RAA Ransomware vollständig in JavaScript geschrieben

wp_raa_scrptDie Experten von Bleepingcomputer haben eine Ransomware gefunden, die anders als viele andere Varianten, diesmal komplett in der Interpreter-Sprache Javascript geschrieben wurde.

Wurden bislang z.B. der Erpressungs-Trojaner Locky über Javascript-Anhänge (Dropper) in Spam-Mails zum Download und Ausführung benötigt, so tritt die Variante RAA-Ransomware getarnt als Office-Dokument als eigenständiges in Javascript geschriebenes Paket auf. Die Experten von bleepingcomputer.com erklären, das die Programmier des RAA u.a. auf open Source verfügbare Bibliothek wie CryptoJS zurückgreifen, um z.B. mit über den AES-256-Verschlüsselungsalgorithmus die Daten des Anwenders auf den Computern zu verschlüsseln.

Sobald RAA zur Ausführung gelangt, werden nicht nur die Daten verschlüsselt, sondern zudem auch ein Passwortdieb in Form der Malware Pony installiert. Die Verschlüsselten Dateien erhalten die Datei-Erweiterung .locked. Weiterhin werden über das Ransomware-Script, des Anwenders zum Teil “letzte Rettung”, die Windows Schattenkopien unwiederbringlich gelöscht. Für die Freigabe der Dateien verlangen die Kriminellen ein Lösegeld von 0.39 Bitcoin (ca. 260 Euro).

Bildschirmfoto 2016-06-21 um 10.59.36

Bild: Bleepingcomputer.com – Warnmeldung!

Die Software verschlüsselt Dateien mit den folgenden Dateitypen:
.doc, .xls, .rtf, .pdf, DBF, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .LCD, .zip , .rar und .csv.

Fazit: Es ist sehr ungewöhnlich legitime JavaScript-Dateien per E-Mail zu versenden. Also, wenn Sie eine solche Datei empfangen, lassen Sie Vorsichtig walten und löschen Sie unverzüglich diese Datei, auch wenn diese evtl. verpackt ist.

Es gibt derzeit keine Möglichkeit, die verschlüsselten Dateien zu entschlüsseln! Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nichtaufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com