9. - 11. Oktober 2018 // Nürnberg

it-sa Newsroom

Neue Ransomware versteckt sich in Fotos

© istockphoto.com/400tmax

Seit ein paar Tagen tauchen E-Mails auf, die vorgeben einen Gerichtsbeschluss zu zustellen. Im Anhang enthalten sie eine Datei mit der Endung WSF. Das sollte ein Warnsignal sein. Diese Spam-Mails dienen der Verteilung von Malware: Ein neuer Erpressungstrojaner namens SyncCrypt ist im Umlauf. Die Abkürzung WSF steht für Windows Script File. Diese Script-Dateien ähneln den alten BAT-Dateien und können genauso ausgeführt werden. Das WSF-Format ist aber sehr viel flexibler und kann verschiedene Script-Sprachen enthalten, beispielsweise Visual Basic Script, Javascript, oder auch Python. Dadurch sind diese Dateien von Virenscannern schwer zu überprüfen und für Malware besonders geeignet.

Doch der neue Schädling SyncCrypt geht noch weiter, um sich zu verstecken, berichten Sicherheitsexperten des IT-Unternehmens Emsisoft auf der Webseite BleepingComputer. Die kleinen Script-Programme werden nur zum Herunterladen eines Fotos verwendet. Das Foto wiederum enthält ein ZIP-Archiv, welches das eigentliche Schadprogramm enthält. Durch diese mehrfache Verschleierung wird der Schädling von Antivirus-Software (AV) praktisch nicht erkannt. Von den auf dem Analyseportal VirusTotal vertretenen AV-Produkten entdeckte nur eins die Malware. Die anderen Anbieter dürften jedoch nachziehen. Auf dem Portal VirusTotal testen allerdings auch Cyber-Kriminelle ihre Schadprogramme, bevor sie diese auf ihre Opfer loslassen.

Schlägt der Schädling zu, werden Dateien verschlüsselt und mit der zusätzlichen Endung KK gespeichert. Bis jetzt ist kein Weg bekannt, diese Dateien wieder zu entschlüsseln. Die Opfer werden von den Erpressern aufgefordert, rund 400 US-Dollar an Lösegeld in Bitcoins zu zahlen. Doch ob danach wirklich eine Entschlüsselung der Dateien möglich ist, ist bisher nicht bekannt. Regelmäßige Backups bleiben weiterhin der optimale Schutz vor Erpressungstrojanern und anderer Malware. Einige Anbieter von Sicherheits-Software haben auch einen speziellen Ransomware-Schutz entwickelt. Darüber hinaus gilt nach wie vor: Niemals Email Anhänge unbekannter Absender öffnen.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top