoppelt sich diese Summe sogar. Allerdings hat das Programm einen grundlegenden Fehler: Der Key zum Entschlüsseln ist auf dem infizierten Rechner selbst gespeichert.

CryptoDefense tauchte im März 2014 das erste Mal auf und gehört zu einer Reihe von Erpresser-Software. Zwar ist die Technik schon bekannt, allerdings offensichtlich immer noch profitabel.

Symantec analysierte die Malware nun. CryptoDefense nutzt die Microsoft-Infrastruktur und Windows API zum Generieren der Keys zum Ver- und Entschlüsseln. Zum Verschlüsseln nutzt CryptoDefense einen 2048-bit RSA-Key. Der private Schlüssel zum Entschlüsseln der Dateien wird dann zum Server der Angreifer gesandt, bis das Lösegeld gezahlt ist. Was die Cyberkriminellen übersehen haben: Der private Schlüssel ist außerdem auch in einem Ordner auf dem Computer selbst gespeichert.

Symantec dazu:

„Somit haben die Angreifer ihre Geiseln gewissermaßen mit einem Fluchtweg versehen.“

Vermutlich hat der Durchschnittsnutzer allerdings nicht die technischen Kenntnisse, um den Schlüssel auch zu finden.

CryptoDefense wurde mit Spamnachrichten versandt, die als PDF-Dokumente verkleidet waren. Installiert der Nutzer die Malware, so kommuniziert diese mit vier verschiedenen Domains und lädt ein Profil auf den infizierten Rechner. Dann verschlüsselt es die Dateien in einem Ordner mit einer Anleitung zur „Befreiung“ dieser. Für die Zahlung des Lösegelds nutzen die Hacker eine „versteckte“ Webseite im anonymen TOR-Netzwerk.

TOR bietet Nutzern ein größeres Maß an Privatsphäre beim Browsen im Internet, da es den gesamten Traffic durch ein weltweites Netzwerk von Servern verschlüsselt. Außerdem kann TOR für versteckte Webseiten genutzt werden, auf die man nur durch speziell konfigurierte Browser Zugriff erlangt.

Die Erpresser verlangten 500 US-Dollar bzw. Euro innerhalb von vier Tagen. Zahlt das Opfer nicht in diesem Zeitraum, so verdoppelt sich der Betrag. Man kann das Lösegeld auch in Form von Bitcoins begleichen. Symantec hat bei Nachforschungen herausgefunden, dass die Cyberkriminellen bereits mehr als 34.000 US-Dollar in Bitcoins in nur einem Monat erhalten haben.

Insgesamt hat Symantec bereits 11.000 Infizierungen mit CryptoDefense in mehr als 100 Ländern entdeckt. Die Mehrheit der Betroffenen stammt aus den USA, Großbritannien, Kanada, Australien, Japan, Indien, Italien und den Niederlanden.

Artikel von theregister.co.uk, 03.04.2014: Your files held hostage by CryptoDefense? Don’t pay up! The decryption key is on your hard drive
Artikel von computerworld.com, 01.04.2014: CryptoDefense ransomware leaves decryption key accessible

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen