JavaScript Ransomware für alle Plattformen möglich

wp_ransomware32Eine Malware für alle Betriebssysteme – eher selten. Dennoch ist jetzt ein Javascript basierter Erpressungs-Trojaner mit Namen “Ransomware32” aufgetaucht. Welche über das Framework NW.js nicht nur Windowssysteme, sondern auch plattformübergreifend Linux und Mac-Systeme mit erpresserischer Malware infizieren kann.

Wie über Bleepingcomputer berichtet, hat diese Ransomware gewisse Ähnlichkeit mit dem “Crypto Locker” bzw. der inzwischen so genannten Ransomware-as-a-Service. Wie andere Varianten der Erpressungs-Trojaner, kann dieser auch über diverse E-Mail Kampagnen verteilt und durch Ausführen von Anhängen, die Systeme der Anwender tiefgehend infizieren. Dabei verwendet “Ransomware32” das Tor-Netzwerk um mit seinem Command und Controll-Server zu kommunizieren und verschlüsselt im Hintergrund üblicherweise die Daten des Opfers, sperrt flächenfüllend den Desktop und erpresst über Ablauf einer gesetzten Frist, ein in Bitcoins zu zahlendes, saftiges Lösegeld.

“Ransomware32” und dazu angepasste Versionen werden in einschlägigen Foren zu diversen Konditionen gehandelt. Waren bislang bekannte Ransomware-Derivate maximal um die 1 MB groß, so wartet “Ransomware32” mit gigantischen 22 MB eines selbstentpackenden WinRAR-Archivs auf. Nach Entpacken des Archivs, welches sich im Temp-Verzeichnis des Anwenders niederlegt, kommen einige Dateien zum Vorschein. Darunter eine gefälschte “Chrome.exe”, die nach genauerer Analyse als eine gepackte NW.js-Anwendung entpuppt, welche das Grundgerüst eines Frameworks bildet und plattformübergreifende Anwendungen, mittels Javascript ermöglicht.

Auch wenn sich “Ransomware32” für verschiedene Plattformen entwickeln ließe, gibt es bislang nur Hinweise auf infizierte Windowssysteme!

Ransomware32 sorgt für garantierten Start:

Bildschirmfoto 2016-01-04 um 10.58.59

bleepingcomputer.com – Screenlocker

Weiterhin kopiert sich die Malware u.a. in das  „%AppData%\Chrome Browser“- Verzeichnis und legt zudem eine Verknüpfung im Autostart als „ChromeService“ an. Über einen integrierten Tor-Client empfängt die Malware über Port 85 weitere Befehle über seinen Command und Controll Server, welchen u.a. den zum Verschlüsseln verwendeten Kryptografieschlüssel und die Lösegeld-Adresse abruft und letztendlich den Desktop mit der Warnung der Erpresser schließt.

Ransomware32 kopiert sich in diese Ordner:

  • windows, winnt, programdata, boot, temp, tmp, recycle.bin


Dateien mit folgenden Endungen sind von der Verschlüsselung betroffen:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen: Kommen Sie der Lösegeldzahlung bitte nicht nach!! Ob allerdings verschlüsselt Daten hergestellt werden können, ist bislang unklar.

Lesen Sie weiterführenden Beitrag “Ransomware – was nun?

SemperVideo: Erster Crypto-Trojaner in JavaScript

Lesen Sie auch unseren Beitrag “Drahtzieher hinter Verschlüsselungs-Trojaner geschnappt

Wie kann ich meinen Rechner schützen?

  1. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  2. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  3. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  4. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben. Lesen Sie dazu unseren Beitrag „Acronis True Image 2014 ermöglicht ein System-Backup in die Cloud„.
  5. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Bild:bleepingcomputer.com 

2 thoughts on “JavaScript Ransomware für alle Plattformen möglich”

Kommentare sind geschlossen.